WireGuard په دې وروستیو کې ډیر پام ځانته را اړولی، په حقیقت کې دا د VPNs ترمنځ نوی ستوری دی. مګر ایا هغه دومره ښه دی لکه څنګه چې هغه ښکاري؟ زه غواړم د ځینو مشاهدو په اړه بحث وکړم او د WireGuard پلي کولو بیاکتنه وکړم ترڅو تشریح کړم چې ولې دا د IPsec یا OpenVPN ځای په ځای کولو حل ندی.
په دې مقاله کې، زه غواړم ځینې خرافات [د WireGuard شاوخوا] له مینځه یوسم. هو، دا به ډیر وخت ونیسي چې لوستل شي، نو که تاسو د چای یا کافي یوه پیاله نه وي جوړه کړې، نو د دې کولو وخت دی. زه هم غواړم د پیټر څخه مننه وکړم چې زما ګډوډ فکرونه سم کړي.
زه خپل ځان د WireGuard پراختیا کونکو بدنامولو ، د دوی هڅو یا نظرونو ارزښت ورکولو هدف نه ټاکل. د دوی محصول کار کوي ، مګر په شخصي توګه زه فکر کوم چې دا د هغه څه څخه په بشپړ ډول توپیر لري چې واقعیا یې وړاندې کوي - دا د IPsec او OpenVPN لپاره د بدیل په توګه وړاندې کیږي ، کوم چې په حقیقت کې اوس شتون نلري.
د یو یادښت په توګه، زه غواړم دا اضافه کړم چې د WireGuard د داسې موقعیت مسؤلیت د رسنیو سره دی چې په دې اړه یې خبرې کړې، او نه پخپله پروژه یا د هغې جوړونکي.
پدې وروستیو کې د لینکس کرنل په اړه ډیر ښه خبرونه شتون نلري. نو، موږ ته د پروسیسر د ناوړه زیانونو په اړه ویل شوي، کوم چې د سافټویر لخوا سطحه شوي، او لینس توروالډز د دې په اړه خورا بې رحمه او ستړي شوي، د پراختیا کونکي په ګټوره ژبه کې خبرې وکړې. یو مهالویش یا د صفر کچې شبکې سټیک هم د روښانه مجلو لپاره خورا روښانه موضوعات ندي. او دلته د WireGuard راځي.
په کاغذ کې، دا ټول ښه ښکاري: یوه په زړه پورې نوې ټیکنالوژي.
مګر راځئ چې یو څه نور نږدې وګورو.
د WireGuard سپین کاغذ
دا مقاله پر بنسټ ولاړه ده د جیسن ډونینفیلډ لخوا لیکل شوی. هلته هغه په لینکس کرنل کې د [WireGuard] مفهوم، هدف او تخنیکي تطبیق تشریح کوي.
لومړۍ جمله داسې ده:
WireGuard [...] موخه دا ده چې دواړه IPsec د ډیری کارونې په قضیو کې ځای په ځای کړي او نور مشهور کارونکي ځای او/یا د TLS پراساس حلونه لکه OpenVPN پداسې حال کې چې ډیر خوندي ، فعال او د کارولو لپاره اسانه وي [وسیلې].
البته، د ټولو نویو ټیکنالوژیو اصلي ګټه د دوی ده سادگي [د مخکینو په پرتله]. مګر یو VPN باید هم وي اغیزمن او خوندي.
نو، راتلونکی څه دی؟
که تاسو ووایاست چې دا هغه څه ندي چې تاسو ورته اړتیا لرئ [د VPN څخه] ، نو تاسو کولی شئ دلته لوستل پای ته ورسوي. په هرصورت، زه به یادونه وکړم چې دا ډول دندې د نورو تونل کولو ټیکنالوژۍ لپاره ټاکل شوي.
د پورتنۍ اقتباس ترټولو په زړه پورې ټکي په "ډیری مواردو کې" کې دي، کوم چې البته، د مطبوعاتو لخوا له پامه غورځول شوي. او په دې توګه، موږ چیرته یو چې موږ د دې غفلت له امله رامینځته شوي ګډوډي له امله پای ته ورسیدو - پدې مقاله کې.
ایا WireGuard به زما [IPsec] سایټ څخه سایټ VPN بدل کړي؟
نه. په ساده ډول هیڅ چانس شتون نلري چې لوی پلورونکي لکه سیسکو ، جونیپر او نور به د دوی محصولاتو لپاره وایر ګارډ واخلي. دوی په حرکت کې "په تیریدو اورګاډو کې کودتا" نه کوي پرته لدې چې د دې کولو لپاره خورا لوی اړتیا وي. وروسته ، زه به ځینې دلایلو ته لاړ شم چې ولې دوی شاید وکولی شي د دوی د WireGuard محصولات په بورډ کې ترلاسه کړي حتی که دوی وغواړي.
ایا WireGuard به زما RoadWarrior زما له لپ ټاپ څخه ډیټا مرکز ته ورسوي؟
نه. همدا اوس، WireGuard د دې لپاره د پلي کولو لپاره خورا لوی شمیر مهم ځانګړتیاوې نلري ترڅو د دې په څیر یو څه ترسره کړي. د مثال په توګه، دا نشي کولی د تونل سرور اړخ کې متحرک IP پتې وکاروي، او دا یوازې د محصول د داسې کارولو ټوله سناریو ماتوي.
IPFire اکثرا د ارزانه انټرنیټ لینکونو لپاره کارول کیږي، لکه DSL یا کیبل ارتباط. دا د کوچني یا متوسط سوداګریو لپاره معنی لري چې ګړندي فایبر ته اړتیا نلري. [د ژباړن یادونه: دا مه هېروئ چې روسیه او د CIS ځینې هیوادونه د مخابراتو له پلوه له اروپا او متحده ایالاتو څخه ډیر مخکې دي ، ځکه چې موږ ډیر وروسته د ایترنیټ او فایبر آپټیک شبکې په رامینځته کیدو سره خپلې شبکې رامینځته کول پیل کړل. معیاري، دا زموږ لپاره بیا جوړونه اسانه وه. د EU یا USA په ورته هیوادونو کې، د 3-5 Mbps سرعت سره د xDSL براډ بانډ لاسرسی لاهم عمومي نورم دی، او د فایبر آپټیک اتصال زموږ د معیارونو سره سم ځینې غیر واقعیتي پیسې مصرفوي. له همدې امله، د مقالې لیکوال د DSL یا کیبل پیوستون د نورم په توګه خبرې کوي، نه د پخوانیو وختونو.] په هرصورت، DSL، کیبل، LTE (او نور د بې سیمه لاسرسي میتودونه) متحرک IP پتې لري. البته، ځینې وختونه دوی اکثرا بدلون نه کوي، مګر دوی بدلوي.
په نوم یوه فرعي پروژه شتون لري ، کوم چې د دې نیمګړتیا د لرې کولو لپاره د کارونکي ځای ډیمون اضافه کوي. د کارونکي سناریو سره یوه لویه ستونزه چې پورته بیان شوي د متحرک IPv6 ادرسونو زیاتوالی دی.
د توزیع کونکي له نظره ، دا ټول هم خورا ښه نه ښکاري. د ډیزاین اهدافو څخه یو د پروتوکول ساده او پاک ساتل وو.
له بده مرغه، دا ټول په حقیقت کې خورا ساده او ابتدايي شوي، نو موږ باید د دې بشپړ ډیزاین لپاره اضافي سافټویر وکاروو ترڅو په ریښتینې کارونې کې د اعتبار وړ وي.
ایا WireGuard کارول خورا اسانه دي؟
تر اوسه نه. زه دا نه وایم چې وایر ګارډ به هیڅکله د دوه ټکو ترمینځ د تونل کولو لپاره ښه بدیل نه وي ، مګر د اوس لپاره دا د محصول یوازې الفا نسخه ده چې باید وي.
مګر بیا هغه واقعیا څه کوي؟ ایا IPsec واقعیا ساتل خورا سخت دي؟
په ښکاره ډول نه. د IPsec پلورونکي پدې اړه فکر کړی او خپل محصول د انٹرفیس سره لیږدوي ، لکه د IPFire سره.
د IPsec په اړه د VPN تونل تنظیم کولو لپاره ، تاسو به د ډیټا پنځه سیټونو ته اړتیا ولرئ چې تاسو به اړتیا ولرئ ترتیب ته داخل شئ: ستاسو خپل عامه IP پته ، د ترلاسه کونکي ګوند عامه IP پته ، هغه فرعي نیټونه چې تاسو یې غواړئ عامه کړئ دا VPN پیوستون او مخکې شریک شوی کیلي. پدې توګه ، VPN په څو دقیقو کې تنظیم شوی او د هر پلورونکي سره مطابقت لري.
له بده مرغه، په دې کیسه کې یو څو استثناوې شتون لري. هر هغه څوک چې د OpenBSD ماشین ته د IPsec د تونل کولو هڅه کوي پوهیږي چې زه د څه په اړه خبرې کوم. یو څو نور دردناک مثالونه شتون لري، مګر په حقیقت کې، د IPsec کارولو لپاره ډیری، ډیری نور ښه تمرینونه شتون لري.
د پروتوکول پیچلتیا په اړه
پای کارونکي د پروتوکول پیچلتیا په اړه اندیښنه نلري.
که موږ په داسې نړۍ کې ژوند کاوه چیرې چې دا د کارونکي ریښتینې اندیښنه وه، نو موږ به د SIP، H.323، FTP او نورو پروتوکولونو څخه ځان خلاص کړی وای چې لس کاله دمخه رامینځته شوي چې د NAT سره ښه کار نه کوي.
دلته دلیلونه شتون لري چې ولې IPsec د WireGuard په پرتله خورا پیچلی دی: دا ډیر څه کوي. د مثال په توګه، د EAP سره د ننوتلو / پاسورډ یا سیم کارت په کارولو سره د کارونکي تصدیق. دا د نوي اضافه کولو پراخه وړتیا لري .
او WireGuard دا نه لري.
او د دې معنی دا ده چې WireGuard به په یو وخت کې مات شي ، ځکه چې یو د کریپټوګرافیک لومړني به ضعیف یا په بشپړ ډول جوړجاړی شي. د تخنیکي اسنادو لیکوال دا وايي:
دا د یادولو وړ ده چې WireGuard د کریپټوګرافیک نظر دی. دا په قصدي ډول د سیفرونو او پروتوکولونو انعطاف نلري. که جدي سوري په لومړني لومړنيو کې وموندل شي، ټول پای ټکي به نوي کولو ته اړتیا ولري. لکه څنګه چې تاسو د SLL/TLS زیان منونکو روان جریان څخه لیدلی شئ، د کوډ کولو انعطاف اوس خورا ډیر شوی.
وروستۍ جمله بالکل سمه ده.
د کوم کوډ کولو کارولو په اړه موافقې ته رسیدل پروتوکولونه رامینځته کوي لکه IKE او TLS более پیچلي ډیر پیچلی؟ هو، په TLS/SSL کې زیانونه خورا عام دي، او د دوی لپاره هیڅ بدیل نشته.
د اصلي ستونزو څخه سترګې پټول
تصور وکړئ چې تاسو د نړۍ په ګوټ ګوټ کې د 200 جنګي پیرودونکو سره د VPN سرور لرئ. دا یو ښکلی معیاري کارونې قضیه ده. که تاسو کوډ کول بدل کړئ، نو تاسو اړتیا لرئ چې په دې لپ ټاپونو، سمارټ فونونو او داسې نورو کې د WireGuard ټولو کاپيونو ته تازه معلومات وړاندې کړئ. په عین حال کې سپارل دا په لفظي توګه ناممکن دی. مدیران چې د دې کولو هڅه کوي د اړتیا وړ تشکیلاتو ځای په ځای کولو لپاره میاشتې وخت نیسي ، او دا به په حقیقت کې د متوسط کچې شرکت کلونه وخت ونیسي ترڅو داسې پیښه راوباسي.
IPsec او OpenVPN د سیفر خبرو اترو ځانګړتیا وړاندیز کوي. له همدې امله ، د یو څه وخت لپاره وروسته له هغه چې تاسو نوی کوډ کول پیل کړئ ، زوړ به هم کار وکړي. دا به اوسني پیرودونکو ته اجازه ورکړي چې نوي نسخه ته وده ورکړي. وروسته له دې چې تازه کول پیل شوي، تاسو په ساده ډول د زیان منونکي کوډ کول بند کړئ. او دا دی! چمتو! تاسو ښکلی یاست! پیرودونکي به حتی دا په پام کې ونه نیسي.
دا واقعیا د لوی ګمارنې لپاره خورا عام قضیه ده ، او حتی OpenVPN پدې کې یو څه ستونزه لري. شاته مطابقت مهم دی، او که څه هم تاسو کمزوری کوډ کاروئ، د ډیری لپاره، دا د سوداګرۍ تړلو دلیل ندی. ځکه چې دا به د سلګونو پیرودونکو کار د دوی د دندې د نه ترسره کولو له امله فلج کړي.
د WireGuard ټیم خپل پروتوکول ساده کړی، مګر په بشپړه توګه د هغو خلکو لپاره چې د دوی په تونل کې په دواړو ملګرو باندې دوامداره کنټرول نلري د کارولو وړ نه دی. زما په تجربه کې، دا ترټولو عام سناریو ده.
کریپټوګرافي!
مګر دا په زړه پوری نوی کوډ کول څه دي چې وایر ګارډ کاروي؟
WireGuard د کلیدي تبادلې لپاره Curve25519 کاروي، ChaCha20 د کوډ کولو لپاره او Poly1305 د ډیټا تصدیق لپاره. دا د هش کیلي لپاره د SipHash او د هش کولو لپاره BLAKE2 سره هم کار کوي.
ChaCha20-Poly1305 د IPsec او OpenVPN (د TLS څخه ډیر) لپاره معیاري شوی.
دا څرګنده ده چې د ډینیل برنسټین پرمختګ خورا ډیر کارول کیږي. BLAKE2 د BLAKE ځای ناستی دی، د SHA-3 فاینلیسټ چې د SHA-2 سره د ورته والي له امله بریالی نه شو. که چیرې SHA-2 مات شي، نو یو ښه چانس شتون درلود چې بلیک به هم جوړ شي.
IPsec او OpenVPN د دوی ډیزاین له امله SipHash ته اړتیا نلري. نو یوازینی شی چې اوس مهال د دوی سره نشي کارول کیدی BLAKE2 دی، او دا یوازې تر هغه پورې دی چې دا معیاري نه وي. دا یو لوی نیمګړتیا نه ده، ځکه چې VPNs د بشپړتیا رامینځته کولو لپاره HMAC کاروي، کوم چې حتی د MD5 سره په ګډه یو قوي حل ګڼل کیږي.
نو زه دې پایلې ته ورسیدم چې د کریپټوګرافیک وسیلو نږدې ورته ورته سیټ په ټولو VPNs کې کارول کیږي. له همدې امله، WireGuard د کوم بل اوسني محصول په پرتله ډیر یا لږ خوندي نه دی کله چې د کوډ کولو یا د لیږد شوي معلوماتو بشپړتیا خبره راځي.
مګر حتی دا ترټولو مهم شی ندی، کوم چې د پروژې رسمي اسنادو سره سم د پام وړ ارزښت لري. په هرصورت، اصلي شی سرعت دی.
ایا WireGuard د نورو VPN حلونو په پرتله ګړندی دی؟
په لنډه توګه: نه، چټک نه.
ChaCha20 یو سټریم سیفر دی چې په سافټویر کې پلي کول اسانه دي. دا په یو وخت کې یو څه کوډ کوي. د بلاک پروتوکولونه لکه AES په یو وخت کې د بلاک 128 بټونه کوډ کوي. د هارډویر ملاتړ پلي کولو لپاره خورا ډیر ټرانزیسټرونو ته اړتیا ده ، نو لوی پروسیسرونه د AES-NI سره راځي ، د لارښوونې ترتیب توسیع چې د کوډ کولو پروسې ځینې دندې ترسره کوي ترڅو ګړندي کړي.
دا تمه کیده چې AES-NI به هیڅکله سمارټ فونونو ته ونه رسیږي [مګر دا یې وکړ - نږدې. فی.]. د دې لپاره، ChaCha20 د سپک وزن، د بیټرۍ خوندي کولو بدیل په توګه رامینځته شوی. له همدې امله، دا ممکن تاسو ته د خبر په توګه راشي چې هر سمارټ فون چې تاسو یې نن وپیرئ یو ډول AES سرعت لري او د دې کوډ کولو سره د ChaCha20 په پرتله ګړندي او د ټیټ بریښنا مصرف سره چلیږي.
په ښکاره ډول، په تیرو څو کلونو کې اخیستل شوي هر ډیسټاپ / سرور پروسیسر AES-NI لري.
له همدې امله، زه تمه لرم چې AES به په هره سناریو کې د ChaCha20 څخه ښه کار وکړي. د WireGuard رسمي اسناد په ګوته کوي چې د AVX512 سره، ChaCha20-Poly1305 به د AES-NI څخه ښه کار وکړي، مګر د دې لارښوونې ترتیب توسیع به یوازې په لوی CPUs کې شتون ولري، کوم چې بیا به د کوچني او ډیرو ګرځنده هارډویر سره مرسته ونکړي، کوم چې د AES سره به تل ګړندی وي. - N.I.
زه ډاډه نه یم چې ایا دا د WireGuard پراختیا په جریان کې وړاندوینه شوې وه ، مګر نن ورځ دا حقیقت چې دا یوازې کوډ کولو ته کیل شوی دی دمخه یو نیمګړتیا ده چې ممکن د دې عملیات خورا ښه اغیزه ونکړي.
IPsec تاسو ته اجازه درکوي په آزاده توګه وټاکئ چې کوم کوډ کول ستاسو د قضیې لپاره غوره دي. او البته ، دا اړینه ده که د مثال په توګه ، تاسو غواړئ د VPN اتصال له لارې 10 یا ډیر ګیګابایټ ډیټا انتقال کړئ.
په لینکس کې د ادغام مسلې
که څه هم WireGuard د کوډ کولو عصري پروتوکول غوره کړی، دا دمخه د ډیرو ستونزو لامل کیږي. او له همدې امله ، د هغه څه کارولو پرځای چې د بکس څخه د کرنل لخوا ملاتړ کیږي ، د WireGuard ادغام په لینکس کې د دې لومړني نشتوالي له امله د کلونو لپاره ځنډول شوی.
زه په بشپړ ډول ډاډه نه یم چې وضعیت په نورو عملیاتي سیسټمونو کې څه دی، مګر دا شاید د لینکس په پرتله ډیر توپیر نلري.
حقیقت څه ډول ښکاري؟
بدبختانه ، هرکله چې یو پیرودونکی له ما څخه د دوی لپاره د VPN اتصال تنظیم کولو غوښتنه کوي ، زه دې مسلې ته ځم چې دوی زاړه اسناد او کوډ کول کاروي. 3DES د MD5 سره یوځای اوس هم عام عمل دی، لکه څنګه چې AES-256 او SHA1 دي. او که څه هم وروستی یو څه ښه دی ، دا هغه څه ندي چې باید په 2020 کې وکارول شي.
د کلیدي تبادلې لپاره تل RSA کارول کیږي - یو ورو مګر کافي خوندي وسیله.
زما مراجعین د ګمرکونو چارواکو او نورو دولتي ارګانونو او بنسټونو او همدارنګه د لوی شرکتونو سره چې نومونه یې په ټوله نړۍ کې پیژندل شوي دي. دوی ټول د غوښتنې فورمه کاروي چې لسیزې دمخه رامینځته شوی ، او د SHA-512 کارولو وړتیا په ساده ډول هیڅکله نه وه اضافه شوې. زه نشم ویلای چې دا یو څه په روښانه ډول د ټیکنالوژیک پرمختګ اغیزه کوي ، مګر په څرګنده توګه دا د کارپوریټ پروسه ورو کوي.
دا زما په لیدو درد کوي ځکه چې IPsec له 2005 راهیسې د بیضوي منحلاتو ملاتړ کوي. Curve25519 هم نوی دی او د کارولو لپاره شتون لري. د کیمیلیا او چاچا 20 په څیر د AES لپاره بدیلونه هم شتون لري ، مګر په څرګنده توګه دا ټول د سیسکو او نورو په څیر د لوی پلورونکو لخوا ملاتړ شوي ندي.
او خلک ترې ګټه پورته کوي. د سیسکو ډیری کټونه شتون لري، ډیری کیټونه شتون لري چې د سیسکو سره کار کولو لپاره ډیزاین شوي. دوی پدې برخه کې د بازار مشران دي او په هیڅ ډول نوښت سره علاقه نلري.
هو، وضعیت [په کارپوریټ برخه کې] خورا خراب دی، مګر موږ به د WireGuard له امله هیڅ بدلون ونه ګورو. پلورونکي به شاید هیڅکله د وسیلې او کوډ کولو سره د فعالیت کومه مسله ونه ګوري چې دوی دمخه کاروي ، د IKEv2 سره به کومه ستونزه ونه ګوري ، او له همدې امله دوی د بدیلونو په لټه کې ندي.
په عموم کې، ایا تاسو کله هم د سیسکو پریښودلو په اړه فکر کړی؟
بنچمارکونه
او اوس راځئ چې د WireGuard اسنادو څخه بنچمارکونو ته لاړ شو. که څه هم دا [اسناد] یوه ساینسي مقاله نه ده، ما بیا هم د پراختیا کونکو څخه تمه درلوده چې ډیر ساینسي چلند وکړي، یا د یوې مرجع په توګه ساینسي طریقه وکاروي. هر معیارونه بې ګټې دي که چیرې دوی بیا تولید نشي، او حتی ډیر بې ګټې دي کله چې دوی په لابراتوار کې ترلاسه کیږي.
د WireGuard په لینکس جوړونه کې، دا د GSO - Generic Segmentation offloading کارولو څخه ګټه پورته کوي. د هغه څخه مننه ، پیرودونکي د 64 کیلوبایټ لوی کڅوړه رامینځته کوي او په یوځل کې یې کوډ کوي / کوډ کوي. په دې توګه، د کریپټوګرافیک عملیاتو غوښتنه او پلي کولو لګښت کم شوی. که تاسو غواړئ د خپل VPN اتصال له لارې اعظمي کړئ ، دا یو ښه نظر دی.
مګر، د معمول په څیر، حقیقت دومره ساده نه دی. د شبکې اډاپټر ته دومره لوی پاکټ لیږل اړین دي چې دا په ډیری کوچنیو کڅوړو کې پرې شي. د نورمال لیږلو اندازه 1500 بایټه ده. دا دی، زموږ د 64 کیلوبایټ لوی لوی به په 45 پاکټونو ویشل شي (د معلوماتو 1240 بایټس او د IP سرلیک 20 بایټ). بیا، د یو څه وخت لپاره، دوی به په بشپړه توګه د شبکې اډاپټر کار بند کړي، ځکه چې دوی باید یوځای او یوځل واستول شي. د پایلې په توګه، دا به د لومړیتوب کود لامل شي، او پیکټونه لکه VoIP، د بیلګې په توګه، به په قطار کې وي.
په دې توګه، لوړ ټرپټ چې WireGuard دومره په زړورتیا ادعا کوي د نورو غوښتنلیکونو شبکې سستولو په قیمت کې ترلاسه کیږي. او د WireGuard ټیم لا دمخه دی دا زما پایله ده.
مګر راځئ چې حرکت وکړو.
په تخنیکي اسنادو کې د بنچمارکونو له مخې، پیوستون د 1011 Mbps له لارې ښیي.
اغېزمن.
دا په ځانګړې توګه د دې حقیقت له امله اغیزمن دی چې د یو واحد ګیګابایټ ایترنیټ اتصال اعظمي نظریاتي انډول 966 Mbps دی د پیکټ اندازه د 1500 بایټ څخه منفي 20 بایټ د IP سرلیک لپاره ، 8 بایټ د UDP سرلیک لپاره او 16 بایټ د سرلیک لپاره. پخپله وایرګارډ یو بل IP سرلیک په پوښل شوي کڅوړه کې او بل په TCP کې د 20 بایټ لپاره شتون لري. نو دا اضافي بینډ ویت له کوم ځای څخه راغلی؟
د لوی چوکاټونو او د GSO ګټو سره چې موږ یې پورته په اړه خبرې وکړې، د 9000 بایټ فریم اندازې لپاره نظریاتي اعظمي به 1014 Mbps وي. معمولا دا ډول وسیله په واقعیت کې د لاسته راوړلو وړ نه ده، ځکه چې دا د لویو ستونزو سره تړاو لري. پدې توګه ، زه یوازې دا فرض کولی شم چې ازموینه د حتی د 64 کیلوبایټ پراخه پراخه چوکاټونو په کارولو سره ترسره شوې چې د نظریاتي اعظمي 1023 Mbps سره ، کوم چې یوازې د ځینې شبکې اډاپټرونو لخوا ملاتړ کیږي. مګر دا په ریښتیني شرایطو کې د پلي کیدو وړ ندي ، یا یوازې د دوه مستقیم وصل سټیشنونو ترمینځ کارول کیدی شي ، په ځانګړي توګه د ازموینې بینچ کې.
مګر څنګه چې د VPN تونل د انټرنیټ اتصال په کارولو سره د دوه کوربه توبونو ترمینځ لیږل شوی چې په هیڅ ډول د جمبو چوکاټونو ملاتړ نه کوي ، په بنچ کې ترلاسه شوې پایله د بنچمارک په توګه نشي اخیستل کیدی. دا په ساده ډول یو غیر واقعیتي لابراتوار لاسته راوړنه ده چې په ریښتیني جنګي شرایطو کې ناممکن او د پلي کیدو وړ نه ده.
حتی د معلوماتو مرکز کې ناست، زه نشم کولی د 9000 بایټ څخه لوی چوکاټونه انتقال کړم.
په ریښتیني ژوند کې د تطبیق معیار په بشپړه توګه سرغړونه ده او لکه څنګه چې زه فکر کوم، د "پیمانې" لیکوال د واضح دلیلونو لپاره ځان په جدي توګه بدنام کړ.
د امید وروستی څراغ
د WireGuard ویب پاڼه د کانټینرونو په اړه ډیرې خبرې کوي او دا روښانه کیږي چې دا واقعیا د څه لپاره دی.
یو ساده او ګړندی VPN چې هیڅ ترتیب ته اړتیا نلري او د لوی آرکیسټریشن وسیلو سره ځای په ځای کیدی شي او تنظیم کیدی شي لکه ایمیزون په خپل کلاوډ کې لري. په ځانګړې توګه، ایمیزون د هارډویر وروستي ځانګړتیاوې کاروي چې ما مخکې یادونه وکړه، لکه AVX512. دا د دې لپاره ترسره کیږي چې کار ګړندی کړي او په x86 یا کوم بل جوړښت پورې تړلی نه وي.
دوی د 9000 بایټس څخه لوی ټرپټ او پاکټونه غوره کوي - دا به د کانټینرونو لپاره لوی پوښل شوي چوکاټونه وي ترڅو یو بل سره اړیکه ونیسي ، یا د بیک اپ عملیاتو لپاره ، سنیپ شاټونه رامینځته کړي یا ورته کانټینرونه ځای په ځای کړي. حتی متحرک IP پتې به د سناریو په حالت کې چې ما تشریح کړې په هیڅ ډول به د WireGuard عملیات اغیزه ونکړي.
ښه لوبه مو وکړه. په زړه پوری تطبیق او خورا پتلی، تقریبا د حوالې پروتوکول.
مګر دا یوازې د ډیټا مرکز څخه بهر نړۍ کې مناسب ندي چې تاسو یې په بشپړ ډول کنټرول کوئ. که تاسو خطر واخلئ او د WireGuard کارول پیل کړئ ، نو تاسو باید د کوډ کولو پروتوکول ډیزاین او پلي کولو کې دوامداره جوړجاړی وکړئ.
پایلې
دا زما لپاره اسانه ده چې دې پایلې ته ورسیږم چې وایر ګارډ لاهم چمتو ندی.
دا د موجوده حلونو سره د یو شمیر ستونزو لپاره د سپک وزن او ګړندي حل په توګه تصور شوی و. له بده مرغه، د دې حلونو لپاره، هغه ډیری ځانګړتیاوې قرباني کړې چې د ډیری کاروونکو لپاره به اړین وي. له همدې امله دا نشي کولی IPsec یا OpenVPN ځای په ځای کړي.
د دې لپاره چې د WireGuard سیالي وکړي، دا اړتیا لري چې لږترلږه د IP پته ترتیب او د روټینګ او DNS ترتیب اضافه کړي. په ښکاره ډول، دا هغه څه دي چې کوډ شوي چینلونه د دې لپاره دي.
امنیت زما لومړیتوب دی، او همدا اوس زه هیڅ دلیل نلرم چې باور وکړم چې IKE یا TLS یو څه جوړ شوی یا مات شوی دی. عصري کوډ کول په دوی دواړو کې ملاتړ کیږي، او دوی د لسیزو عملیاتو لخوا ثابت شوي. یوازې د دې لپاره چې یو څه نوی دی پدې معنی ندي چې دا غوره دی.
متقابل عمل خورا مهم دی کله چې تاسو د دریمې ډلې سره اړیکه ونیسئ چې سټیشنونه تاسو کنټرول نلرئ. IPsec د حقیقت معیار دی او نږدې هرچیرې ملاتړ کیږي. او هغه کار کوي. او مهمه نده چې دا څنګه ښکاري، په تیوري کې، په راتلونکي کې WireGuard ممکن حتی د ځان د مختلفو نسخو سره مطابقت ونلري.
هر ډول کریپټوګرافیک محافظت ژر یا وروسته مات شوی او په وینا یې باید ځای په ځای شي یا تازه شي.
د دې ټولو حقایقو څخه انکار کول او په ړانده توګه د WireGuard کارولو غوښتل ستاسو د کور کار سټیشن سره ستاسو د iPhone وصل کولو لپاره یوازې یو ماسټر کلاس دی چې ستاسو سر په شګو کې چپه کوي.
سرچینه: www.habr.com
