WireGuard соңғы уақытта көп назар аударып келеді, шын мәнінде бұл VPN арасындағы жаңа жұлдыз. Бірақ ол өзі көрінгендей жақсы ма? Мен IPsec немесе OpenVPN ауыстырудың неліктен шешім емес екенін түсіндіру үшін кейбір ескертулерді талқылап, WireGuard бағдарламасының орындалуын қарастырғым келеді.
Бұл мақалада мен [WireGuard айналасындағы] мифтердің кейбірін жоққа шығарғым келеді. Иә, оқу үшін көп уақыт қажет, сондықтан сіз өзіңізге бір шыны шай немесе кофе дайындамаған болсаңыз, онда мұны істеудің уақыты келді. Менің ретсіз ойларымды түзеткен Питерге де рахмет айтқым келеді.
Мен WireGuard әзірлеушілерінің беделін түсіруді, олардың күш-жігерін немесе идеяларын құнсыздандыруды мақсат етіп қойған жоқпын. Олардың өнімі жұмыс істейді, бірақ менің ойымша, ол шын мәнінде болғаннан мүлдем басқаша ұсынылған - ол IPsec және OpenVPN алмастырғыш ретінде ұсынылған, ол қазір жоқ.
Ескертпе ретінде, WireGuard-тың мұндай орналасуына жауапкершілік жобаның өзіне немесе оны жасаушыларға емес, бұл туралы айтқан БАҚ-қа жүктелетінін қосқым келеді.
Соңғы уақытта Linux ядросы туралы жақсы жаңалықтар көп болған жоқ. Сонымен, бізге бағдарламалық қамтамасыз ету арқылы теңестірілген процессордың қорқынышты осалдықтары туралы айтылды, ал Линус Торвальдс бұл туралы әзірлеушінің утилитарлы тілінде тым дөрекі және қызықсыз айтты. Жоспарлаушы немесе нөлдік деңгейлі желілік стек жылтыр журналдар үшін өте анық тақырыптар емес. Міне, WireGuard келді.
Қағазда мұның бәрі керемет көрінеді: қызықты жаңа технология.
Бірақ оны сәл мұқият қарастырайық.
WireGuard ақ қағазы
Бұл мақалаға негізделген Джейсон Доненфельд жазған. Онда ол Linux ядросындағы [WireGuard] тұжырымдамасын, мақсатын және техникалық орындалуын түсіндіреді.
Бірінші сөйлемде:
WireGuard […] көп пайдалану жағдайларында IPsec екеуін де, басқа да танымал пайдаланушы кеңістігін және/немесе OpenVPN сияқты TLS негізіндегі шешімдерді қауіпсіз, өнімдірек және [құрал] пайдалану оңайырақ бола отырып ауыстыруға бағытталған.
Әрине, барлық жаңа технологиялардың басты артықшылығы олардың қарапайымдылық [алдыңғылармен салыстырғанда]. Бірақ VPN де болуы керек тиімді және қауіпсіз.
Әрі қарай не?
Бұл сізге қажет емес [VPN-ден] десеңіз, оқуды осы жерден аяқтауға болады. Дегенмен, мұндай міндеттер кез келген басқа туннельдеу технологиясы үшін қойылғанын атап өтейін.
Жоғарыда келтірілген дәйексөздің ең қызықтысы «көп жағдайда» деген сөздерде жатыр, әрине, оны баспасөз елемеген. Міне, біз осы немқұрайлылықпен туындаған хаостың кесірінен осы мақалада қалдық.
WireGuard менің [IPsec] сайттан сайтқа VPN ауыстыра ма?
Жоқ. Cisco, Juniper және басқалар сияқты ірі жеткізушілердің өз өнімдері үшін WireGuard сатып алу мүмкіндігі жоқ. Олар қозғалыс кезінде «өтіп бара жатқан пойыздарға секірмейді», егер мұны істеудің қажеті болмаса. Кейінірек мен олардың WireGuard өнімдерін олар қаласа да, бортқа ала алмауының кейбір себептерін қарастырамын.
WireGuard менің RoadWarrior-ды ноутбуктан деректер орталығына апара ма?
Жоқ. Дәл қазір WireGuard-да мұндай нәрсені жасай алу үшін енгізілген маңызды мүмкіндіктердің көп саны жоқ. Мысалы, ол туннель сервері жағында динамикалық IP мекенжайларын пайдалана алмайды және мұның өзі өнімді осындай пайдаланудың бүкіл сценарийін бұзады.
IPFire жиі DSL немесе кабельдік қосылымдар сияқты арзан интернет сілтемелері үшін пайдаланылады. Бұл жылдам талшықты қажет етпейтін шағын немесе орта бизнес үшін мағынасы бар. [Аудармашының ескертпесі: Ресей мен кейбір ТМД елдері байланыс тұрғысынан Еуропа мен АҚШ-тан әлдеқайда алда екенін ұмытпаңыз, өйткені біз өз желілерімізді кейінірек және Ethernet және талшықты-оптикалық желілердің пайда болуымен құруды бастадық. стандартты болса, бізге қайта құру оңайырақ болды. ЕО немесе АҚШ-тың сол елдерінде 3-5 Мбит/с жылдамдықпен xDSL кең жолақты қол жеткізу әлі де жалпы норма болып табылады, ал талшықты-оптикалық қосылым біздің стандарттар бойынша нақты емес ақшаны талап етеді. Сондықтан мақала авторы DSL немесе кабельдік қосылымды ежелгі дәуір емес, норма ретінде айтады.] Дегенмен, DSL, кабель, LTE (және басқа сымсыз кіру әдістері) динамикалық IP мекенжайларына ие. Әрине, кейде олар жиі өзгермейді, бірақ олар өзгереді.
деп аталатын қосалқы жоба бар , ол осы кемшілікті жою үшін пайдаланушы кеңістігі демонын қосады. Жоғарыда сипатталған пайдаланушы сценарийіндегі үлкен мәселе динамикалық IPv6 адресациясының нашарлауы болып табылады.
Дистрибьютордың көзқарасы бойынша, мұның бәрі де жақсы көрінбейді. Дизайн мақсаттарының бірі хаттаманы қарапайым және таза ұстау болды.
Өкінішке орай, мұның бәрі тым қарапайым және қарапайым болды, сондықтан біз бұл дизайн нақты пайдалануда өміршең болуы үшін қосымша бағдарламалық жасақтаманы пайдалануымыз керек.
WireGuard қолдану оңай ма?
Әзірше емес. Мен WireGuard ешқашан екі нүкте арасындағы туннельдеуге жақсы балама болмайды деп айтпаймын, бірақ әзірге ол болуы керек өнімнің альфа нұсқасы ғана.
Бірақ ол шын мәнінде не істейді? IPsec-ті қолдау шынымен қиынырақ па?
Болмайтыны анық. IPsec жеткізушісі бұл туралы ойлады және өз өнімдерін IPFire сияқты интерфейспен бірге жібереді.
IPsec арқылы VPN туннелін орнату үшін сізге конфигурацияға енгізу қажет деректердің бес жинағы қажет: өзіңіздің жалпы IP мекенжайыңыз, қабылдаушы тараптың жалпыға ортақ IP мекенжайы, жалпыға ортақ болғыңыз келетін ішкі желілер. бұл VPN қосылымы және алдын ала ортақ кілт. Осылайша, VPN бірнеше минут ішінде орнатылады және кез келген жеткізушімен үйлесімді.
Өкінішке орай, бұл оқиғадан бірнеше ерекшеліктер бар. OpenBSD құрылғысына IPsec арқылы туннель жасауға тырысқан кез келген адам менің не туралы айтып тұрғанымды біледі. Тағы бірнеше ауыр мысалдар бар, бірақ шын мәнінде, IPsec пайдаланудың көптеген жақсы тәжірибелері бар.
Протоколдың күрделілігі туралы
Соңғы пайдаланушы хаттаманың күрделілігіне алаңдамауы керек.
Егер біз бұл пайдаланушыны алаңдататын әлемде өмір сүрсек, онда біз NAT-пен жақсы жұмыс істемейтін SIP, H.323, FTP және он жылдан астам бұрын жасалған басқа хаттамалардан құтылған болар едік.
IPsec WireGuard-қа қарағанда күрделірек болуының себептері бар: ол көп нәрсені жасайды. Мысалы, логин/пароль немесе EAP бар SIM картасы арқылы пайдаланушы аутентификациясы. Жаңасын қосудың кеңейтілген мүмкіндігі бар .
Ал WireGuard-та бұл жоқ.
Және бұл WireGuard бір сәтте бұзылатынын білдіреді, өйткені криптографиялық примитивтердің бірі әлсірейді немесе толығымен бұзылады. Техникалық құжаттаманың авторы былай дейді:
Айта кетейік, WireGuard криптографиялық пікірге ие. Ол шифрлар мен хаттамалардың икемділігіне әдейі жетіспейді. Егер негізгі примитивтерде елеулі тесіктер табылса, барлық соңғы нүктелерді жаңарту қажет болады. SLL/TLS осалдықтарының жалғасып жатқан ағынынан көріп отырғаныңыздай, шифрлаудың икемділігі қазір айтарлықтай өсті.
Соңғы сөйлем мүлдем дұрыс.
Қандай шифрлауды қолдану керектігі туралы консенсусқа жету IKE және TLS сияқты хаттамаларды жасайды более кешен. Тым күрделі ме? Иә, TLS/SSL жүйесінде осалдықтар жиі кездеседі және оларға балама жоқ.
Нақты проблемаларды елемеу туралы
Сізде әлемнің түкпір-түкпірінде 200 жауынгерлік клиенті бар VPN сервері бар деп елестетіп көріңіз. Бұл өте стандартты пайдалану жағдайы. Шифрлауды өзгерту қажет болса, жаңартуды осы ноутбуктердегі, смартфондардағы және т.б. WireGuard бағдарламасының барлық көшірмелеріне жеткізу керек. Бір мезгілде жеткізу. Бұл сөз жүзінде мүмкін емес. Мұны істеуге тырысатын әкімшілерге қажетті конфигурацияларды енгізу үшін айлар қажет болады және мұндай оқиғаны жою үшін орташа өлшемді компанияға бірнеше жыл қажет болады.
IPsec және OpenVPN шифрды келіссөздер мүмкіндігін ұсынады. Сондықтан, жаңа шифрлауды қосқаннан кейін біраз уақыт өткен соң, ескісі де жұмыс істейді. Бұл ағымдағы тұтынушыларға жаңа нұсқаға жаңартуға мүмкіндік береді. Жаңарту шығарылғаннан кейін сіз осал шифрлауды өшіресіз. Болды! Дайын! сен кереметсің! Клиенттер тіпті оны байқамайды.
Бұл шын мәнінде үлкен орналастырулар үшін өте кең таралған жағдай және тіпті OpenVPN-де бұл мәселеде біраз қиындықтар бар. Кері үйлесімділік маңызды және сіз әлсіз шифрлауды пайдалансаңыз да, көптеген адамдар үшін бұл бизнесті жабуға себеп емес. Өйткені ол өз жұмысын атқара алмағандықтан жүздеген тұтынушылардың жұмысын тоқтатады.
WireGuard командасы өз протоколын қарапайым етіп жасады, бірақ туннельдегі екі теңдесті де үнемі бақылай алмайтын адамдар үшін мүлдем жарамсыз. Менің тәжірибемде бұл ең көп таралған сценарий.
Криптография!
Бірақ WireGuard пайдаланатын бұл қызықты жаңа шифрлау дегеніміз не?
WireGuard кілт алмасу үшін Curve25519, шифрлау үшін ChaCha20 және деректердің аутентификациясы үшін Poly1305 пайдаланады. Ол сондай-ақ хэш кілттері үшін SipHash және хэштеу үшін BLAKE2 көмегімен жұмыс істейді.
ChaCha20-Poly1305 IPsec және OpenVPN (TLS арқылы) үшін стандартталған.
Дэниел Бернштейннің дамуы өте жиі қолданылатыны анық. BLAKE2 – SHA-3-ге ұқсастығына байланысты жеңіске жетпеген SHA-2 финалисті BLAKE-тің мұрагері. Егер SHA-2 бұзылса, BLAKE-ге де қауіп төнуі мүмкін еді.
IPsec және OpenVPN дизайнына байланысты SipHash қажет емес. Сондықтан қазіргі уақытта олармен бірге қолдануға болмайтын жалғыз нәрсе - BLAKE2 және ол стандартталғанға дейін ғана. Бұл үлкен кемшілік емес, өйткені VPN-тер тұтастықты жасау үшін HMAC пайдаланады, бұл тіпті MD5-пен бірге күшті шешім болып саналады.
Осылайша мен барлық VPN желілерінде бірдей дерлік криптографиялық құралдар жиынтығы қолданылады деген қорытындыға келдім. Сондықтан WireGuard шифрлауға немесе жіберілетін деректердің тұтастығына қатысты кез келген басқа ағымдағы өнімге қарағанда қауіпсіз емес.
Бірақ бұл жобаның ресми құжаттамасына сәйкес назар аударуға тұрарлық ең маңызды нәрсе емес. Өйткені, ең бастысы - жылдамдық.
WireGuard басқа VPN шешімдеріне қарағанда жылдамырақ па?
Қысқасы: жоқ, жылдам емес.
ChaCha20 - бағдарламалық құралда енгізу оңайырақ ағындық шифр. Ол бір уақытта бір бит шифрлайды. AES сияқты блоктау протоколдары блокты бір уақытта 128 бит шифрлайды. Аппараттық қолдауды жүзеге асыру үшін әлдеқайда көп транзисторлар қажет, сондықтан үлкенірек процессорлар оны жылдамдату үшін шифрлау процесінің кейбір тапсырмаларын орындайтын AES-NI, нұсқаулар жиынтығы кеңейтімімен бірге келеді.
AES-NI ешқашан смартфондарға кірмейді деп күтілген еді [бірақ ол болды — шамамен. пер.]. Бұл үшін ChaCha20 жеңіл, батареяны үнемдейтін балама ретінде әзірленді. Сондықтан бүгін сатып алуға болатын әрбір смартфонның AES жеделдетудің қандай да бір түрі бар және ChaCha20-ге қарағанда осы шифрлау арқылы жылдамырақ және аз қуат тұтынумен жұмыс істейтіні сізге жаңалық болуы мүмкін.
Соңғы екі жылда сатып алынған әрбір жұмыс үстелі/сервер процессорында AES-NI бар екені анық.
Сондықтан мен AES әр сценарийде ChaCha20-дан асып түседі деп күтемін. WireGuard ресми құжаттамасында AVX512 көмегімен ChaCha20-Poly1305 AES-NI-дан асып түсетіні айтылады, бірақ бұл нұсқаулықтар жинағы кеңейтімі тек үлкенірек процессорларда қол жетімді болады, бұл AES-пен әрқашан жылдамырақ болатын кішірек және мобильді жабдыққа көмектеспейді. - Н.И.
Мен мұны WireGuard әзірлеу кезінде болжауға болатын-болмайтынына сенімді емеспін, бірақ бүгінгі күні оның шифрлау үшін ғана бекітілгендігі оның жұмысына өте жақсы әсер етпеуі мүмкін кемшілік болып табылады.
IPsec сіздің жағдайыңыз үшін қай шифрлау жақсы екенін еркін таңдауға мүмкіндік береді. Әрине, бұл, мысалы, VPN қосылымы арқылы 10 немесе одан да көп гигабайт деректерді тасымалдағыңыз келсе қажет.
Linux жүйесіндегі интеграция мәселелері
WireGuard заманауи шифрлау протоколын таңдағанымен, бұл қазірдің өзінде көптеген проблемаларды тудырады. Осылайша, ядро қолдайтын нәрсені пайдаланудың орнына, Linux-та осы примитивтердің болмауына байланысты WireGuard интеграциясы жылдар бойы кешіктірілді.
Мен басқа операциялық жүйелердегі жағдайдың қандай екеніне толық сенімді емеспін, бірақ бұл Linux жүйесінен айырмашылығы жоқ шығар.
Шындық неге ұқсайды?
Өкінішке орай, клиент маған VPN қосылымын орнатуды сұраған сайын, олар ескірген тіркелгі деректерін және шифрлауды пайдаланып жатыр деген мәселеге тап боламын. MD3-пен бірге 5DES AES-256 және SHA1 сияқты әлі де кең таралған тәжірибе болып табылады. Соңғысы сәл жақсырақ болса да, бұл 2020 жылы пайдаланылуы керек нәрсе емес.
Кілттерді ауыстыру үшін әрқашан RSA пайдаланылады - баяу, бірақ жеткілікті қауіпсіз құрал.
Менің клиенттерім кеден органдарымен және басқа да мемлекеттік ұйымдармен және мекемелермен, сондай-ақ есімдері бүкіл әлемге танымал ірі корпорациялармен байланысты. Олардың барлығы ондаған жылдар бұрын жасалған сұрау пішінін пайдаланады және SHA-512 пайдалану мүмкіндігі ешқашан қосылмаған. Бұл қандай да бір түрде технологиялық прогреске әсер етеді деп айта алмаймын, бірақ ол корпоративтік үдерісті баяулатады.
Мұны көру маған қатты ауырады, өйткені IPsec 2005 жылдан бері эллиптикалық қисықтарды қолдайды. Curve25519 да жаңарақ және пайдалануға қолжетімді. Camellia және ChaCha20 сияқты AES баламалары да бар, бірақ олардың барлығына Cisco және басқалар сияқты ірі жеткізушілер қолдау көрсетпейді.
Ал адамдар оны пайдаланады. Көптеген Cisco жинақтары бар, Cisco-мен жұмыс істеуге арналған көптеген жинақтар бар. Олар осы сегментте нарық көшбасшылары болып табылады және инновациялардың кез келген түріне аса қызығушылық танытпайды.
Иә, [корпоративтік сегменттегі] жағдай қорқынышты, бірақ WireGuard арқасында біз ешқандай өзгерістерді көрмейміз. Жеткізушілер бұрыннан пайдаланып жатқан құралдар мен шифрлауда өнімділік мәселелерін ешқашан көрмеуі мүмкін, IKEv2-мен ешқандай проблемаларды көрмейді, сондықтан олар балама іздемейді.
Жалпы, сіз Cisco-дан бас тарту туралы ойладыңыз ба?
Эталондар
Енді WireGuard құжаттамасының эталондарына көшейік. Бұл [құжаттама] ғылыми мақала болмаса да, мен әзірлеушілер әлі де ғылыми көзқарасты немесе анықтама ретінде ғылыми тәсілді қолданады деп күттім. Кез келген эталондар, егер оларды қайта шығару мүмкін болмаса, пайдасыз, ал зертханада алынған кезде одан да пайдасыз.
WireGuard Linux құрастыруында ол GSO - Жалпы сегментацияны түсіру мүмкіндігін пайдаланады. Оның арқасында клиент 64 килобайттан тұратын үлкен пакет жасайды және оны бір уақытта шифрлайды/шифрын шешеді. Осылайша, криптографиялық операцияларды шақыру және жүзеге асыру құны төмендейді. Егер сіз VPN қосылымының өткізу қабілетін арттырғыңыз келсе, бұл жақсы идея.
Бірақ, әдеттегідей, шындық соншалықты қарапайым емес. Мұндай үлкен пакетті желілік адаптерге жіберу оны көптеген кішірек пакеттерге бөлуді талап етеді. Қалыпты жіберу өлшемі 1500 байт. Яғни, 64 килобайттан тұратын гигантымыз 45 пакетке (1240 байт ақпарат және 20 байт IP тақырыбы) бөлінеді. Содан кейін біраз уақытқа олар желілік адаптердің жұмысын толығымен блоктайды, өйткені олар бірге және бірден жіберілуі керек. Нәтижесінде бұл басымдықты секіруге әкеледі және мысалы, VoIP сияқты пакеттер кезекте тұрады.
Осылайша, WireGuard соншалықты батыл мәлімдеген жоғары өткізу қабілеті басқа қолданбалардың желісін баяулату есебінен қол жеткізіледі. WireGuard командасы қазірдің өзінде бұл менің қорытындым.
Бірақ ары қарай жүрейік.
Техникалық құжаттамадағы эталондарға сәйкес қосылу 1011 Мбит/с өткізу қабілеттілігін көрсетеді.
Әсерлі.
Бұл әсіресе бір Gigabit Ethernet қосылымының максималды теориялық өткізу қабілеті 966 Мбит/с, пакет өлшемі 1500 байт минус IP тақырыбы үшін 20 байт, UDP тақырыбы үшін 8 байт және тақырып үшін 16 байт болатындығы әсерлі. WireGuard өзі. Инкапсуляцияланған пакетте тағы бір IP тақырыбы және 20 байтқа арналған TCP-де тағы бір тақырып бар. Сонымен, бұл қосымша өткізу қабілеттілігі қайдан пайда болды?
Үлкен кадрлармен және жоғарыда айтқан GSO артықшылықтарымен 9000 байт кадр өлшемі үшін теориялық максимум 1014 Мбит/с болады. Әдетте мұндай өткізу қабілеті іс жүзінде мүмкін емес, өйткені ол үлкен қиындықтармен байланысты. Осылайша, сынақ теориялық максимум 64 Мбит/с болатын 1023 килобайттық одан да үлкен өлшемді кадрларды қолдану арқылы орындалды деп болжауға болады, оны тек кейбір желілік адаптерлер ғана қолдайды. Бірақ бұл нақты жағдайларда мүлдем қолданылмайды немесе тек екі тікелей қосылған станция арасында, тек сынақ стендінде ғана қолданылуы мүмкін.
Бірақ VPN туннелі екі хост арасында жұмбо кадрларды мүлде қолдамайтын Интернет қосылымы арқылы жіберілетіндіктен, стендте қол жеткізілген нәтиже эталон ретінде қабылданбайды. Бұл нақты ұрыс жағдайында мүмкін емес және қолданылмайтын зертханалық жетістік.
Тіпті деректер орталығында отырып, мен 9000 байттан үлкен кадрларды тасымалдай алмадым.
Нақты өмірде қолдану критерийі мүлде бұзылған және менің ойымша, жүргізілген «өлшемнің» авторы белгілі себептермен өзін қатты жаманатты.
Үміттің соңғы сәулесі
WireGuard веб-сайтында контейнерлер туралы көп айтылады және оның шын мәнінде не үшін арналғаны анық болады.
Ешқандай конфигурацияны қажет етпейтін қарапайым және жылдам VPN, бұлттағы Amazon сияқты ауқымды оркестрлік құралдармен орналастырылуы және конфигурациялануы мүмкін. Атап айтқанда, Amazon жоғарыда айтқан AVX512 сияқты соңғы аппараттық құралдарды пайдаланады. Бұл жұмысты жылдамдату және x86 немесе басқа архитектураға байланбау үшін жасалады.
Олар өткізу қабілеттілігін және 9000 байттан асатын пакеттерді оңтайландырады - бұл контейнерлердің бір-бірімен байланысуы немесе сақтық көшірме операциялары, суреттерді жасау немесе сол контейнерлерді орналастыру үшін үлкен инкапсуляцияланған кадрлар болады. Тіпті динамикалық IP мекенжайлары мен сипаттаған сценарий жағдайында WireGuard жұмысына ешқандай әсер етпейді.
Жақсы ойнадыңыз. Керемет іске асыру және өте жұқа, дерлік анықтамалық хаттама.
Бірақ ол сіз толығымен басқаратын деректер орталығынан тыс әлемге сәйкес келмейді. Тәуекелге барсаңыз және WireGuard қолданбасын пайдалана бастасаңыз, шифрлау хаттамасын әзірлеу мен енгізуде үнемі ымыраға келуге тура келеді.
қорытынды
Мен үшін WireGuard әлі дайын емес деген қорытынды жасау оңай.
Ол бар шешімдері бар бірқатар мәселелерді жеңіл және жылдам шешу ретінде ойластырылған. Өкінішке орай, осы шешімдер үшін ол көптеген пайдаланушылар үшін өзекті болатын көптеген мүмкіндіктерді құрбан етті. Сондықтан ол IPsec немесе OpenVPN алмастыра алмайды.
WireGuard бәсекеге қабілетті болуы үшін кем дегенде IP мекенжайы параметрін және маршруттау мен DNS конфигурациясын қосу керек. Шифрланған арналар осы үшін екені анық.
Қауіпсіздік - менің басты басымдығым және дәл қазір IKE немесе TLS қандай да бір түрде бұзылған немесе бұзылған деп сенуге ешқандай себеп жоқ. Заманауи шифрлау олардың екеуінде де қолдайды және олар ондаған жылдар бойы жұмыс істеу арқылы дәлелденді. Бір нәрсенің жаңа болуы оның жақсырақ екенін білдірмейді.
Станциялары сіз басқармайтын үшінші тараптармен байланысқан кезде өзара әрекеттесу өте маңызды. IPsec іс жүзінде стандарт болып табылады және барлық жерде дерлік қолдау көрсетіледі. Және ол жұмыс істейді. Бұл қалай көрінсе де, теорияда WireGuard болашақта тіпті әртүрлі нұсқаларымен үйлесімді болмауы мүмкін.
Кез келген криптографиялық қорғаныс ерте ме, кеш пе бұзылады және сәйкесінше ауыстырылуы немесе жаңартылуы керек.
Осы фактілердің барлығын жоққа шығару және iPhone-ды үй жұмыс станциясына қосу үшін WireGuard қолданбасын қолданғысы келмеуі - бұл басыңызды құмға қоюдың шеберлік сабағы.
Ақпарат көзі: www.habr.com