ဘာကြောင့် မသုံးသင့်တာလဲ WireGuard

မကြာသေးမီက WireGuard အာရုံစိုက်မှုများစွာကို ဆွဲဆောင်သည်၊ အမှန်မှာ၊ ၎င်းသည် ၎င်းတို့ကြားတွင် အသစ်စက်စက် “ကြယ်ပွင့်” တစ်ခုဖြစ်သည်။ VPN ကိုဒါပေမယ့် ထင်သလောက် ကောင်းရဲ့လား။ ကျွန်တော် လေ့လာတွေ့ရှိချက်တချို့ကို ဆွေးနွေးပြီး အကောင်အထည်ဖော်မှုကို ပြန်လည်သုံးသပ်ချင်ပါတယ်။ WireGuardIPsec ကို အစားထိုးမယ့် ဖြေရှင်းချက် မဟုတ်တဲ့ အကြောင်းရင်းကို ရှင်းပြဖို့ OpenVPN.

ဒီဆောင်းပါးမှာ ကျွန်တော် ဒဏ္ဍာရီတချို့ကို ဖြေရှင်းပေးချင်ပါတယ် [ WireGuard]။ ဟုတ်ကဲ့၊ ဖတ်ရတာ ရှည်ပါတယ်၊ ဒါကြောင့် လက်ဖက်ရည် ဒါမှမဟုတ် ကော်ဖီ တစ်ခွက်မှ မဖျော်ရသေးဘူးဆိုရင် အခုအချိန်ပါပဲ။ ကျွန်တော့်ရဲ့ ရှုပ်ထွေးနေတဲ့ အတွေးတွေကို ပြင်ဆင်ပေးတဲ့အတွက် Peter ကိုလည်း ကျေးဇူးတင်ပါတယ်။

ဆော့ဖ်ဝဲရေးသားသူတွေကို အသရေဖျက်ဖို့က ကျွန်တော့်ရည်ရွယ်ချက် မဟုတ်ပါဘူး။ WireGuardသူတို့ရဲ့ ကြိုးပမ်းအားထုတ်မှုတွေ ဒါမှမဟုတ် အကြံဉာဏ်တွေကို တန်ဖိုးမဖြတ်ပါဘူး။ သူတို့ရဲ့ ထုတ်ကုန်က အလုပ်ဖြစ်နေပေမယ့် ကျွန်တော်ကိုယ်တိုင်ကတော့ တကယ့်အခြေအနေနဲ့ လုံးဝကွဲပြားတဲ့ အရာတစ်ခုအဖြစ် တင်ပြထားတယ်လို့ ယုံကြည်ပါတယ် - IPsec ရဲ့ အစားထိုးမှုအဖြစ် တင်ပြထားပြီး OpenVPNတကယ်တော့ အခု မရှိတော့ပါဘူး။

မှတ်ချက်အနေနဲ့ ဒီလိုနေရာချထားမှုအတွက် တာဝန်ယူမှုဆိုတာကို ထပ်ပြောချင်ပါတယ် WireGuard ၎င်းတို့ကို ပရောဂျက်ကိုယ်တိုင် သို့မဟုတ် ၎င်းကိုဖန်တီးသူများ မဟုတ်ဘဲ သတင်းပို့သော မီဒီယာများက သယ်ဆောင်ကြသည်။

မကြာသေးမီက အဓိကအကြောင်းအရာနှင့် ပတ်သက်၍ Linux သတင်းကောင်း သိပ်မရှိပါဘူး။ ဆော့ဖ်ဝဲလ်က လျော့ပါးသွားအောင် လုပ်ထားတဲ့ ကြီးမားတဲ့ ပရိုဆက်ဆာ အားနည်းချက်တွေအကြောင်း ကျွန်တော်တို့ကို ပြောပြခဲ့ပြီး Linus Torvalds ရဲ့ ဖော်ပြချက်က developer တစ်ယောက်ရဲ့ အသုံးဝင်တဲ့ ဘာသာစကားနဲ့ ပြောရရင် ရိုင်းစိုင်းပြီး ပျင်းစရာကောင်းလွန်းပါတယ်။ အချိန်ဇယားဆွဲသူ ဒါမှမဟုတ် level-0 network stack တွေကလည်း glossy မဂ္ဂဇင်းတွေအတွက် ရှင်းရှင်းလင်းလင်း ခေါင်းစဉ်တွေ မဟုတ်ပါဘူး။ ပြီးတော့... WireGuard.

စာရွက်ပေါ်တွင်၊ အားလုံးကောင်းသည်- စိတ်လှုပ်ရှားဖွယ်နည်းပညာအသစ်။

ဒါပေမယ့် အဲဒါကို နည်းနည်းပိုစေ့စပ်ကြည့်ရအောင်။

Техническая документация WireGuard

ဤဆောင်းပါးကိုအခြေခံသည်။ တရားဝင်စာရွက်စာတမ်း WireGuardJason Donenfeld ရေးသားခဲ့ပြီး၊ ၎င်းတွင် သဘောတရား၊ ရည်ရွယ်ချက်နှင့် နည်းပညာဆိုင်ရာ အကောင်အထည်ဖော်မှုကို ရှင်းပြထားသည် [WireGuard] အဓိကအားဖြင့် Linux.

ပထမစာကြောင်းတွင် ဖတ်ရသည်-

WireGuard […] အသုံးပြုမှုကိစ္စအများစုတွင် IPsec နှစ်ခုလုံးကို အစားထိုးရန် ရည်ရွယ်သည့်အပြင် အခြားလူကြိုက်များသော user-space နှင့်/သို့မဟုတ် TLS-based ဖြေရှင်းချက်များကဲ့သို့သော OpenVPNပိုမိုဘေးကင်း၊ ပိုမိုထိရောက်ပြီး အသုံးပြုရလွယ်ကူ [ကိရိယာ] ဖြစ်ခြင်း။

ဟုတ်ပါတယ်၊ နည်းပညာအသစ်အားလုံးရဲ့ အဓိကအားသာချက်ကတော့ သူတို့ရဲ့ အားသာချက်ပါပဲ။ ရိုးရှင်း [ရှေးယခင်များနှင့် နှိုင်းယှဉ်]။ ဒါပေမယ့် VPN လည်းဖြစ်သင့်တယ်။ ထိရောက်ပြီး ဘေးကင်းပါတယ်။.

ဒါဆို နောက်တစ်ခုက ဘာလဲ။

ဤသည်မှာ သင်လိုအပ်သောအရာမဟုတ်ကြောင်း [VPN မှ] ဟုဆိုပါက၊ သင်သည် ဤနေရာတွင် ဖတ်ရှုခြင်းကို အဆုံးသတ်နိုင်ပါသည်။ သို့သော်၊ ထိုသို့သောအလုပ်များကို အခြားသော ဥမင်လိုဏ်ခေါင်းနည်းပညာအတွက် သတ်မှတ်ထားကြောင်း ကျွန်ုပ်သတိပြုမိပါမည်။

အထက်ဖော်ပြပါ ကိုးကားချက်၏ စိတ်ဝင်စားစရာအကောင်းဆုံးမှာ စာနယ်ဇင်းသမားများမှ လျစ်လျူရှုထားသည့် “ကိစ္စအများစုတွင်” ဟူသော စကားလုံးများဖြင့် တည်ရှိနေသည်။ ထို့ကြောင့် ဤဆောင်းပါးတွင် ဤပေါ့ဆမှုဖြင့် ဖန်တီးထားသော မငြိမ်မသက်မှုများကြောင့် ကျွန်ုပ်တို့ အဆုံးသတ်သွားရသည့် နေရာဖြစ်သည်။

ဖြစ်လာမှာလား။ WireGuard ကျွန်ုပ်၏ [IPsec] site-to-site VPN ကို အစားထိုးနေပါသလား။

မဟုတ်ပါ။ Cisco၊ Juniper နှင့် အခြားကုမ္ပဏီများကဲ့သို့သော ရောင်းချသူကြီးများသည် ၎င်းတို့၏ ထုတ်ကုန်များအတွက် ၎င်းကို ဝယ်ယူရန် အခွင့်အလမ်း လုံးဝမရှိပါ။ WireGuardအရေးတကြီးလိုအပ်ချက်မရှိရင် သူတို့ဟာ "ဖြတ်သွားတဲ့ရထားတွေပေါ် ခုန်မတက်" ကြပါဘူး။ နောက်ပိုင်းမှာ သူတို့ရဲ့ထုတ်ကုန်တွေကို ရထားပေါ်မှာ တပ်ဆင်နိုင်ခြင်းမရှိနိုင်တဲ့ အကြောင်းရင်းအချို့ကို ဆွေးနွေးပါမယ်။ WireGuardသူတို့ လုပ်ချင်ရင်တောင်မှ။

ရှင်သန်နိုင်ပါ့မလား။ WireGuard ကျွန်တော့်ရဲ့ RoadWarrior ကို လက်တော့ပ်ကနေ ဒေတာစင်တာကို?

မဟုတ်ဘူး။ အခုအချိန်မှာ WireGuard ဤကဲ့သို့သောအရာကိုဖွင့်ရန် အရေးကြီးသောအင်္ဂါရပ်များစွာ လိုအပ်နေပါသည်။ ဥပမာအားဖြင့်၊ ၎င်းသည် tunnel server ဘက်တွင် dynamic IP address များကို အသုံးမပြုနိုင်ဘဲ ဤတစ်ခုတည်းဖြင့် ဤထုတ်ကုန်အတွက် အသုံးပြုမှုကိစ္စတစ်ခုလုံးကို ပျက်ပြားစေပါသည်။

IPFire ကို DSL သို့မဟုတ် ကေဘယ်လ်ချိတ်ဆက်မှုများကဲ့သို့သော စျေးပေါသောအင်တာနက်လင့်ခ်များအတွက် အသုံးပြုလေ့ရှိသည်။ ၎င်းသည် အမြန်ဖိုက်ဘာ မလိုအပ်သော အသေးစား သို့မဟုတ် အလတ်စား လုပ်ငန်းများအတွက် အဓိပ္ပာယ်ရှိသည်။ [ဘာသာပြန်သူထံမှ မှတ်ချက်- ဆက်သွယ်ရေးကဏ္ဍတွင် ရုရှားနှင့် အချို့သော CIS နိုင်ငံများသည် ကျွန်ုပ်တို့၏ကွန်ရက်များကို နောက်ပိုင်းတွင် စတင်တည်ဆောက်ခဲ့ပြီး Ethernet နှင့် fiber optic ကွန်ရက်များ ထွန်းကားလာသောကြောင့် ကျွန်ုပ်တို့သည် ဥရောပနှင့် အမေရိကန်တို့ထက် အလှမ်းဝေးနေကြောင်း မမေ့ပါနှင့်။ စံနှုန်းအတိုင်း ပြန်တည်ဆောက်ရတာ ပိုလွယ်တယ်။ EU သို့မဟုတ် USA ၏ တူညီသောနိုင်ငံများတွင် xDSL ဘရော့ဒ်ဘန်းအသုံးပြုမှုကို 3-5 Mbps အမြန်နှုန်းဖြင့် အသုံးပြုနိုင်သည်မှာ ယေဘူယျစံနှုန်းဖြစ်နေဆဲဖြစ်ပြီး fiber optic ချိတ်ဆက်မှုသည် ကျွန်ုပ်တို့၏စံနှုန်းအရ လက်တွေ့မကျသော ငွေကြေးအချို့ကို ကုန်ကျပါသည်။ ထို့ကြောင့်၊ ဆောင်းပါးရေးသားသူသည် DSL သို့မဟုတ် ကေဘယ်ကြိုးချိတ်ဆက်မှုအား စံအဖြစ်ပြောဆိုသည်၊ ရှေးခေတ်ကမဟုတ်ပေ။] သို့သော်၊ DSL၊ ကေဘယ်၊ LTE (နှင့် အခြားကြိုးမဲ့အသုံးပြုမှုနည်းလမ်းများ) တွင် တက်ကြွသော IP လိပ်စာများရှိသည်။ ဟုတ်ပါတယ်၊ တစ်ခါတရံမှာ မကြာခဏ မပြောင်းလဲပေမယ့် ပြောင်းလဲတတ်ပါတယ်။

ပရောဂျက်ခွဲဟူ၍ ရှိပါသည်။ "wg-ဒိုင်းနမစ်"ဤချို့ယွင်းချက်ကို ကျော်လွှားရန် userspace daemon ကို ပေါင်းထည့်သည်။ အထက်တွင်ဖော်ပြထားသောအသုံးပြုသူအခြေအနေအတွက်ကြီးမားသောပြဿနာမှာ dynamic IPv6 လိပ်စာကိုပိုမိုဆိုးရွားစေသည်။

ဖြန့်ဖြူးသူ၏အမြင်အရ၊ ဤအရာအားလုံးသည် အလွန်ကောင်းမွန်ပုံမပေါ်ပေ။ ဒီဇိုင်းရည်မှန်းချက်များထဲမှတစ်ခုမှာ ပရိုတိုကောကို ရိုးရှင်းသန့်ရှင်းနေစေရန်ဖြစ်သည်။

ကံမကောင်းစွာဖြင့်၊ ဤအရာအားလုံးသည် အမှန်တကယ်ပင် ရိုးရှင်းလွန်းပြီး ပကတိဖြစ်လာပြီဖြစ်သောကြောင့် ဤဒီဇိုင်းတစ်ခုလုံးကို လက်တွေ့အသုံးပြုနိုင်စေရန်အတွက် အပိုဆော့ဖ်ဝဲကို အသုံးပြုရမည်ဖြစ်ပါသည်။

WireGuard အသုံးပြုရတာ အဲဒီလောက်လွယ်လား။

မဟုတ်သေးပါဘူး။ ကျွန်တော် အဲဒါကို မပြောပါဘူး။ WireGuard ၎င်းသည် အမှတ်နှစ်ခုကြားရှိ tunneling အတွက် ကောင်းမွန်သော အစားထိုးတစ်ခု ဘယ်တော့မှ မဖြစ်နိုင်သော်လည်း၊ လောလောဆယ်တွင် ၎င်းသည် ဖြစ်လာရန် ရည်ရွယ်ထားသည့် ထုတ်ကုန်၏ alpha ဗားရှင်းတစ်ခုသာ ဖြစ်သည်။

ဒါပေမယ့် သူတကယ် ဘာလုပ်နေလဲ။ IPsec သည် အမှန်တကယ် ထိန်းသိမ်းရန် အလွန်ခက်ခဲပါသလား။

သိသာထင်ရှားသည်မဟုတ်။ IPsec ရောင်းချသူသည် ၎င်းကိုစဉ်းစားထားပြီး IPFire ကဲ့သို့ အင်တာဖေ့စ်တစ်ခုနှင့်အတူ ၎င်းတို့၏ထုတ်ကုန်ကို တင်ပို့သည်။

IPsec တွင် VPN လှိုင်ခေါင်းတစ်ခုကို စနစ်ထည့်သွင်းရန်၊ သင်ထည့်သွင်းရမည့် ဒေတာငါးစုံ လိုအပ်သည်- သင်၏အများပြည်သူပိုင် IP လိပ်စာ၊ လက်ခံရရှိသည့်ပါတီ၏ အများသူငှာ IP လိပ်စာ၊ သင်အများပြည်သူသိအောင် ပြုလုပ်လိုသည့် ကွန်ရက်ခွဲများ ဤ VPN ချိတ်ဆက်မှုနှင့် ကြိုတင်မျှဝေထားသောကီး။ ထို့ကြောင့်၊ VPN ကို မိနစ်ပိုင်းအတွင်း စနစ်ထည့်သွင်းပြီး မည်သည့်ရောင်းချသူနှင့်မဆို တွဲဖက်အသုံးပြုနိုင်ပါသည်။

ကံမကောင်းစွာဖြင့်၊ ဤဇာတ်လမ်းအတွက် ခြွင်းချက်အနည်းငယ်ရှိပါသည်။ OpenBSD စက်သို့ IPsec မှတဆင့် လှိုဏ်ခေါင်းတူးရန် ကြိုးစားသူတိုင်း ကျွန်ုပ်ပြောနေသည့်အရာကို သိပါသည်။ ပိုပြီး နာကျင်စရာကောင်းတဲ့ ဥပမာနှစ်ခုရှိပါတယ်၊ ဒါပေမယ့် တကယ်တော့ IPsec ကိုအသုံးပြုဖို့အတွက် နောက်ထပ်ကောင်းမွန်တဲ့ အလေ့အကျင့်တွေ အများကြီးရှိပါသေးတယ်။

ပရိုတိုကော ရှုပ်ထွေးမှုအကြောင်း

အသုံးပြုသူသည် ပရိုတိုကော၏ ရှုပ်ထွေးမှုအတွက် စိုးရိမ်စရာမလိုပါ။

အကယ်၍ ကျွန်ုပ်တို့သည် သုံးစွဲသူ၏ အမှန်တကယ် စိုးရိမ်စရာဖြစ်နေသည့် ကမ္ဘာတွင် နေထိုင်ခဲ့ပါက၊ ကျွန်ုပ်တို့သည် လွန်ခဲ့သော ဆယ်နှစ်ကျော်က ဖန်တီးထားသော SIP၊ H.323၊ FTP နှင့် NAT နှင့် ကောင်းစွာမလုပ်ဆောင်နိုင်သော အခြားပရိုတိုကောများကို ဖယ်ရှားလိုက်ပြီဖြစ်သည်။

IPsec ထက် ဘာကြောင့် ပိုရှုပ်ထွေးရတာလဲဆိုတဲ့ အကြောင်းရင်းတွေ ရှိပါတယ်။ WireGuard၎င်းသည် အများကြီးပို၍ လုပ်ဆောင်ပါသည်။ ဥပမာအားဖြင့်၊ ၎င်းသည် အသုံးပြုသူများကို login/password သို့မဟုတ် EAP ပါသော SIM ကတ်ကို အသုံးပြု၍ အထောက်အထားပြသည်။ အသစ်များထပ်ထည့်ရန် တိုးချဲ့ထားသောစွမ်းရည်ရှိသည်။ cryptographic primitives.

ပြီးတော့ မှာ WireGuard ဒါ မရှိပါဘူး။

ပြီးတော့ ဒါက ဆိုလိုတာကတော့ WireGuard တစ်ချိန်ချိန်မှာ cryptographic primitives တစ်ခုခု အားနည်းသွားခြင်း သို့မဟုတ် လုံးဝထိခိုက်သွားခြင်းကြောင့် ၎င်းသည် ကျရှုံးသွားမည်ဖြစ်သည်။ နည်းပညာဆိုင်ရာစာရွက်စာတမ်း၏ရေးသားသူက ဤသို့ဖော်ပြထားသည်-

ထိုသို့သတိပြုရကျိုးနပ်သည် WireGuard ကုဒ်ဝှက်စနစ်တွင် ယုံကြည်မှုလွန်ကဲခြင်း။ ၎င်း၏ ကုဒ်ဝှက်စနစ်များနှင့် ပရိုတိုကောများတွင် ရည်ရွယ်ချက်ရှိရှိ ပြောင်းလွယ်ပြင်လွယ်မရှိခြင်း။ အခြေခံ primitive များတွင် ပြင်းထန်သော အားနည်းချက်များကို တွေ့ရှိပါက endpoint အားလုံးကို အပ်ဒိတ်လုပ်ရန် လိုအပ်မည်ဖြစ်သည်။ SSL/TLS အားနည်းချက်များ အဆက်မပြတ် လွှမ်းမိုးနေမှုမှ ပြသသည့်အတိုင်း encryption ပြောင်းလွယ်ပြင်လွယ်ရှိမှုသည် ယခုအခါ သိသိသာသာ မြင့်တက်လာပါသည်။

နောက်ဆုံးစာကြောင်းကတော့ လုံးဝမှန်ပါတယ်။

အသုံးပြုရမည့် ကုဒ်ဝှက်ခြင်းအပေါ် သဘောတူညီမှုရရှိခြင်းသည် IKE နှင့် TLS ကဲ့သို့သော ပရိုတိုကောများကို ဖြစ်စေသည်။ более ရှုပ်ထွေးသည်။ ရှုပ်ထွေးလွန်းသလား။ ဟုတ်ပါသည်၊ အားနည်းချက်များသည် TLS/SSL တွင်အတော်လေးတွေ့ရပြီး ၎င်းတို့အတွက် အခြားရွေးချယ်စရာမရှိပါ။

တကယ့်ပြဿနာများကို လျစ်လျူရှုခြင်း။

ကမ္ဘာတစ်ဝှမ်းမှာ production client ၂၀၀ ရှိတဲ့ VPN server တစ်ခုရှိတယ်လို့ မြင်ယောင်ကြည့်ပါ။ ဒါက အတော်လေး ပုံမှန်အသုံးပြုမှုကိစ္စပါ။ encryption ကို ပြောင်းလဲဖို့ လိုအပ်ရင် update ကို copy အားလုံးဆီ push လုပ်ရပါမယ်။ WireGuard ဤလက်တော့ပ်များ၊ စမတ်ဖုန်းများ စသည်တို့တွင်။ တစ်ပြိုင်နက်တည်း ပို့ဆောင် စာသားအတိုင်း မဖြစ်နိုင်ပါဘူး။ ထိုသို့လုပ်ဆောင်ရန် စီမံခန့်ခွဲသူများသည် လိုအပ်သောဖွဲ့စည်းပုံများကို အသုံးပြုရန် လပေါင်းများစွာ ကြာမည်ဖြစ်ပြီး ထိုသို့သောဖြစ်ရပ်ကို ဖယ်ရှားရန် အလယ်အလတ်တန်းစား ကုမ္ပဏီတစ်ခုအတွက် နှစ်ပေါင်းများစွာ အချိန်ယူရမည်ဖြစ်ပါသည်။

IPsec နှင့် OpenVPN cipher negotiation feature ကို ပေးပါ။ ဒါကြောင့် ခဏတာအတွင်းမှာ encryption အသစ်ကို enable လုပ်ပြီးနောက်၊ အဟောင်းကလည်း အလုပ်လုပ်ပါလိမ့်မယ်။ ဒါက လက်ရှိ client တွေကို version အသစ်ကို upgrade လုပ်နိုင်ပါတယ်။ update လုပ်ပြီးတာနဲ့ vulnerable encryption ကို disable လုပ်ပါ။ ဒါပါပဲ။ ပြီးပါပြီ။ အံ့သြစရာပါပဲ။ ပြီးတော့ သင့် client တွေက သတိတောင်မထားမိပါဘူး။

၎င်းသည် အမှန်တကယ်တွင် ကြီးမားသော ဖြန့်ကျက်မှုများအတွက် အလွန်အဖြစ်များသော ကိစ္စတစ်ခုဖြစ်ပြီး OpenVPN ဒီအတွက် အခက်အခဲတချို့ ကြုံတွေ့နေရပါတယ်။ Backward compatibility က အရေးကြီးပါတယ်၊ အားနည်းတဲ့ encryption ကိုသုံးပေမယ့်လည်း လူအတော်များများအတွက် ဒါက သူတို့ရဲ့လုပ်ငန်းကို ပိတ်ပစ်ဖို့ အကြောင်းပြချက်မဟုတ်ပါဘူး။ ဘာလို့လဲဆိုတော့ သူတို့ရဲ့အလုပ်တွေကို မလုပ်နိုင်တာကြောင့် client ရာပေါင်းများစွာကို ባህሪဖြစ်စေလို့ပါ။

အဖွဲ့ WireGuard ၎င်း၏ protocol ကို ပိုမိုရိုးရှင်းအောင် ပြုလုပ်ထားသော်လည်း ၎င်းတို့၏ tunnel ၏ peer နှစ်ဦးစလုံးကို အဆက်မပြတ် ထိန်းချုပ်နိုင်စွမ်းမရှိသူများအတွက် လုံးဝမသင့်တော်ပါ။ ကျွန်တော့်အတွေ့အကြုံအရ ဒါက အဖြစ်အများဆုံး အခြေအနေပါ။

ရေးနည်း။

ဒါပေမယ့် အသုံးပြုနေတဲ့ ဒီစိတ်ဝင်စားစရာကောင်းတဲ့ ကုဒ်ဝှက်စနစ်အသစ်က ဘာလဲ။ WireGuard?

WireGuard ၎င်းသည် key exchange အတွက် Curve25519၊ encryption အတွက် ChaCha20 နှင့် data authentication အတွက် Poly1305 ကိုအသုံးပြုသည်။ ၎င်းသည် key hashes အတွက် SipHash နှင့် hashing အတွက် BLAKE2 ကိုလည်းထောက်ပံ့ပေးသည်။

ChaCha20-Poly1305 ကို IPsec အတွက် စံသတ်မှတ်ထားပြီး OpenVPN (TLS မှတစ်ဆင့်)။

Daniel Bernstein ကို မကြာခဏအသုံးပြုကြသည်မှာ ထင်ရှားပါသည်။ BLAKE2 သည် SHA-3 နှင့် ဆင်တူခြင်းကြောင့် အနိုင်ရခြင်း မရှိသော SHA-2 ဖိုင်နယ်သို့ BLAKE ၏ ဆက်ခံသူဖြစ်သည်။ SHA-2 ကွဲသွားပါက၊ BLAKE ကိုလည်း အပေးအယူလုပ်ရန် အခွင့်အလမ်းကောင်း ရှိပါသည်။

IPsec နှင့် OpenVPN SipHash ကို ၎င်း၏ဒီဇိုင်းကြောင့် မလိုအပ်ပါ။ ထို့ကြောင့် လက်ရှိတွင် ၎င်းတို့နှင့်အတူ အသုံးမပြုနိုင်သေးသည့် တစ်ခုတည်းသောအရာမှာ BLAKE2 ဖြစ်ပြီး ၎င်းကို စံသတ်မှတ်သည်အထိသာ အသုံးပြုနိုင်ပါသည်။ VPN များသည် HMAC ကို သမာဓိရှိစေရန် အသုံးပြုသောကြောင့် ၎င်းသည် အဓိကအားနည်းချက်တစ်ခု မဟုတ်ပါဘဲ၊ ၎င်းသည် MD5 နှင့် တွဲဖက်အသုံးပြုသည့်အခါတွင်ပင် ခိုင်မာသောဖြေရှင်းချက်တစ်ခုအဖြစ် သတ်မှတ်ခံရပါသည်။

ဒါကြောင့် VPN အားလုံးနီးပါးဟာ တူညီတဲ့ cryptographic tool တွေကို အသုံးပြုကြတယ်လို့ ကျွန်တော် ကောက်ချက်ချခဲ့ပါတယ်။ ဒါကြောင့် WireGuard ပေးပို့သောဒေတာ၏ ကုဒ်ဝှက်ခြင်း သို့မဟုတ် သမာဓိနှင့်ပတ်သက်လာလျှင် လက်ရှိအခြားထုတ်ကုန်များထက် ပိုမိုလုံခြုံမှု သို့မဟုတ် လျော့နည်းလုံခြုံမှုမရှိပါ။

ဒါပေမယ့်လည်း ဒီပရောဂျက်ရဲ့တရားဝင်စာရွက်စာတမ်းတွေအရ သတိထားရမယ့်အချက်က အရေးကြီးဆုံးမဟုတ်ပါဘူး။ နောက်ဆုံးတော့ အဓိကအချက်က မြန်နှုန်းပါ။

WireGuard အခြား VPN ဖြေရှင်းချက်များထက် ပိုမြန်ပါသလား။

အတိုချုံးပြောရရင် မဟုတ်ဘူး၊ ပိုမြန်တာမဟုတ်ဘူး။

ChaCha20 သည် ဆော့ဖ်ဝဲလ်တွင် အကောင်အထည်ဖော်ရန် ပိုမိုလွယ်ကူသော stream cipher တစ်ခုဖြစ်သည်။ ၎င်းသည် တစ်ကြိမ်လျှင် တစ်နည်းနည်းဖြင့် စာဝှက်ပေးသည်။ AES ကဲ့သို့ ပရိုတိုကောများကို တစ်ကြိမ်လျှင် block 128 bits ကုဒ်ဝှက်ပါ။ ဟာ့ဒ်ဝဲပံ့ပိုးမှုကို အကောင်အထည်ဖော်ရန်အတွက် ထရန်စစ္စတာများစွာ လိုအပ်သည်၊ ထို့ကြောင့် ပိုကြီးသောပရိုဆက်ဆာများသည် AES-NI၊ ၎င်းကို အရှိန်မြှင့်ရန် ကုဒ်ဝှက်ခြင်းလုပ်ငန်းစဉ်၏ လုပ်ငန်းဆောင်တာအချို့ကို လုပ်ဆောင်ပေးသည့် ညွှန်ကြားချက်အစုံအလင်ပါရှိသည်။

AES-NI သည် စမတ်ဖုန်းများထဲသို့ ဘယ်တော့မှ မရောက်နိုင်ဟု မျှော်လင့်ထားသည် [သို့သော် ၎င်းသည်—ခန့်မှန်းခြေအားဖြင့် ဖြစ်ခဲ့သည်။ နှုန်း။] ယင်းအတွက် ChaCha20 ကို ပေါ့ပါးပြီး ဘက်ထရီချွေတာသည့် အစားထိုးတစ်မျိုးအဖြစ် တီထွင်ခဲ့သည်။ ထို့ကြောင့် ယနေ့ သင်ဝယ်ယူနိုင်သော စမတ်ဖုန်းတိုင်းတွင် AES အရှိန်အဟုန်နှင့် ChaCha20 ထက် ဤကုဒ်ဝှက်စနစ်ဖြင့် ပါဝါသုံးစွဲမှု နည်းပါးပြီး ပိုမိုမြန်ဆန်စွာ လည်ပတ်နိုင်သည်ဟူသော သတင်းများ ထွက်ပေါ်လာနိုင်သည်။

လွန်ခဲ့သောနှစ်အနည်းငယ်အတွင်းက ဝယ်ယူခဲ့သည့် desktop/server ပရိုဆက်ဆာတိုင်းတွင် AES-NI ရှိကြောင်း သိသာထင်ရှားပါသည်။

ထို့ကြောင့် AES သည် ChaCha20 ထက် အခြေအနေတိုင်းတွင် ပိုမိုကောင်းမွန်စွာ လုပ်ဆောင်နိုင်လိမ့်မည်ဟု မျှော်လင့်ပါသည်။ တရားဝင်စာရွက်စာတမ်း WireGuard AVX512 ကြောင့် ChaCha20-Poly1305 သည် AES-NI ထက် စွမ်းဆောင်ရည်ပိုကောင်းမည်ဟု ဖော်ပြထားသော်လည်း ဤ instruction set extension သည် ပရိုဆက်ဆာကြီးများတွင်သာ ရရှိနိုင်မည်ဖြစ်ပြီး၊ ၎င်းသည် သေးငယ်သောနှင့် မိုဘိုင်းဟာ့ဒ်ဝဲများအတွက် အထောက်အကူမပြုပါ၊ AES-NI ဖြင့် အမြဲတမ်းပိုမြန်မည်ဖြစ်သည်။

ဖွံ့ဖြိုးတိုးတက်မှုကာလအတွင်းမှာ ဒါကို ကြိုတင်မြင်နိုင်မလားဆိုတာ ကျွန်တော်သေချာမသိဘူး။ WireGuardဒါပေမယ့် ဒီနေ့ခေတ်မှာ encryption တစ်ခုတည်းနဲ့ ကိုက်ညီနေတယ်ဆိုတဲ့အချက်က ၎င်းရဲ့လုပ်ဆောင်ချက်အပေါ် သိပ်ကောင်းတဲ့အကျိုးသက်ရောက်မှုမရှိနိုင်တဲ့ အားနည်းချက်တစ်ခုဖြစ်ပြီးသားပါ။

IPsec သည် သင့်ကိစ္စအတွက် အကောင်းဆုံးသော ကုဒ်ဝှက်စနစ်ကို လွတ်လပ်စွာ ရွေးချယ်နိုင်စေပါသည်။ ဥပမာအားဖြင့်၊ သင်သည် VPN ချိတ်ဆက်မှုမှတစ်ဆင့် ဒေတာ 10 ဂစ်ဂါဘိုက် သို့မဟုတ် ထို့ထက်ပိုသော ဒေတာများကို လွှဲပြောင်းလိုပါက ၎င်းသည် လိုအပ်ပါသည်။

ပေါင်းစည်းမှုပြဿနာများ Linux

ပေမဲ့ WireGuard ကျွန်တော် ခေတ်မီ encryption protocol ကို ရွေးချယ်ခဲ့ပါတယ်၊ အဲဒါက ပြဿနာအများကြီး ဖြစ်စေနေပါပြီ။ ဒါကြောင့် kernel က ပံ့ပိုးပေးတဲ့ အရာတွေအစား ပေါင်းစပ်မှုကို အသုံးပြုပါတယ်။ WireGuard ဤမူရင်းပစ္စည်းများ မရှိခြင်းကြောင့် နှစ်ပေါင်းများစွာ ရွှေ့ဆိုင်းထားခဲ့ရသည် Linux.

တခြား operating system တွေမှာ အခြေအနေက ဘယ်လိုလဲဆိုတာ ကျွန်တော် လုံးဝသေချာမသိပေမယ့်၊ သိပ်တော့ မကွာခြားပါဘူး။ Linux.

လက်တွေ့ဘဝက ဘယ်လိုမျိုးလဲ။

ကံမကောင်းစွာပဲ၊ client က သူတို့အတွက် VPN ချိတ်ဆက်မှုတစ်ခု သတ်မှတ်ပေးဖို့ တောင်းဆိုတိုင်း၊ သူတို့ ခေတ်မမီတော့တဲ့ အထောက်အထားတွေနဲ့ ကုဒ်ဝှက်စနစ်ကို အသုံးပြုနေတဲ့ ပြဿနာကို ကျွန်တော် ကြုံတွေ့ခဲ့ရပါတယ်။ MD3 နှင့်တွဲဖက်သော 5DES သည် AES-256 နှင့် SHA1 ကဲ့သို့ သာမန်အလေ့အကျင့်ဖြစ်နေဆဲဖြစ်သည်။ နောက်တစ်ခုက နည်းနည်းပိုကောင်းပေမယ့် ဒါက 2020 မှာ သုံးသင့်တဲ့ အရာမဟုတ်ပါဘူး။

သော့လဲလှယ်မှုအတွက် အမြဲ RSA ကို အသုံးပြုသည် - နှေးကွေးသော်လည်း လုံခြုံသော ကိရိယာတစ်ခုဖြစ်သည်။

ကျွန်ုပ်၏ဖောက်သည်များသည် အကောက်ခွန်အာဏာပိုင်များ၊ အခြားအစိုးရအဖွဲ့အစည်းများနှင့် အဖွဲ့အစည်းများနှင့် ဆက်စပ်နေပြီး ကမ္ဘာတစ်ဝှမ်းရှိ နာမည်များကျော်ကြားသည့် ကော်ပိုရေးရှင်းကြီးများနှင့်လည်း ဆက်စပ်နေပါသည်။ ၎င်းတို့အားလုံးသည် လွန်ခဲ့သောဆယ်စုနှစ်များက ဖန်တီးထားသည့် တောင်းဆိုမှုပုံစံကို အသုံးပြုကြပြီး SHA-512 ကိုအသုံးပြုရန် စွမ်းရည်မှာ ရိုးရှင်းစွာထည့်သွင်းထားခြင်းမရှိပါ။ နည်းပညာတိုးတက်မှုကို တစ်နည်းနည်းနဲ့ သက်ရောက်မှုရှိတယ်ဆိုတာ ရှင်းရှင်းလင်းလင်း မပြောနိုင်ပေမယ့် ကော်ပိုရိတ်လုပ်ငန်းစဉ်ကို နှေးကွေးစေတယ်ဆိုတာ သိသာပါတယ်။

IPsec သည် 2005 ခုနှစ်ကတည်းက elliptic curves များကို ပြင်ပတွင် ပံ့ပိုးပေးသောကြောင့် ၎င်းကိုမြင်ရခြင်းမှာ ကျွန်ုပ်အား နာကျင်စေပါသည်။ Curve25519 သည် ပိုမိုသစ်လွင်ပြီး အသုံးပြုရန်အတွက်လည်း ရနိုင်ပါသည်။ Camellia နှင့် ChaCha20 ကဲ့သို့ AES ၏ အခြားရွေးချယ်စရာများ လည်းရှိပါသည်၊ သို့သော် ၎င်းတို့အားလုံးကို Cisco နှင့် အခြားသော အရောင်းအ၀ယ်လုပ်ငန်းကြီးများမှ ပံ့ပိုးပေးသည်မဟုတ်သည်မှာ ထင်ရှားပါသည်။

ပြီးတော့ လူတွေက အဲဒါကို အခွင့်ကောင်းယူတယ်။ Cisco kits များစွာရှိပြီး Cisco နှင့် အလုပ်လုပ်ရန် ဒီဇိုင်းထုတ်ထားသော kit များစွာရှိသည်။ ၎င်းတို့သည် ဤအပိုင်းတွင် စျေးကွက်ခေါင်းဆောင်များဖြစ်ကြပြီး မည်သည့်ဆန်းသစ်တီထွင်မှုမျိုးကိုမျှ စိတ်မဝင်စားပါ။

ဟုတ်ကဲ့၊ [ကော်ပိုရိတ်ကဏ္ဍမှာ] အခြေအနေက အရမ်းဆိုးရွားပါတယ်၊ ဒါပေမယ့် ဘာကြောင့်မှန်းမသိပေမယ့် WireGuardထုတ်လုပ်သူများသည် ၎င်းတို့အသုံးပြုနေသော tools များနှင့် encryption နှင့်ပတ်သက်၍ စွမ်းဆောင်ရည်ပြဿနာများကို ဘယ်တော့မှ ရှာဖွေတွေ့ရှိနိုင်ဖွယ်မရှိသလို IKEv2 တွင်လည်း ပြဿနာတစ်စုံတစ်ရာကို တွေ့မြင်နိုင်ဖွယ်မရှိပါ - ထို့ကြောင့် ၎င်းတို့သည် အခြားရွေးချယ်စရာများကို ရှာဖွေနေခြင်းမဟုတ်ပါ။

ယေဘူယျအားဖြင့် Cisco ကို စွန့်လွှတ်ဖို့ စဉ်းစားဖူးပါသလား။

စံနှုန်းများ

အခု စာရွက်စာတမ်းတွေကနေ benchmark တွေဆီ ဆက်သွားကြရအောင်။ WireGuardဤ [စာရွက်စာတမ်း] သည် သိပ္ပံနည်းကျစာတမ်းမဟုတ်သော်လည်း၊ ဆော့ဖ်ဝဲရေးသားသူများသည် ပိုမိုသိပ္ပံနည်းကျချဉ်းကပ်မှုတစ်ခုယူရန် သို့မဟုတ် သိပ္ပံနည်းကျချဉ်းကပ်မှုကို စံနှုန်းတစ်ခုအဖြစ် အသုံးပြုရန် မျှော်လင့်ထားဆဲဖြစ်သည်။ စံနှုန်းများကို ပြန်လည်ထုတ်လုပ်၍မရပါက အသုံးမဝင်ပါ၊ ဓာတ်ခွဲခန်းတွင် ရရှိသောအခါ ပို၍ပင် အသုံးမဝင်ပါ။

စုဝေးမှုတွင် WireGuard အတွက် Linux GSO (Generic Segmentation Offloading) ကို အသုံးပြုခြင်းအားဖြင့် အားသာချက်တစ်ခု ရရှိပါတယ်။ ၎င်းသည် client အား ကြီးမားသော 64-kilobyte packet တစ်ခုကို ဖန်တီးပြီး single pass ဖြင့် encrypt/decrypt လုပ်ခွင့်ပြုသည်။ ၎င်းသည် cryptographic operations များနှင့် calls များကို လုပ်ဆောင်ခြင်း၏ ကုန်ကျစရိတ်ကို လျှော့ချပေးသည်။ သင်၏ VPN connection ၏ throughput ကို အမြင့်ဆုံးဖြစ်စေလိုပါက ၎င်းသည် ကောင်းမွန်သော အကြံဥာဏ်တစ်ခုဖြစ်သည်။

သို့သော်၊ ထုံးစံအတိုင်း၊ အဖြစ်မှန်သည် ဤမျှလောက် မရိုးရှင်းပါ။ ထိုကဲ့သို့သော ကြီးမားသော ပက်ကတ်ကြီးကို ကွန်ရက် adapter တစ်ခုသို့ ပေးပို့ခြင်းသည် ၎င်းအား သေးငယ်သော ပက်ကတ်များစွာသို့ ဖြတ်တောက်ရန် လိုအပ်သည်။ ပုံမှန်ပေးပို့မှုအရွယ်အစားမှာ 1500 bytes ဖြစ်သည်။ ဆိုလိုသည်မှာ၊ ကျွန်ုပ်တို့၏ ဧရာမ 64 ကီလိုဘိုက်ကို 45 ပက်ခ်များ (အချက်အလက် 1240 bytes နှင့် IP header ၏ 20 bytes) သို့ ပိုင်းခြားမည်ဖြစ်သည်။ ထို့နောက်၊ ၎င်းတို့သည် တပြိုင်နက်တည်း ပေးပို့ရမည်ဖြစ်သောကြောင့် ၎င်းတို့သည် ကွန်ရက်အဒက်တာ၏အလုပ်ကို လုံးလုံးပိတ်ဆို့သွားမည်ဖြစ်သည်။ ရလဒ်အနေဖြင့်၊ ၎င်းသည် ဦးစားပေးအဆင့်သို့ ဦးတည်သွားမည်ဖြစ်ပြီး ဥပမာအားဖြင့် VoIP ကဲ့သို့သော ပက်ကေ့ခ်ျများကို တန်းစီနေပါမည်။

ထို့ကြောင့် ရဲရင့်စွာ ပြောဆိုထားသော မြင့်မားသော throughput WireGuardအခြားအပလီကေးရှင်းများ၏ ကွန်ရက်စွမ်းဆောင်ရည်ကို နှေးကွေးစေခြင်းဖြင့် ၎င်းကို ရရှိသည်။ ထို့အပြင် အဖွဲ့သည် WireGuard ပြီးပြီ အတည်ပြုခဲ့သည် ဤသည်မှာ ကျွန်ုပ်၏ ကောက်ချက်ဖြစ်သည်။

ဒါပေမယ့် ဆက်သွားကြရအောင်။

နည်းပညာဆိုင်ရာစာရွက်စာတမ်းများတွင် စံသတ်မှတ်ချက်များအရ၊ ချိတ်ဆက်မှုသည် 1011 Mbps ၏ဖြတ်သန်းမှုကိုပြသသည်။

အထင်ကြီးစရာ။

၎င်းသည် အထူးအထင်ကြီးစရာကောင်းသည်မှာ Gigabit Ethernet ချိတ်ဆက်မှုတစ်ခုတည်း၏ အမြင့်ဆုံးသီအိုရီဆိုင်ရာ throughput မှာ 966 Mbps ဖြစ်သောကြောင့် IP header အတွက် 1500 bytes အနုတ် 20 bytes၊ UDP header အတွက် 8 bytes နှင့် header အတွက် 16 bytes ရှိသောကြောင့်ဖြစ်သည်။ WireGuardencapsulated packet ထဲမှာ နောက်ထပ် IP header တစ်ခုနဲ့ TCP ထဲမှာ 20 bytes ရှည်တဲ့ နောက်တစ်ခုရှိတယ်။ ဒါဆို ဒီအပို bandwidth က ဘယ်ကလာတာလဲ။

ကြီးမားသောဘောင်များနှင့် GSO ၏အကျိုးကျေးဇူးများဖြင့် အထက်တွင်ပြောခဲ့သော ကျွန်ုပ်တို့သည် 9000 bytes ၏ဘောင်အရွယ်အစားအတွက် သီအိုရီအရအများဆုံးမှာ 1014 Mbps ဖြစ်လိမ့်မည်။ အများအားဖြင့် ထိုသို့သော ဖြတ်သန်းမှုသည် ကြီးမားသောအခက်အခဲများနှင့် ဆက်စပ်နေသောကြောင့် လက်တွေ့တွင် မရရှိနိုင်ပါ။ ထို့ကြောင့်၊ အချို့သောကွန်ရက်အဒက်တာများကသာပံ့ပိုးပေးသည့်သီအိုရီအရအများဆုံး 64 Mbps ဖြင့် 1023 ကီလိုဘိုက်များပိုကြီးသောဘောင်များကိုအသုံးပြု၍ စမ်းသပ်မှုကိုလုပ်ဆောင်ခဲ့ကြောင်း ကျွန်ုပ်ယူဆနိုင်သည်။ သို့သော် ၎င်းသည် လက်တွေ့အခြေအနေများတွင် လုံးဝအသုံးပြု၍မရပါ၊ သို့မဟုတ် စမ်းသပ်ခုံတန်းလျားအတွင်းတွင်သာ တိုက်ရိုက်ချိတ်ဆက်ထားသည့် ဘူတာနှစ်ခုကြားတွင်သာ အသုံးပြုနိုင်သည်။

သို့သော် jumbo frames များကို လုံးဝမပံ့ပိုးနိုင်သော အင်တာနက်ချိတ်ဆက်မှုကို အသုံးပြု၍ host နှစ်ခုကြားတွင် VPN tunnel ကို ထပ်ဆင့်ပို့သောကြောင့်၊ ခုံတန်းလျားပေါ်မှရရှိသောရလဒ်ကို စံအမှတ်အဖြစ် ယူ၍မရပါ။ ၎င်းသည် လက်တွေ့မကျသော ဓာတ်ခွဲခန်းအောင်မြင်မှုတစ်ခုဖြစ်ပြီး စစ်မှန်သောတိုက်ပွဲအခြေအနေများတွင် မဖြစ်နိုင်ဘဲ အသုံးချ၍မရနိုင်ပါ။

ဒေတာစင်တာမှာထိုင်နေတာတောင် 9000 bytes ထက် ပိုကြီးတဲ့ frames တွေကို မပြောင်းနိုင်ဘူး။

လက်တွေ့ဘဝတွင် အသုံးချနိုင်မှုဆိုင်ရာ စံသတ်မှတ်ချက်ကို လုံးဝချိုးဖောက်ပြီး ကျွန်တော်ထင်သည့်အတိုင်း "တိုင်းတာခြင်း" ရေးသားသူသည် သိသာထင်ရှားသောအကြောင်းပြချက်များအတွက် သူ့ကိုယ်သူ လေးလေးနက်နက် အသိအမှတ်ပြုခြင်းခံရပါသည်။

နောက်ဆုံး မျှော်လင့်ချက် အလင်းတန်း

အဆိုပါ site ကို WireGuard ကွန်တိန်နာများအကြောင်း ပြောဆိုမှုများစွာရှိနေပြီး ၎င်းတို့သည် အမှန်တကယ် အဘယ်အရာအတွက် ရည်ရွယ်ထားသည်ကို ရှင်းရှင်းလင်းလင်း သိရှိလာပါသည်။

ဖွဲ့စည်းမှုမလိုအပ်ဘဲ Amazon တွင် ၎င်းတို့၏ cloud ကဲ့သို့ ကြီးမားသော စုစည်းမှုကိရိယာများဖြင့် တပ်ဆင်နိုင်ပြီး ရိုးရှင်းပြီး မြန်ဆန်သော VPN တစ်ခု။ အထူးသဖြင့်၊ Amazon သည် AVX512 ကဲ့သို့ အစောပိုင်းတွင် ကျွန်ုပ်ဖော်ပြခဲ့သည့် နောက်ဆုံးပေါ် ဟာ့ဒ်ဝဲအင်္ဂါရပ်များကို အသုံးပြုပါသည်။ ဤအရာသည် အလုပ်ကို အရှိန်မြှင့်ရန်နှင့် x86 သို့မဟုတ် အခြားဗိသုကာနှင့် ချိတ်ဆက်ခြင်းမပြုရန် လုပ်ဆောင်သည်။

၎င်းတို့သည် 9000 bytes ထက်ကျော်လွန်သော throughput နှင့် packet အရွယ်အစားများကို အကောင်းဆုံးဖြစ်အောင်ပြုလုပ်ပေးသည်—၎င်းတို့သည် container ဆက်သွယ်ရေး၊ backup လုပ်ဆောင်ချက်များ၊ snapshot ဖန်တီးခြင်း သို့မဟုတ် container ဖြန့်ကျက်ခြင်းအတွက် ကြီးမားသော encapsulated frame များကို ဖြစ်ပေါ်စေသည်။ dynamic IP address များပင်လျှင် စွမ်းဆောင်ရည်ကို သက်ရောက်မှုမရှိပါ။ WireGuard ငါဖော်ပြခဲ့တဲ့ ဇာတ်လမ်းရဲ့ကိစ္စမှာ။

ကောင်းစွာတီးမှုတ်ပြခဲ့သည်။ ထက်မြက်သော အကောင်အထည်ဖော်မှုနှင့် အလွန်ပါးလွှာပြီး ကိုးကားလုနီးပါး ပရိုတိုကော။

ဒါပေမယ့် သင်လုံးဝထိန်းချုပ်ထားတဲ့ ဒေတာစင်တာပြင်ပက ကမ္ဘာအတွက် လုံးဝမသင့်တော်ပါဘူး။ သင်အန္တရာယ်ယူပြီး စတင်အသုံးပြုမယ်ဆိုရင် WireGuardကုဒ်ဝှက်ခြင်း protocol တစ်ခုကို ဒီဇိုင်းဆွဲခြင်းနှင့် အကောင်အထည်ဖော်ခြင်းတွင် သင်သည် အဆက်မပြတ် ညှိနှိုင်းမှုများ ပြုလုပ်ရန် လိုအပ်ပါသည်။

ကောက်ချက်

ကျွန်တော့်အတွက် ဒီလိုကောက်ချက်ချဖို့ မခက်ပါဘူး WireGuard အဆင်သင့်မဖြစ်သေးဘူး။

၎င်းကို ရှိပြီးသား ဖြေရှင်းချက်များနှင့်ပတ်သက်သည့် ပြဿနာအများအပြားအတွက် ပေါ့ပါးမြန်ဆန်သော ဖြေရှင်းချက်တစ်ခုအဖြစ် ရည်ရွယ်ခဲ့သည်။ ကံမကောင်းစွာပဲ၊ ဤဖြေရှင်းချက်များကို ရရှိရန်အတွက် အသုံးပြုသူအများစုနှင့် သက်ဆိုင်မည့် အင်္ဂါရပ်များစွာကို စွန့်လွှတ်ခဲ့ရသည်။ ထို့ကြောင့် IPsec ကို အစားထိုး၍မရပါ။ OpenVPN.

နိုင်ရန်အတွက် WireGuard ယှဉ်ပြိုင်နိုင်စွမ်းရှိဖို့အတွက် အနည်းဆုံး IP address configuration, routing နဲ့ DNS configuration တွေကို ထည့်သွင်းဖို့ လိုအပ်ပါတယ်။ ဒီအတွက် encrypted channel တွေ လိုအပ်တာ ထင်ရှားပါတယ်။

လုံခြုံရေးသည် ကျွန်ုပ်၏ ထိပ်တန်းဦးစားပေးဖြစ်ပြီး ယခုအချိန်တွင် IKE သို့မဟုတ် TLS သည် တစ်နည်းနည်းဖြင့် အပေးအယူခံရခြင်း သို့မဟုတ် ပျက်ပြားသွားခြင်းဖြစ်သည်ဟု ကျွန်ုပ်ယုံကြည်စရာအကြောင်းမရှိပါ။ ၎င်းတို့နှစ်ဦးစလုံးတွင် ခေတ်မီ ကုဒ်ဝှက်စနစ်ကို ပံ့ပိုးထားပြီး ၎င်းတို့ကို ဆယ်စုနှစ်များစွာကြာ လုပ်ဆောင်မှုဖြင့် သက်သေပြခဲ့သည်။ တစ်ခုခုက အသစ်ဆိုတော့ ပိုကောင်းတယ်လို့ မဆိုလိုပါဘူး။

သင်ထိန်းချုပ်မထားသော ပြင်ပအဖွဲ့အစည်းများ၏ ဘူတာများနှင့် ဆက်သွယ်ရာတွင် အပြန်အလှန်လုပ်ဆောင်နိုင်မှုသည် အရေးကြီးပါသည်။ IPsec သည် လက်တွေ့စံနှုန်းဖြစ်ပြီး နေရာတိုင်းနီးပါးကို ပံ့ပိုးပေးပါသည်။ ၎င်းသည် အလုပ်လုပ်ပါသည်။ သီအိုရီအရ ၎င်းသည် မည်သို့ပင်ရှိစေကာမူ၊ WireGuard နောင်တွင် ၎င်း၏ ကွဲပြားသော ဗားရှင်းများနှင့်ပင် သဟဇာတမဖြစ်နိုင်ပါ။

လျှို့ဝှက်စာဝှက်ကာကွယ်မှုမှန်သမျှသည် အနှေးနှင့်အမြန် သို့မဟုတ် နောက်ပိုင်းတွင် ပျက်သွားသောကြောင့် အစားထိုးရန် သို့မဟုတ် အပ်ဒိတ်လုပ်ရမည်။

ဤအချက်အလက်အားလုံးကို ငြင်းပယ်ခြင်းနှင့် အသုံးပြုလိုသော မျက်ကန်းဆန္ဒ WireGuard သင့်ချိတ်ဆက်ရန် iPhone အိမ်သုံးအလုပ်စားပွဲတစ်ခုသို့ သွားခြင်းသည် သဲထဲတွင် ခေါင်းစိုက်နေစေရန် master class တစ်ခုဖြစ်သည်။

source: www.habr.com