WireGuard di van demên dawî de gelek balê dikişîne, bi rastî ew stêrka nû di nav VPN de ye. Lê gelo ew bi qasî ku xuya dike baş e? Ez dixwazim hin çavdêriyan nîqaş bikim û pêkanîna WireGuard-ê binirxînim da ku rave bikim ka çima ew ne çareseriyek e ku meriv IPsec an OpenVPN biguhezîne.
Di vê gotarê de, ez dixwazim hin efsaneyan [li dora WireGuard] hilweşînim. Belê, xwendina wê demek dirêj digire, ji ber vê yekê heke we ji xwe re çayek an qehweyek çênekiribe, wê demê wextê wê ye. Ez jî dixwazim ji Petrûs re spas bikim ji bo rastkirina ramanên min ên kaotîk.
Ez ji xwe re armanc nakim ku pêşdebirên WireGuard şermezar bikim, hewildan an ramanên wan bêqîmet bikim. Hilbera wan dixebite, lê bi kesane ez difikirim ku ew bi tevahî cûda ji ya ku ew bi rastî ye tê pêşkêş kirin - ew wekî cîhgirek ji bo IPsec û OpenVPN, ku di rastiyê de bi tenê nuha tune tê pêşkêş kirin.
Wekî têbînî, ez dixwazim lê zêde bikim ku berpirsiyariya pozîsyona WireGuard bi medyaya ku li ser wê peyivî ye, û ne proje bixwe an afirînerên wê ye.
Di van demên dawî de di derbarê kernel Linux de nûçeyek pir baş tune. Ji ber vê yekê, ji me re li ser qelsiyên cinawir ên pêvajoyê, ku ji hêla nermalavê ve hatî ast kirin, hate gotin, û Linus Torvalds li ser wê pir bêrûmet û bêzar, bi zimanê kêrhatî yê pêşdebiran diaxivî. Plansazek an stûnek torê-asta zero jî ji bo kovarên birûskî mijarên ne zelal in. Û li vir tê WireGuard.
Li ser kaxezê, ew hemî xweş xuya dike: teknolojiyek nû ya balkêş.
Lê em hinekî ji nêz ve lê binêrin.
Kaxeza spî ya WireGuard
Ev gotar li ser bingeha ji hêla Jason Donenfeld ve hatî nivîsandin. Li wir ew têgeh, armanc û pêkanîna teknîkî ya [WireGuard] di kernel Linux de rave dike.
Hevoka yekem wiha ye:
WireGuard […] armanc dike ku hem IPsec-ê di pir rewşên karanîna û hem jî cîhê bikarhênerên populer û/an çareseriyên bingehîn ên TLS-ê yên wekî OpenVPN de biguhezîne dema ku [alav] ewletir, performansa û hêsantir be.
Bê guman, avantaja sereke ya hemî teknolojiyên nû wan e sadebûn [li gorî yên berê]. Lê divê VPN jî hebe bi bandor û ewledar.
Ji ber vê yekê, paşê çi ye?
Ger hûn dibêjin ku ev ne ya ku hûn hewce ne [ji VPN-ê] ye, wê hingê hûn dikarin xwendinê li vir biqedînin. Lêbelê, ez ê destnîşan bikim ku peywirên weha ji bo teknolojiyek din a tunekirinê têne danîn.
Ya herî balkêş ji gotina jorîn di peyvên "di pir rewşan de" de ye, ku, bê guman, ji hêla çapameniyê ve hatin paşguh kirin. Û bi vî awayî, em li cihê ku em ji ber kaosa ku ji ber vê xemsariyê hatî afirandin - di vê gotarê de bi dawî bû.
Dê WireGuard şûna [IPsec] malper-to-malper VPN-ya min bigire?
Na. Tenê şansek tune ku firoşkarên mezin ên wekî Cisco, Juniper û yên din WireGuard ji bo hilberên xwe bikirin. Ew di tevgerê de "nakevin ser trênên derbasbûyî" heya ku hewcedariya wan a mezin hebe. Dûv re, ez ê biçim ser hin sedemên ku ew ê belkî nikaribin hilberên xwe yên WireGuard-ê li ser sifrê bigirin jî ku ew bixwazin.
Ma WireGuard dê RoadWarrior-a min ji laptopa min bigire heya navenda daneyê?
Na. Heya nuha, WireGuard hejmareke mezin ji taybetmendiyên girîng ên ku ji bo ku ew karibe tiştek bi vî rengî pêk bîne tune. Mînakî, ew nikare navnîşanên IP-ya dînamîkî li ser milê servera tunelê bikar bîne, û ev yek tenê senaryoya karanîna wusa ya hilberê dişkîne.
IPFire bi gelemperî ji bo girêdanên Înternetê yên erzan, wekî DSL an girêdanên kabloyê tê bikar anîn. Ev ji bo karsaziyên piçûk an navîn ên ku hewcedariya fîbera bilez tune ye. [Têbînî ji wergêr: ji bîr nekin ku di warê ragihandinê de, Rûsya û hin welatên CIS gelek li pêş Ewropa û Dewletên Yekbûyî ne, ji ber ku me pir dereng dest bi avakirina torên xwe kir û bi hatina torên Ethernet û fiber optîk re wekî standard, ji bo me ji nû ve avakirina hêsantir bû. Li heman welatên Yekîtiya Ewropî an Dewletên Yekbûyî, gihîştina berferehiya xDSL bi leza 3-5 Mbps hîn jî norma gelemperî ye, û pêwendiyek fiber optîk li gorî standardên me hin dravê nerealîst xerc dike. Ji ber vê yekê, nivîskarê gotarê li ser DSL an girêdana kabloyê wekî norm, û ne demên kevnar diaxive.] Lêbelê, DSL, kablo, LTE (û awayên din ên gihîştina wireless) navnîşanên IP-ya dînamîkî hene. Bê guman, carinan ew pir caran naguherin, lê ew têne guhertin.
Binprojeyek bi navê heye , ku daemonek cîhê bikarhêner zêde dike da ku vê kêmasiyê derbas bike. Pirsgirêkek mezin a bi senaryoya bikarhênerê ya ku li jor hatî destnîşan kirin dijwarbûna navnîşana IPv6 ya dînamîkî ye.
Ji nihêrîna belavker, ev hemî jî pir xweş xuya nakin. Yek ji armancên sêwiranê ew bû ku protokol sade û paqij bimîne.
Mixabin, ev hemî bi rastî pir hêsan û primitive bûye, ji ber vê yekê em neçar in ku nermalava zêde bikar bînin da ku ev tevahî sêwirana di karanîna rastîn de bikêr be.
Bikaranîna WireGuard ew qas hêsan e?
Hêşta na. Ez nabêjim ku WireGuard dê çu carî nebe alternatîfek baş ji bo tunekirina di navbera du xalan de, lê heya niha ew tenê guhertoyek alpha ya hilbera ku tê xwestin be.
Lê paşê ew bi rastî çi dike? Ma IPsec bi rastî ew qas dijwartir e ku meriv biparêze?
Eşkere ye ku ne. Firoşkarê IPsec li ser vê yekê fikiriye û hilbera xwe digel navgînek, wek mînak bi IPFire re, dişîne.
Ji bo sazkirina tunelek VPN-ê li ser IPsec-ê, hûn ê hewceyê pênc kom daneyên ku hûn hewce ne ku têkevin veavakirinê: navnîşana IP-ya weya giştî, navnîşana IP-ya giştî ya partiya wergir, jêr-torên ku hûn dixwazin bi navgîniya gelemperî eşkere bikin. ev girêdana VPN û mifteya pêş-parvekirî. Ji ber vê yekê, VPN di nav çend hûrdeman de tête saz kirin û bi her firoşkarê re hevaheng e.
Mixabin, çend îstîsnayên vê çîrokê hene. Her kesê ku hewl daye ku li ser IPsec-ê ji makîneyek OpenBSD tune bike, dizane ku ez qala çi dikim. Çend mînakên bi êştir hene, lê bi rastî, ji bo karanîna IPsec-ê gelek, gelek pratîkên baş hene.
Li ser tevliheviya protokolê
Bikarhênerê dawî ne hewce ye ku ji tevliheviya protokolê xeman bike.
Ger em li cîhanek bijîn ku ev xemgîniyek rastîn a bikarhêner bû, wê hingê me ê demek berê ji SIP, H.323, FTP û protokolên din ên ku ji deh sal berê zêdetir hatine afirandin ku bi NAT-ê re baş naxebitin xilas bibûna.
Sedem hene ku çima IPsec ji WireGuard tevlihevtir e: ew gelek tiştan dike. Mînakî, erêkirina bikarhêner bi karanîna têketinek / şîfreyek an SIM-karteyek bi EAP re. Ew xwedan şiyanek dirêjkirî ye ku nû lê zêde bike .
Û WireGuard wê tune.
Û ev tê vê wateyê ku WireGuard dê di demekê de bişkîne, ji ber ku yek ji primitives krîptografîk dê qels bibe an jî bi tevahî têk bibe. Nivîskarê belgeya teknîkî wiha dibêje:
Hêjayî gotinê ye ku WireGuard ji hêla krîptografî ve tê dîtin. Ew bi qestî ji nermbûna şîfre û protokolan kêm e. Ger di primitivesên bingehîn de qulên ciddî werin dîtin, dê hemî xalên dawîn bêne nûve kirin. Wekî ku hûn dikarin ji herikîna domdar a qelsiyên SLL / TLS bibînin, nermbûna şîfrekirinê naha pir zêde bûye.
Hevoka dawî bi tevahî rast e.
Gihîştina lihevhatinek li ser kîjan şîfrekirinê tê bikar anîn protokolên mîna IKE û TLS çêdike более kompleks. Pir tevlîhev? Erê, qelsî di TLS / SSL de pir gelemperî ne, û alternatîfek ji wan re tune.
Li ser paşguhkirina pirsgirêkên rastîn
Bifikirin ku we serverek VPN ya bi 200 xerîdarên şerker li cîhek li çaraliyê cîhanê heye. Ev dozek karanîna pir standard e. Ger pêdivî ye ku hûn şîfrekirinê biguhezînin, hûn hewce ne ku nûvekirinê li hemî kopiyên WireGuard-ê li ser van laptopan, têlefon û hwd. Hemdemî şandin. Bi rastî ne mumkin e. Rêvebirên ku hewl didin vê yekê bikin dê bi mehan bidome da ku mîhengên hewce bicîh bikin, û ji bo ku pargîdaniyên navîn bi rastî bûyerek weha derxînin dê bi salan bidome.
IPsec û OpenVPN taybetmendiyek danûstendina şîfreyê pêşkêş dikin. Ji ber vê yekê, heya demek piştî ku hûn şîfrekirina nû vekin, ya kevin jî dê bixebite. Ev ê dihêle xerîdarên heyî bi guhertoya nû nûve bikin. Piştî ku nûvekirin hate derxistin, hûn bi tenê şîfrekirina xedar qut dikin. Û ew e! Amade! tu spehî yî! Dê xerîdar jî ferq nekin.
Ev bi rastî ji bo bicîhkirinên mezin dozek pir gelemperî ye, û tewra OpenVPN jî bi vê yekê re hin dijwarî heye. Lihevhatina paşverû girîng e, û her çend hûn şîfrekirina qels bikar tînin jî, ji bo pir kesan, ev ne sedemek girtina karsaziyek e. Ji ber ku dê karê bi sedan mişteriyan ji ber nekarîna karê xwe felc bike.
Tîma WireGuard protokola xwe hêsantir kiriye, lê ji bo kesên ku di tunela xwe de kontrola domdar li ser her du hevalan tune ne, bi tevahî nayê bikar anîn. Di ezmûna min de, ev senaryoya herî gelemperî ye.
Cryptography!
Lê ev şîfrekirina nû ya balkêş a ku WireGuard bikar tîne çi ye?
WireGuard Curve25519 ji bo danûstendina mifteyê, ChaCha20 ji bo şîfrekirinê û Poly1305 ji bo rastkirina daneyê bikar tîne. Di heman demê de ew bi SipHash re ji bo bişkojkên hash û BLAKE2 ji bo hashkirinê jî dixebite.
ChaCha20-Poly1305 ji bo IPsec û OpenVPN (ser TLS) standardkirî ye.
Ew eşkere ye ku pêşveçûna Daniel Bernstein pir caran tê bikaranîn. BLAKE2 serkêşê BLAKE ye, fînalîstek SHA-3 ku ji ber wekheviya xwe ya bi SHA-2 re bi ser neket. Ger SHA-2 bihata şikandin, şansek baş hebû ku BLAKE jî were tawîz kirin.
IPsec û OpenVPN ji ber sêwirana xwe ne hewceyî SipHash ne. Ji ber vê yekê tenê tiştê ku naha bi wan re nayê bikar anîn BLAKE2 e, û ew tenê heya ku ew standardîze nebe. Ev ne kêmasiyek mezin e, ji ber ku VPN HMAC bikar tînin da ku yekrêziyê biafirînin, ku tewra bi MD5-ê re jî çareseriyek bihêz tê hesibandin.
Ji ber vê yekê ez gihîştim wê encamê ku hema hema heman koma amûrên krîptografî di hemî VPN-yan de têne bikar anîn. Ji ber vê yekê, WireGuard ji her hilberek din a heyî ne bêtir an kêmtir ewledar e dema ku ew tê ser şîfrekirin an yekparebûna daneyên hatine veguheztin.
Lê tewra ev ne ya herî girîng e, ku li gorî belgeyên fermî yên projeyê hêjayî balê ye. Beriya her tiştî, ya sereke bilez e.
Ma WireGuard ji çareseriyên din ên VPN zûtir e?
Bi kurtî: na, ne zûtir.
ChaCha20 şîfreyek tîrêjê ye ku di nermalavê de bicîhkirina hêsantir e. Ew yek bitek şîfre dike. Protokolên blokê yên mîna AES yek carî blokê 128 bit şîfre dikin. Ji bo cîbicîkirina piştevaniya hardware pir zêdetir transîstor hewce ne, ji ber vê yekê pêvajoyên mezintir bi AES-NI re têne, berferehek koma rêwerzan ku hin karên pêvajoya şîfrekirinê pêk tîne da ku wê bilez bike.
Dihat payîn ku AES-NI çu carî nekeve têlefonên têlefonê [lê wusa bû - nêzîkê. her.]. Ji bo vê yekê, ChaCha20 wekî alternatîfek sivik, hilanîna batterê hate pêşve xistin. Ji ber vê yekê, dibe ku ji we re bibe nûçeyek ku her smartphone ya ku hûn dikarin îro bikirin xwedan celebek leza AES-ê ye û bi vê şîfrekirinê ji ChaCha20-ê zûtir û bi xerckirina hêzê kêmtir dimeşîne.
Eşkere ye, hema hema her pêvajoyek sermaseyê / serverê ku di van du salên dawî de hatî kirîn AES-NI heye.
Ji ber vê yekê, ez hêvî dikim ku AES di her senaryoyek yekane de ji ChaCha20 derkeve. Belgeyên fermî yên WireGuard destnîşan dike ku bi AVX512 re, ChaCha20-Poly1305 dê ji AES-NI-ê bihurîne, lê ev dirêjkirina koma rêwerzan dê tenê li ser CPU-yên mezintir peyda bibe, ku dîsa dê bi hardware piçûktir û mobîl re nebe alîkar, ku dê her gav bi AES-ê zûtir be. - N.I.
Ez ne bawer im gelo ev dikaribû di dema pêşkeftina WireGuard de were pêşbînîkirin, lê îro rastiya ku ew bi şîfrekirinê tenê ve girêdayî ye jixwe kêmasiyek e ku dibe ku bandorek pir baş li ser xebata wê neke.
IPsec dihêle hûn bi serbestî hilbijêrin ka kîjan şîfrekirin ji bo doza we çêtirîn e. Û bê guman, ev pêdivî ye ku, mînakî, hûn dixwazin 10 an zêdetir gigabytes daneyê bi pêwendiyek VPN veguhezînin.
Pirsgirêkên entegrasyonê di Linux de
Her çend WireGuard protokolek şîfrekirinê ya nûjen hilbijartiye jî, ev jixwe dibe sedema gelek pirsgirêkan. Û ji ber vê yekê, li şûna ku tiştê ku ji hêla kernelê ve hatî piştgirî kirin bikar bîne, yekbûna WireGuard bi salan ji ber nebûna van primitives di Linux de dereng maye.
Ez bi tevahî ne bawer im ku rewş li ser pergalên xebitandinê yên din çi ye, lê dibe ku ew ji Linux-ê ne pir cûda ye.
Rastî çawa xuya dike?
Mixabin, her gava ku xerîdar ji min dipirse ku ez ji wan re têkiliyek VPN saz bikim, ez diqewime ku ew pêbawer û şîfrekirina kevnar bikar tînin. 3DES digel MD5 hîn jî pratîkek hevpar e, wekî AES-256 û SHA1. Û her çend ya paşîn hinekî çêtir e, ev ne tiştek e ku divê di sala 2020-an de were bikar anîn.
Ji bo veguherîna key her tim RSA tê bikar anîn - amûrek hêdî lê pir ewledar.
Muwekîlên min bi rayedarên gumrikê û rêxistin û saziyên din ên hukûmetê re, û her weha bi pargîdaniyên mezin ên ku navên wan li çaraliyê cîhanê têne zanîn re têkildar in. Ew hemî formek daxwazek ku bi dehsalan berê hatî afirandin bikar tînin, û şiyana karanîna SHA-512 bi tenê qet nehat zêdekirin. Ez nikarim bibêjim ku ew bi rengek zelal bandorê li pêşkeftina teknolojîk dike, lê eşkere ew pêvajoya pargîdaniyê hêdî dike.
Bi dîtina vê yekê ez diêşim ji ber ku IPsec ji sala 2005-an vir ve girêkên elîptîk piştgirî dike. Curve25519 di heman demê de nûtir e û ji bo karanîna peyda dibe. Di heman demê de alternatîfên AES yên mîna Camellia û ChaCha20 jî hene, lê diyar e ku ne hemî wan ji hêla firoşkarên sereke yên wekî Cisco û yên din ve têne piştgirî kirin.
Û mirov jê sûd werdigirin. Gelek kîtên Cisco hene, gelek kît hene ku bi Cisco re bixebitin. Ew di vê beşê de rêberên bazarê ne û bi her cûre nûvekirinê re ne eleqedar in.
Erê, rewş [di beşa pargîdanî de] tirsnak e, lê ji ber WireGuard em ê ti guhertinan nebînin. Firoşyar dê belkî tu carî pirsgirêkên performansê digel amûr û şîfrekirina ku ew berê bikar tînin nebînin, dê bi IKEv2 re ti pirsgirêkan nebînin, û ji ber vê yekê ew li alternatîfan nagerin.
Bi gelemperî, we qet fikirî ku dev ji Cisco berdin?
Benchmarks
Û naha em biçin ser pîvanên ji belgeyên WireGuard. Her çend ev [belge] ne gotarek zanistî ye, dîsa jî min hêvî dikir ku pêşdebiran nêzîkatiyek zanistîtir bikin, an jî nêzîkatiyek zanistî wekî referans bikar bînin. Her pîvanek bêkêr in heke nekarin ji nû ve werin hilberandin, û hêj bêtir bêkêr in dema ku ew di laboratîfê de têne bidestxistin.
Di avakirina Linux-ê ya WireGuard de, ew sûdê ji karanîna GSO digire - Daxistina Segmentasyona Giştî. Bi saya wî, xerîdar pakêtek mezin a 64 kilobyte diafirîne û di yek gavê de şîfre dike / şîfre dike. Bi vî rengî, lêçûna gazîkirin û pêkanîna operasyonên krîptografî kêm dibe. Ger hûn dixwazin guheztina pêwendiya VPN-ya xwe zêde bikin, ev ramanek baş e.
Lê, wekî her car, rastî ne ewqas hêsan e. Ji bo şandina pakêtek wusa mezin ji adapterek torê re pêdivî ye ku ew di gelek pakêtên piçûktir de were qut kirin. Mezinahiya şandina normal 1500 byte ye. Ango dêwek meya 64 kilobyte dê li ser 45 pakêtan (1240 byte agahdarî û 20 bytes sernavê IP-yê) were dabeş kirin. Dûv re, ji bo demekê, ew ê bi tevahî xebata adapterê torê asteng bikin, ji ber ku divê ew bi hev re û bi yekcarî werin şandin. Wekî encamek, ev ê bibe sedema pêvekek pêşîn, û pakêtên wekî VoIP, mînakî, dê werin rêz kirin.
Bi vî rengî, berbi bilind a ku WireGuard ew qas bi cesaret îdîa dike bi lêçûna hêdîkirina tora serîlêdanên din tê bidestxistin. Û tîmê WireGuard jixwe ye ev encama min e.
Lê em herin.
Li gorî pîvanên di belgeyên teknîkî de, pêwendiyek 1011 Mbps nîşan dide.
Şopgiran.
Ev yek bi taybetî bi heybet e ji ber vê yekê ku rêjeya herî zêde ya teorîkî ya pêwendiyek Gigabit Ethernet 966 Mbps e ku bi mezinahiya pakêtê 1500 bytes kêm e 20 byte ji bo sernavê IP-yê, 8 bytes ji bo sernavê UDP û 16 bytes ji bo sernavê. WireGuard bixwe. Di pakêta pêvekirî de sernavek IP-ya din û ya din jî di TCP-ê de ji bo 20 byte heye. Ji ber vê yekê ev bandûra zêde ji ku hat?
Digel çarçoveyên mezin û feydeyên GSO-yê yên ku me li jor behsa wan kir, herî zêde ya teorîkî ji bo mezinahiya çarçoveyek 9000 byte dê 1014 Mbps be. Bi gelemperî rêgezek wusa di rastiyê de ne gengaz e, ji ber ku ew bi zehmetiyên mezin ve girêdayî ye. Bi vî rengî, ez tenê dikarim texmîn bikim ku ceribandin bi karanîna çarçoveyên qelewtir ên 64 kilobytes bi herî zêde teorîkî 1023 Mbps, ku tenê ji hêla hin adapterên torê ve têne piştgirî kirin, hate kirin. Lê ev di şert û mercên rastîn de bêkêmasî nayê sepandin, an tenê dikare di navbera du stasyonên rasterast ve girêdayî de, bi taybetî di hundurê bendera ceribandinê de were bikar anîn.
Lê ji ber ku tunela VPN di navbera du mêvandaran de bi karanîna pêwendiyek Internetnternetê ya ku qet çarçoveyên jumbo piştgirî nake tê şandin, encama ku li ser rûkê hatî bidestxistin nikare wekî pîvanek were girtin. Ev bi tenê destkeftiyek laboratîfek nerealîst e ku di şert û mercên şer ên rastîn de ne mumkun û bêserûber e.
Tewra di navenda daneyê de rûniştim jî, min nekarî çarçeweyên ji 9000 byte mezintir veguherînim.
Pîvana sepandinê di jiyana rast de bi tevahî tê binpêkirin û, wekî ku ez difikirim, nivîskarê "pîvana" ku pêk aniye ji ber sedemên diyar xwe bi giranî bêrûmet kiriye.
Çiriya dawî ya hêviyê
Malpera WireGuard di derbarê konteyneran de pir diaxive û eşkere dibe ku ew bi rastî ji bo çi ye.
VPNek sade û bilez a ku pêdivî bi veavakirinê tune ye û dikare bi amûrên orkestrayê yên girseyî yên mîna Amazon-ê di ewrê wan de heye were saz kirin û mîheng kirin. Bi taybetî, Amazon taybetmendiyên herî paşîn ên hardware yên ku min berê behs kir, wekî AVX512 bikar tîne. Ev ji bo ku lezkirina xebatê were kirin û bi x86 an mîmariyek din ve neyê girêdan.
Ew karûbar û pakêtên ji 9000 byte mezintir xweştir dikin - ev ê ji bo konteynerên ku bi hevûdu re têkilî daynin, an jî ji bo operasyonên paşvekişandinê, çêkirina wêneyan an bicîhkirina van heman konteyneran, çarçoveyên mezin ên dorpêçkirî bin. Tewra navnîşanên IP-ya dînamîkî dê di rewşa senaryoya ku min diyar kir de bi tu awayî bandorê li operasyona WireGuard neke.
Ji alîyê. Pêkanîna berbiçav û pir zirav, hema protokola referansê.
Lê ew tenê di cîhanek derveyî navendek daneyê ya ku hûn bi tevahî kontrol dikin de cîh nagire. Ger hûn xetereyê bigirin û dest bi karanîna WireGuard-ê bikin, hûn ê neçar in ku di sêwirandin û pêkanîna protokola şîfrekirinê de lihevkirinên domdar bikin.
encamê
Ji min re hêsan e ku ez encam bikim ku WireGuard hîn ne amade ye.
Ew wekî çareseriyek sivik û bilez ji bo hejmarek pirsgirêkan digel çareseriyên heyî hate fikirîn. Mixabin, ji bo xatirê van çareseriyan, wî gelek taybetmendiyên ku dê ji bo pir bikarhêneran têkildar bin qurban kirin. Ji ber vê yekê ew nikare IPsec an OpenVPN veguherîne.
Ji bo ku WireGuard bibe reqabetê, pêdivî ye ku ew bi kêmî ve mîhengek navnîşana IP-yê û veavakirina rêveçûn û DNS-ê lê zêde bike. Eşkere ye ku kanalên şîfrekirî ji bo vê yekê ne.
Ewlekarî pêşengiya min a sereke ye, û naha sedemek min tune ku bawer bikim ku IKE an TLS bi rengekî tawîz an şikestî ye. Di her duyan de şîfrekirina nûjen tê piştgirî kirin, û ew bi dehsalan operasyonê ve hatine îsbat kirin. Tenê ji ber ku tiştek nûtir e, nayê wê wateyê ku ew çêtir e.
Dema ku hûn bi aliyên sêyemîn ên ku hûn qereqolên wan kontrol nakin re danûstendina hevgirtî pir girîng e. IPsec standarda de facto ye û hema hema li her deverê tê piştgirî kirin. Û ew dixebite. Û her çiqas ew çawa xuya dike, di teorîyê de, dibe ku WireGuard di pêşerojê de bi guhertoyên cûda yên xwe re jî negunca be.
Her parastina krîptografîk zû an dereng têk diçe û, li gorî vê yekê, divê were guheztin an nûvekirin.
Înkarkirina van hemû rastiyan û bi korbûyî xwestina bikaranîna WireGuard-ê ji bo girêdana iPhone-a xwe bi qereqola xebata mala xwe ve tenê çînek master e ku serê xwe di qumê de bihêle.
Source: www.habr.com