🥇사용하면 안 되는 이유 WireGuard

최근 WireGuard 많은 관심을 끌고 있으며, 실제로 새로운 "스타"로 떠오르고 있습니다. VPN하지만 정말 보이는 것처럼 좋을까요? 몇 가지 관찰 결과를 공유하고 구현 방식을 검토해 보겠습니다. WireGuardIPsec을 대체할 솔루션이 아닌 이유를 설명하기 위해 OpenVPN.

이 글에서는 [관련된] 몇 가지 오해를 바로잡고자 합니다. WireGuard네, 글이 꽤 길어요. 그러니 아직 차나 커피를 준비하지 않으셨다면 지금이 바로 시작할 때입니다. 그리고 제 두서없는 생각을 교정해 준 피터에게도 감사를 전하고 싶습니다.

개발자들의 신뢰도를 떨어뜨리는 것이 제 목표는 아닙니다. WireGuard그들의 노력이나 아이디어를 폄하하는 것입니다. 그들의 제품은 작동하지만, 개인적으로는 실제와는 완전히 다른 모습으로, 즉 IPsec을 대체하는 것처럼 홍보되고 있다고 생각합니다. OpenVPN사실 지금은 존재하지 않는 것입니다.

참고로, 그러한 포지셔닝에 대한 책임은 다음과 같습니다. WireGuard 논란은 해당 프로젝트를 보도한 언론 매체에 의해 확산된 것이지, 프로젝트 자체나 제작자에 의해 확산된 것이 아닙니다.

최근 코어라는 주제에 관해서 Linux 좋은 소식은 별로 없었습니다. 소프트웨어로 완화된 엄청난 프로세서 취약점에 대한 이야기가 나왔는데, 리누스 토르발스의 설명은 개발자의 실용적인 언어로 쓰여 있어서 너무 조잡하고 지루했습니다. 스케줄러나 레벨 0 네트워크 스택 같은 것도 화려한 잡지에 실릴 만한 명확한 주제는 아니었죠. 그러던 중, 갑자기 등장한 것이 있었습니다. WireGuard.

서류상으로는 모든 것이 훌륭하게 들립니다. 흥미진진한 신기술입니다.

하지만 조금 더 자세히 살펴보자.

기술 문서 WireGuard

이 기사는 공식 문서 WireGuard제이슨 도넨펠드가 쓴 글에서 그는 개념, 목적 및 기술적 구현에 대해 설명합니다.WireGuard핵심에 ] Linux.

첫 번째 문장은 다음과 같습니다.

WireGuard […]는 대부분의 사용 사례에서 IPsec을 대체하는 것은 물론, 다른 인기 있는 사용자 공간 및/또는 TLS 기반 솔루션도 대체하는 것을 목표로 합니다. OpenVPN더 안전하고, 더 생산적이며, 사용하기 쉬운 [도구]입니다.

물론 모든 신기술의 주요 이점은 단순함 [전작과 비교]. 그러나 VPN은 또한 효율적이고 안전한.

그리고 다음은 무엇입니까?

이것이 [VPN에서] 필요한 것이 아니라고 말하면 여기에서 읽기를 종료할 수 있습니다. 그러나 이러한 작업은 다른 터널링 기술에 대해 설정되어 있습니다.

위의 인용문 중 가장 흥미로운 것은 "대부분의 경우"라는 단어에 있습니다. 물론 언론에서는 무시했습니다. 그래서 우리는 이 기사에서 이러한 태만으로 인해 발생한 혼돈으로 인해 결국 우리가 있는 곳입니다.

그런 일이 일어날까요? WireGuard 기존 IPsec 사이트 간 VPN을 교체해야 하나요?

아니요. 시스코, 주니퍼 등과 같은 대형 업체들이 자사 제품에 해당 기술을 적용할 가능성은 전혀 없습니다. WireGuard그들은 절박한 필요가 없는 한 "지나가는 기차에 뛰어오르는" 일은 하지 않습니다. 나중에 그들이 제품을 기차에 설치할 수 없을 가능성이 높은 몇 가지 이유에 대해 설명하겠습니다. WireGuard설령 그들이 원한다고 해도.

살아남을 수 있을까요? WireGuard 내 RoadWarrior를 노트북에서 데이터 센터로 옮기는 방법은 무엇인가요?

아니요. 지금 바로 WireGuard 이러한 기능을 구현하려면 수많은 중요한 기능이 누락되어 있습니다. 예를 들어, 터널 서버 측에서 동적 IP 주소를 사용할 수 없는데, 이 하나만으로도 이 제품의 전체적인 사용 사례가 불가능해집니다.

IPFire는 종종 DSL 또는 케이블 연결과 같은 저렴한 인터넷 링크에 사용됩니다. 이는 빠른 광섬유가 필요하지 않은 중소기업에 적합합니다. [번역가의 참고 사항 : 통신 측면에서 러시아와 일부 CIS 국가는 유럽과 미국보다 훨씬 앞서 있다는 사실을 잊지 마십시오. 우리는 훨씬 늦게 네트워크를 구축하기 시작했고 이더넷 및 광섬유 네트워크가 표준, 우리가 재건하는 것이 더 쉬웠습니다. EU 또는 미국의 동일한 국가에서는 3-5Mbps 속도의 xDSL 광대역 액세스가 여전히 일반적인 표준이며 광섬유 연결에는 우리 표준에 따라 비현실적인 비용이 듭니다. 따라서 글의 저자는 고대가 아닌 DSL이나 케이블 연결을 표준으로 이야기합니다.] 그러나 DSL, 케이블, LTE(및 기타 무선 액세스 방법)에는 동적 IP 주소가 있습니다. 물론 자주 바뀌지 않을 때도 있지만 바뀌기는 합니다.

라는 하위 프로젝트가 있습니다. "wg-동적", 이 단점을 극복하기 위해 사용자 공간 데몬을 추가합니다. 위에서 설명한 사용자 시나리오의 큰 문제는 동적 IPv6 주소 지정의 악화입니다.

배급사의 관점에서 볼 때 이 모든 것이 그리 좋아 보이지는 않습니다. 설계 목표 중 하나는 프로토콜을 단순하고 깔끔하게 유지하는 것이었습니다.

불행하게도 이 모든 것이 실제로는 너무 단순하고 원시적이어서 이 전체 디자인이 실제로 사용 가능하려면 추가 소프트웨어를 사용해야 합니다.

WireGuard 사용하기가 정말 쉬운가요?

아직은 아니에요. 그런 말은 안 했어요. WireGuard 두 지점 사이를 터널링하는 데 완벽한 대안은 아니겠지만, 지금은 앞으로 개발될 제품의 알파 버전일 뿐입니다.

그러나 그는 실제로 무엇을합니까? IPsec은 정말 유지하기가 훨씬 더 어렵습니까?

당연히 아니. IPsec 공급업체는 이를 고려하여 IPFire와 같은 인터페이스와 함께 제품을 제공합니다.

IPsec을 통해 VPN 터널을 설정하려면 구성에 입력해야 하는 XNUMX가지 데이터 세트가 필요합니다. 자신의 공용 IP 주소, 수신자의 공용 IP 주소, 공개하려는 서브넷 이 VPN 연결 및 사전 공유 키. 따라서 VPN은 몇 분 안에 설정되며 모든 공급업체와 호환됩니다.

불행히도 이 이야기에는 몇 가지 예외가 있습니다. IPsec을 통해 OpenBSD 시스템으로 터널링을 시도한 사람이라면 누구나 내가 말하는 내용을 알 것입니다. 고통스러운 예가 몇 가지 더 있지만 실제로는 IPsec을 사용하기 위한 더 많은 좋은 사례가 있습니다.

프로토콜 복잡성 정보

최종 사용자는 프로토콜의 복잡성에 대해 걱정할 필요가 없습니다.

이것이 사용자의 진정한 관심사인 세상에 살고 있다면 NAT와 잘 작동하지 않는 SIP, H.323, FTP 및 XNUMX년 이상 전에 만들어진 기타 프로토콜을 제거했을 것입니다.

IPsec이 다른 프로토콜보다 더 복잡한 데에는 몇 가지 이유가 있습니다. WireGuard: 훨씬 더 많은 기능을 제공합니다. 예를 들어, 로그인/비밀번호 또는 EAP를 지원하는 SIM 카드를 사용하여 사용자를 인증합니다. 또한 새로운 사용자를 추가할 수 있는 확장된 기능도 갖추고 있습니다. 암호화 프리미티브.

그리고 y WireGuard 이것은 아니다.

그리고 이것은 다음을 의미합니다. WireGuard 어느 시점에선가 암호화 기본 요소 중 하나가 약화되거나 완전히 손상되어 실패하게 될 것입니다. 기술 문서 작성자는 이를 다음과 같이 설명합니다.

그것은 언급되어야 WireGuard 암호학적으로 지나치게 자신만만합니다. 의도적으로 암호화 알고리즘과 프로토콜에 유연성이 부족합니다. 기본 요소에 심각한 취약점이 발견되면 모든 엔드포인트를 업데이트해야 합니다. 최근 쏟아져 나오는 SSL/TLS 취약점에서 알 수 있듯이, 암호화 유연성은 이제 급격히 증가했습니다.

마지막 문장이 절대적으로 맞습니다.

사용할 암호화에 대한 합의에 도달하면 IKE 및 TLS와 같은 프로토콜이 만들어집니다. 더 복잡한. 너무 복잡한? 예, 취약성은 TLS/SSL에서 매우 일반적이며 이에 대한 대안이 없습니다.

실제 문제를 무시할 때

전 세계 어딘가에 200개의 운영 클라이언트가 연결된 VPN 서버가 있다고 상상해 보세요. 이는 상당히 일반적인 사용 사례입니다. 암호화 방식을 변경해야 하는 경우 모든 클라이언트에 업데이트를 배포해야 합니다. WireGuard 이러한 노트북, 스마트폰 등에서. 동시에 배달하다. 말 그대로 불가능합니다. 이 작업을 수행하려는 관리자는 필요한 구성을 배포하는 데 몇 달이 걸리며 이러한 이벤트를 실행하는 데 말 그대로 중간 규모 회사는 몇 년이 걸립니다.

IPsec 및 OpenVPN 암호 협상 기능을 제공합니다. 따라서 새 암호화를 활성화한 후에도 짧은 시간 동안 기존 암호화도 작동합니다. 이를 통해 기존 고객은 새 버전으로 업그레이드할 수 있습니다. 업데이트가 배포되면 취약한 암호화를 비활성화하기만 하면 됩니다. 끝입니다! 정말 멋지네요! 고객은 전혀 눈치채지 못할 겁니다.

이는 실제로 대규모 배포에서 매우 흔한 경우이며, 심지어 OpenVPN 이 부분에서 몇 가지 어려움이 있습니다. 하위 호환성은 중요하며, 비록 더 약한 암호화를 사용하더라도 많은 기업에게는 이것이 사업을 중단할 이유가 되지 않습니다. 왜냐하면 그렇게 되면 수백 명의 고객이 업무를 수행할 수 없게 되어 사업이 마비될 것이기 때문입니다.

팀 WireGuard 프로토콜을 단순화했지만, 터널의 양쪽 피어를 지속적으로 제어할 수 없는 사용자에게는 전혀 적합하지 않습니다. 제 경험상, 이것이 가장 흔한 시나리오입니다.

암호화!

그런데 지금 사용되고 있는 이 흥미로운 새로운 암호화 기술은 무엇일까요? WireGuard?

WireGuard 이 시스템은 키 교환에 Curve25519, 암호화에 ChaCha20, 데이터 인증에 Poly1305를 사용합니다. 또한 키 해시에 SipHash, 해싱에 BLAKE2를 지원합니다.

ChaCha20-Poly1305는 IPsec에 대한 표준입니다. OpenVPN (TLS를 통해).

Daniel Bernstein의 개발이 매우 자주 사용되는 것은 당연합니다. BLAKE2는 SHA-3와의 유사성 때문에 우승하지 못한 SHA-2 결선 진출자인 BLAKE의 후속작입니다. SHA-2가 손상되면 BLAKE도 손상될 가능성이 높습니다.

IPsec 및 OpenVPN SipHash는 설계 특성상 필수 사항이 아닙니다. 따라서 현재로서는 BLAKE2만 사용할 수 있으며, 이는 표준화가 완료될 때까지의 기간입니다. VPN은 무결성 유지를 위해 HMAC를 사용하는데, 이는 MD5와 함께 사용하더라도 강력한 보안 솔루션으로 간주되므로 이는 큰 단점은 아닙니다.

그래서 저는 모든 VPN이 거의 동일한 암호화 도구를 사용한다는 결론에 도달했습니다. 따라서 WireGuard 암호화 또는 전송되는 데이터의 무결성 측면에서 다른 현행 제품과 비교했을 때 더 안전하거나 덜 안전한 것은 아닙니다.

그러나 이것조차도 가장 중요한 것은 아니며 프로젝트의 공식 문서에 따르면 주목할 가치가 있습니다. 결국 가장 중요한 것은 속도입니다.

WireGuard 다른 VPN 솔루션보다 더 빠른가요?

요컨대, 아니오, 더 빠르지는 않습니다.

ChaCha20은 소프트웨어로 구현하기 쉬운 스트림 암호입니다. 한 번에 한 비트씩 암호화합니다. AES와 같은 블록 프로토콜은 한 번에 128비트씩 블록을 암호화합니다. 하드웨어 지원을 구현하려면 훨씬 더 많은 트랜지스터가 필요하므로 더 큰 프로세서에는 속도를 높이기 위해 암호화 프로세스의 일부 작업을 수행하는 명령 집합 확장인 AES-NI가 함께 제공됩니다.

AES-NI는 스마트폰에 절대 들어가지 않을 것으로 예상되었지만 [하지만 그랬습니다. 당.]. 이를 위해 ChaCha20은 가볍고 배터리를 절약하는 대안으로 개발되었습니다. 따라서 오늘날 구입할 수 있는 모든 스마트폰에는 일종의 AES 가속 기능이 있으며 ChaCha20보다 이 암호화를 통해 더 빠르고 전력 소비가 적다는 소식이 들릴 수 있습니다.

분명히 지난 몇 년 동안 구입한 거의 모든 데스크톱/서버 프로세서에는 AES-NI가 있습니다.

따라서 저는 AES가 모든 시나리오에서 ChaCha20보다 우수한 성능을 보일 것으로 예상합니다. (공식 문서 참조) WireGuard AVX512 덕분에 ChaCha20-Poly1305가 AES-NI보다 성능이 우수할 것이라고 언급되었지만, 이 명령어 세트 확장은 대형 프로세서에서만 사용할 수 있으므로 소형 및 모바일 하드웨어에서는 도움이 되지 않으며, 이러한 하드웨어에서는 항상 AES-NI가 더 빠를 것입니다.

개발 과정에서 이런 문제를 예측할 수 있었을지는 잘 모르겠습니다. WireGuard하지만 오늘날 하나의 암호화 방식에만 의존해야 한다는 사실은 이미 운영에 그다지 좋은 영향을 미치지 못할 수 있는 불리한 요소로 작용하고 있습니다.

IPsec을 사용하면 상황에 가장 적합한 암호화를 자유롭게 선택할 수 있습니다. 물론 이것은 예를 들어 VPN 연결을 통해 10GB 이상의 데이터를 전송하려는 경우에 필요합니다.

통합의 문제점 Linux

이기는하지만 WireGuard 저는 최신 암호화 프로토콜을 선택했는데, 이 프로토콜 때문에 이미 많은 문제가 발생하고 있습니다. 그래서 커널에서 기본적으로 지원하는 기능을 사용하는 대신, 통합 과정에서 자체 프로토콜을 사용하기로 했습니다. WireGuard 이러한 기본 요소들의 부족으로 인해 수년간 연기되었습니다. Linux.

다른 운영체제에서는 상황이 어떤지 정확히는 모르겠지만, 아마 크게 다르지 않을 것 같습니다. Linux.

현실은 어떤 모습일까요?

안타깝게도 고객이 VPN 연결 설정을 요청할 때마다 오래된 자격 증명과 암호화를 사용하고 있다는 문제에 직면하게 됩니다. MD3와 함께 5DES는 AES-256 및 SHA1과 마찬가지로 여전히 일반적인 관행입니다. 후자가 약간 더 낫긴 하지만 2020년에 사용해야 하는 것은 아닙니다.

키 교환용 항상 느리지만 상당히 안전한 도구인 RSA가 사용됩니다.

내 고객은 세관 당국 및 기타 정부 조직 및 기관뿐만 아니라 전 세계에 이름이 알려진 대기업과 관련되어 있습니다. 그들은 모두 수십 년 전에 생성된 요청 양식을 사용하며 SHA-512를 사용하는 기능은 추가되지 않았습니다. 어떻게든 기술 발전에 분명히 영향을 미친다고 말할 수는 없지만 분명히 기업 프로세스가 느려집니다.

IPsec이 2005년부터 직접 타원 곡선을 지원해 왔기 때문에 이것을 보는 것이 마음이 아픕니다. Curve25519도 최신 버전이며 사용할 수 있습니다. Camellia 및 ChaCha20과 같은 AES에 대한 대안도 있지만 Cisco 및 기타와 같은 주요 공급업체에서 이들 모두를 지원하는 것은 아닙니다.

그리고 사람들은 그것을 이용합니다. 많은 Cisco 키트가 있으며 Cisco와 함께 작동하도록 설계된 많은 키트가 있습니다. 그들은 이 부문의 시장 리더이며 어떤 종류의 혁신에도 그다지 관심이 없습니다.

네, [기업 부문의] 상황은 매우 좋지 않지만, 이로 인해 어떤 변화도 일어나지는 않을 것입니다. WireGuard제조업체들은 이미 사용하고 있는 도구와 암호화 방식에서 성능 문제를 발견할 가능성이 거의 없으며, IKEv2에서도 문제를 발견하지 못할 것이므로 대안을 찾지 않을 것입니다.

일반적으로 Cisco를 포기하는 것에 대해 생각해 본 적이 있습니까?

벤치마크

이제 문서에 나와 있는 벤치마크 자료로 넘어가 보겠습니다. WireGuard이 문서가 과학 논문은 아니지만, 개발자들이 좀 더 과학적인 접근 방식을 취하거나, 과학적 접근 방식을 벤치마크로 활용했으면 좋았을 거라고 생각합니다. 벤치마크는 재현할 수 없으면 무용지물이고, 실험실 환경에서 얻은 결과라면 더더욱 무용지물입니다.

조립 과정에서 WireGuard 에 Linux 이 방식은 GSO(Generic Segmentation Offloading)를 사용하여 이점을 얻습니다. 이를 통해 클라이언트는 최대 64킬로바이트 크기의 패킷을 생성하고 단일 패스로 암호화/복호화할 수 있습니다. 결과적으로 암호화 작업 및 호출 비용이 절감됩니다. VPN 연결의 처리량을 극대화하려는 경우 이 방식이 효과적입니다.

그러나 늘 그렇듯이 현실은 그렇게 단순하지 않습니다. 이러한 큰 패킷을 네트워크 어댑터로 보내려면 많은 작은 패킷으로 잘라야 합니다. 일반적인 전송 크기는 1500바이트입니다. 즉, 우리의 거대한 64킬로바이트는 45개의 패킷(1240바이트의 정보와 20바이트의 IP 헤더)으로 나뉩니다. 그런 다음 한 번에 함께 보내야하기 때문에 잠시 동안 네트워크 어댑터의 작업을 완전히 차단합니다. 결과적으로 이것은 우선 순위 점프로 이어지고 예를 들어 VoIP와 같은 패킷이 대기하게 됩니다.

따라서, 그토록 자신 있게 주장하는 높은 처리량은... WireGuard이는 다른 애플리케이션의 네트워크 성능을 저하시킴으로써 달성됩니다. 그리고 팀은 WireGuard 이미 확인 된 이것이 나의 결론이다.

그러나 계속 진행합시다.

기술 문서의 벤치마크에 따르면 연결은 1011Mbps의 처리량을 보여줍니다.

인상적.

이는 특히 인상적인데, 단일 기가비트 이더넷 연결의 이론상 최대 처리량은 패킷 크기가 1500바이트에서 IP 헤더 20바이트, UDP 헤더 8바이트, 그리고 헤더 자체 16바이트를 뺀 값인 966Mbps이기 때문입니다. WireGuard캡슐화된 패킷에는 IP 헤더가 하나 더 있고, TCP 헤더도 하나 더 있는데, 각각 20바이트 길이입니다. 그렇다면 이 추가 대역폭은 어디에서 오는 걸까요?

거대한 프레임과 위에서 언급한 GSO의 이점으로 인해 9000바이트의 프레임 크기에 대한 이론적 최대값은 1014Mbps가 됩니다. 일반적으로 이러한 처리량은 큰 어려움과 관련되어 있기 때문에 실제로는 달성할 수 없습니다. 따라서 일부 네트워크 어댑터에서만 지원되는 이론상 최대 64Mbps인 1023KB의 훨씬 더 큰 대형 프레임을 사용하여 테스트를 수행했다고 가정할 수 있습니다. 그러나 이것은 실제 조건에서는 절대적으로 적용할 수 없거나 테스트 벤치 내에서 독점적으로 직접 연결된 두 스테이션 사이에서만 사용할 수 있습니다.

그러나 VPN 터널은 점보 프레임을 전혀 지원하지 않는 인터넷 연결을 사용하여 두 호스트 간에 전달되기 때문에 벤치에서 얻은 결과를 벤치마크로 사용할 수 없습니다. 이것은 단순히 실제 전투 조건에서 불가능하고 적용할 수 없는 비현실적인 실험실 성과입니다.

데이터 센터에 앉아 있어도 9000바이트가 넘는 프레임을 전송할 수 없었습니다.

실생활에서의 적용 가능성의 기준은 절대적으로 위반되며 "측정"의 저자는 명백한 이유로 자신을 심각하게 불신했습니다.

마지막 희망의 빛

사이트 WireGuard 컨테이너에 대한 이야기가 많이 나오는데, 실제로 컨테이너가 무엇을 위해 만들어졌는지 분명해집니다.

구성이 필요 없고 Amazon과 같은 대규모 오케스트레이션 도구를 사용하여 클라우드에 배포 및 구성할 수 있는 간단하고 빠른 VPN입니다. 특히 Amazon은 앞서 언급한 AVX512와 같은 최신 하드웨어 기능을 사용합니다. 이것은 작업 속도를 높이고 x86 또는 다른 아키텍처에 얽매이지 않기 위해 수행됩니다.

이들은 처리량과 9000바이트를 초과하는 패킷 크기를 최적화합니다. 그 결과 컨테이너 통신, 백업 작업, 스냅샷 생성 또는 컨테이너 배포를 위한 거대한 캡슐화 프레임이 생성됩니다. 동적 IP 주소를 사용하더라도 성능에는 영향을 미치지 않습니다. WireGuard 제가 설명한 시나리오의 경우입니다.

잘 놀았다. 훌륭한 구현과 매우 얇고 거의 참조 프로토콜입니다.

하지만 이는 사용자가 완벽하게 제어하는 데이터 센터 외부 환경에는 적합하지 않습니다. 위험을 감수하고 사용을 시작한다면... WireGuard암호화 프로토콜을 설계하고 구현할 때는 끊임없이 타협해야 할 것입니다.

출력

나는 다음과 같은 결론을 내리는 것이 어렵지 않다. WireGuard 아직 준비되지 않았습니다.

기존 솔루션의 여러 문제점을 해결하기 위한 경량화 및 고속 솔루션으로 개발되었습니다. 하지만 이러한 목표를 달성하기 위해 대부분의 사용자에게 중요한 여러 기능을 희생해야 했습니다. 따라서 IPsec이나 다른 기술을 대체할 수는 없습니다. OpenVPN.

... 할 목적으로 WireGuard 경쟁력을 갖추려면 최소한 IP 주소 구성, 라우팅 및 DNS 구성을 추가해야 합니다. 이를 위해서는 암호화된 채널이 필수적입니다.

보안은 저의 최우선 순위이며 지금 당장은 IKE 또는 TLS가 어떤 식으로든 손상되거나 손상되었다고 믿을 이유가 없습니다. 최신 암호화는 두 가지 모두에서 지원되며 수십 년 동안 작동하여 입증되었습니다. 어떤 것이 더 새롭다고 해서 더 좋은 것은 아닙니다.

자신이 제어하지 않는 제3자의 스테이션과 통신할 때는 상호 운용성이 매우 중요합니다. IPsec은 사실상의 표준이며 거의 모든 곳에서 지원됩니다. 그리고 제대로 작동합니다. 그리고 겉보기에는 어떤 모습이든, 이론상으로는 그렇습니다. WireGuard 미래에는 서로 다른 버전과도 호환되지 않을 수 있습니다.

모든 암호화 보호는 조만간 손상되므로 교체하거나 업데이트해야 합니다.

이러한 모든 사실을 부인하고 맹목적으로 사용하려는 욕망 WireGuard 연결하려면 iPhone 홈 워크스테이션으로의 전환은 현실을 외면하는 전형적인 사례입니다.

출처 : habr.com

사용하지 말아야 할 이유 WireGuard