WireGuard ayaa beryahan dambe soo jiidanaysay dareen badan, dhab ahaantii waa xiddiga cusub ee VPN-yada. Laakiin miyuu u fiican yahay sida uu u muuqdo? Waxaan jeclaan lahaa inaan ka hadlo qaar ka mid ah indha-indhaynta oo aan dib u eego hirgelinta WireGuard si aan u sharaxo sababta aysan xal u ahayn in la beddelo IPsec ama OpenVPN.
Maqaalkan, waxaan jeclaan lahaa inaan ku tirtiro qaar ka mid ah khuraafaadka [aagga WireGuard]. Haa, waxay qaadan doontaa waqti dheer in la akhriyo, sidaas darteed haddii aadan naftaada ka dhigi koob shaah ah ama kafeega, ka dibna waa waqtigii aad samayn lahayd. Waxaan sidoo kale jeclaan lahaa inaan u mahadceliyo Peter si uu u saxo fikradahayga fowdada ah.
Anigu nafteyda uma dhigin yoolka aan ku ceebeynayo horumariyeyaasha WireGuard, hoos u dhigista dadaalkooda ama fikradahooda. Wax soo saarkoodu wuu shaqeynayaa, laakiin shakhsi ahaan waxaan u maleynayaa in la soo bandhigay si ka duwan waxa dhabta ah - waxaa loo soo bandhigay beddelka IPsec iyo OpenVPN, taas oo dhab ahaantii aan hadda jirin.
Xusuusin ahaan, waxaan jeclaan lahaa inaan ku daro in mas'uuliyadda meelayntan WireGuard ay saaran tahay warbaahinta ka hadashay, ee maaha mashruuca laftiisa ama abuurayaashiisa.
Ma jiro war wanaagsan oo ku saabsan kernel Linux waayadan. Markaa, waxa naloo sheegay baylahda bahalnimada ah ee Processor-ka, kuwaas oo lagu simay software-ka, Linus Torvalds waxa uu uga hadlay si qallafsan oo caajis ah, isaga oo ku hadlaya luqadda adeegsadaha ee horumariyaha. Jadwaliye ama kaydka isku xidhka heerka eber sidoo kale maaha mawduucyo aad u cad oo loogu talagalay wargeysyada dhalaalaya. Oo halkan waxaa yimaada WireGuard.
Warqadda, dhammaan waxay u egtahay mid aad u wanaagsan: farsamo cusub oo xiiso leh.
Laakiin aan si qoto dheer u eegno.
WireGuard warqad cad
Maqaalkani waxa uu ku salaysan yahay waxaa qoray Jason Donenfeld. Halkaa waxa uu ku sharaxay fikradda, ujeedada iyo hirgelinta farsamada [WireGuard] ee kernel Linux.
Weedha kowaad waxay u dhigan tahay:
WireGuard […] ujeedadeedu tahay in lagu beddelo labadaba IPsec inta badan kiisaska isticmaalka iyo meelaha kale ee caanka ah ee isticmaalaha iyo/ama xalalka ku salaysan TLS sida OpenVPN iyada oo aad u ammaan badan, wax qabad iyo fududahay in la isticmaalo [qalabka].
Dabcan, faa'iidada ugu weyn ee dhammaan tignoolajiyada cusub waa iyaga fududaan [marka loo eego kuwii ka horeeyey]. Laakiin VPN sidoo kale waa inay noqotaa waxtar leh oo ammaan ah.
Haddaba, maxaa xiga?
Haddii aad tiraahdo tani maahan waxa aad uga baahan tahay [VPN], markaa waxaad ku dhamayn kartaa akhrinta halkan. Si kastaba ha ahaatee, waxaan ogaan doonaa in hawlahan oo kale loo dejiyay tignoolajiyada kale ee tunnel-ka.
Waxa ugu xiisaha badan ee xigashada kor ku xusan waxay ku jirtaa ereyada "inta badan kiisaska", kuwaas oo, dabcan, ay iska indhatireen saxafiyiinta. Sidaas awgeed, waxaynu joogna halkii aynu ku dambaynay fowdadii ka dhalatay habacsanaantan – maqaalkan.
WireGuard ma beddeli doonaa VPN-kayga [IPsec] goob-goob?
Maya Ma jirto wax fursad ah oo iibiyeyaasha waaweyn sida Cisco, Juniper iyo kuwa kale ay ku iibsan doonaan WireGuard alaabadooda. Ma "ku boodaan tareenada socda" socodka ilaa ay jirto baahi weyn oo sidaas loo sameeyo. Later, waxaan dul mari doonaa qaar ka mid ah sababaha ay u badan tahay inay awoodi waayaan inay helaan alaabtooda WireGuard ee guddiga xitaa haddii ay rabaan.
WireGuard ma ka qaadi doonaa RoadWarrior-kayga laptop-ka ilaa xarunta xogta?
Maya Hadda, WireGuard ma haysto tiro aad u badan oo astaamo muhiim ah oo loo hirgeliyay si ay u awooddo inay sidan oo kale sameyso. Tusaale ahaan, ma isticmaali karto ciwaannada IP-ga ee firfircoon dhanka server-ka tunnel-ka, tanina kaligeed waxay jebisaa dhammaan muuqaalka isticmaalka badeecada.
IPFire waxaa badanaa loo isticmaalaa isku xirka internetka ee jaban, sida DSL ama isku xirka fiilada. Tani waxay macno u samaynaysaa ganacsiyada yaryar ama kuwa dhexdhexaadka ah ee aan u baahnayn fiber degdeg ah. [Fiiro gaar ah ka turjumaanka: ha iloobin in dhanka isgaarsiinta, Russia iyo qaar ka mid ah wadamada CIS ay aad uga horreeyaan Yurub iyo Mareykanka, sababtoo ah waxaan bilownay dhisitaanka shabakadahayada wax badan ka dib iyo soo ifbaxa shabakadaha Ethernet iyo fiber optic sida heerka, way noo fududaatay inaan dib u dhisno. Isla wadamada EU ama USA, xDSL helitaanka xawaaraha 3-5 Mbps ayaa weli ah heerka caadiga ah, iyo isku xirka fiber optic-ga wuxuu ku kacayaa lacag aan macquul ahayn heerarkeena. Sidaa darteed, qoraaga maqaalku waxa uu ka hadlayaa DSL ama xidhiidhka fiilada in ay tahay caadada, mana aha wakhtiyadii hore.] Si kastaba ha ahaatee, DSL, cable, LTE (iyo hababka kale ee helitaanka wireless) waxay leeyihiin cinwaanno IP firfircoon. Dabcan, mararka qaarkood isma beddelaan inta badan, laakiin way isbeddelaan.
Waxaa jira mashruuc-hoosaad la yiraahdo , kaas oo ku daraya userspace daemon si looga gudbo cilladaan. Dhibaato weyn oo ka jirta xaalada isticmaale ee kor lagu sharaxay ayaa ah sii xumeynta wax ka qabashada IPv6 firfircoon.
Marka laga eego aragtida qaybiyaha, waxaas oo dhan uma muuqdaan kuwo aad u wanaagsan sidoo kale. Mid ka mid ah yoolalka naqshadeynta ayaa ahaa in hab-maamuuska uu noqdo mid fudud oo nadiif ah.
Nasiib darro, waxaas oo dhami waxay noqdeen kuwo aad u fudud oo asaasi ah, si aan u isticmaalno software dheeraad ah si nashqadan oo dhan ay u noqoto mid waxtar u leh isticmaalka dhabta ah.
WireGuard ma u fududahay in la isticmaalo?
Wali maaha. Ma dhahayo WireGuard waligiis ma noqon doono bedel wanaagsan oo la isku xidho labada dhibcood, laakiin hadda waa nooca alfa ee badeecada ay tahay inay noqoto.
Laakiin markaa muxuu dhab ahaantii sameeyaa? IPsec runtii aad bay u adag tahay in la ilaaliyo?
Sida cad maya. Iibiyaha IPsec ayaa tan ka fikiray oo u soo rara badeecadooda iyada oo la socota interface, sida IFire.
Si aad u dejiso tunnel VPN oo ka sarreeya IPsec, waxaad u baahan doontaa shan qaybood oo xog ah oo aad u baahan doonto si aad u geliso qaabeynta: cinwaankaaga IP-ga guud, ciwaanka IP-ga guud ee kooxda hesha, subnets-yada aad rabto inaad si guud ugu soo bandhigto. Xidhiidhkan VPN iyo furaha horay loo wadaagay. Sidaa darteed, VPN-ka waxaa lagu dejiyaa daqiiqado gudahood wuxuuna la jaan qaadayaa iibiye kasta.
Nasiib darro, waxa jira dhawr ka reeban sheekadan. Qof kasta oo isku dayay inuu tunnel-ka IPsec ilaa mashiinka OpenBSD wuu garanayaa waxaan ka hadlayo. Waxaa jira dhowr tusaale oo ka xanuun badan, laakiin dhab ahaantii, waxaa jira qaar badan, oo badan oo badan oo ku dhaqanka wanaagsan ee isticmaalka IPsec.
Ku saabsan kakanaanta borotokoolka
Isticmaalaha ugu dambeeya maaha inuu ka welwelo kakanaanta borotokoolka.
Haddii aan ku noolnahay adduun ay tani tahay walaac dhab ah oo isticmaalaha, markaa waxaan ka takhalusi lahayn SIP, H.323, FTP iyo borotokoollada kale ee la abuuray in ka badan toban sano ka hor oo aan si fiican ula shaqeyn NAT.
Waxaa jira sababo ay IPsec uga adag tahay WireGuard: waxay qabataa waxyaabo badan oo badan. Tusaale ahaan, aqoonsiga isticmaalaha iyadoo la isticmaalayo login/password ama kaarka SIM ee leh EAP. Waxay leedahay awood dheer oo ay ku dari karto cusub .
WireGuardna taas ma haysto.
Tani waxay ka dhigan tahay in WireGuard uu jebin doono mar uun, sababtoo ah mid ka mid ah kuwa ugu horreeya ee cryptographic ayaa daciifin doona ama si buuxda loo dhimi doonaa. Qoraaga dukumentiga farsamada wuxuu leeyahay sidan:
Waxaa xusid mudan in WireGuard uu yahay mid si qarsoodi ah u fikiray. Waxa ay si ula kac ah u la'dahay dabacsanaanta sifaha iyo borotokoollada. Haddii godadka halista ah laga helo meelaha asaasiga ah, dhammaan qodobbada ugu dambeeya waxay u baahan doonaan in la cusboonaysiiyo. Sida aad ka arki karto qulqulka socda ee dayacanka SLL/TLS, dabacsanaanta sirta ayaa hadda si aad ah u korodhay.
Weedha u dambeeya waa sax.
Gaaritaanka la isku waafaqsan yahay waxa sirta la isticmaalayo ayaa ka dhigaysa borotokoollada sida IKE iyo TLS dheeraad ah oo ku adag Aad u adag? Haa, baylahdu aad bay ugu badan yihiin TLS/SSL, mana jirto wax ka bedelan iyaga.
Marka la iska indhatiro dhibaatooyinka dhabta ah
Ka soo qaad inaad haysato server VPN oo leh 200 oo macaamiil dagaal ah meel adduunka oo dhan ah. Kani waa kiis isticmaalka caadiga ah oo quruxsan. Haddii ay tahay inaad bedesho sirta, waxaad u baahan tahay inaad u gudbiso cusboonaysiinta dhammaan nuqullada WireGuard ee kumbuyuutarradan, taleefannada casriga ah, iyo wixii la mid ah. Isla mar ahaantaana gaarsiin. Runtii waa wax aan macquul ahayn. Maamulayaasha isku dayaya inay tan sameeyaan waxay qaadan doontaa bilo si ay u geeyaan qaabaynta loo baahan yahay, waxayna dhab ahaantii qaadan doontaa sanado shirkadeed dhexdhexaad ah si ay meesha uga saarto dhacdadan oo kale.
IPsec iyo OpenVPN waxay bixiyaan qaabka gorgortanka cipher. Sidaa darteed, in muddo ah ka dib markaad shido sirta cusub, kii hore ayaa sidoo kale shaqeyn doona. Tani waxay u oggolaan doontaa macaamiisha hadda inay u cusboonaysiiyaan nooca cusub. Ka dib markii cusbooneysiinta la soo saaro, waxaad si fudud u dami kartaa sirta nugul. Waana taas! Diyaar! waad qurux badan tahay! Macaamiisha xitaa ma dareemi doonaan.
Tani dhab ahaantii waa kiis aad u caadi ah oo loogu talagalay soo dejinta ballaaran, iyo xitaa OpenVPN ayaa xoogaa dhib ah ku haysata tan. Iswaafajinta gadaal waa muhiim, iyo in kastoo aad isticmaasho sireed daciif ah, qaar badan, tani maaha sabab loo xiro ganacsiga. Sababtoo ah waxay curyaami doontaa shaqada boqolaal macaamiisha ah sababtoo ah awood la'aanta shaqadooda.
Kooxda WireGuard waxay hab-maamuuskooda ka dhigeen mid fudud, laakiin gebi ahaanba aan la isticmaali karin dadka aan si joogto ah u xakameyn labada asaagood ee tunnelkooda. Waayo-aragnimadayda, tani waa xaaladda ugu badan.
Cryptography!
Laakiin waa maxay sirta cusub ee xiisaha leh ee WireGuard adeegsato?
WireGuard waxay u isticmaashaa Curve25519 isweydaarsiga muhiimka ah, ChaCha20 sirta ah iyo Poly1305 xaqiijinta xogta. Waxa kale oo ay la shaqeysaa SipHash furayaasha xashiishka iyo BLAKE2 ee xashiishada.
ChaCha20-Poly1305 waxaa loo habeeyey IPsec iyo OpenVPN (oo ka sarreeya TLS).
Waa wax iska cad in horumarinta Daniel Bernstein loo isticmaalo marar badan. BLAKE2 waa ku guulaystaha BLAKE, finalka SHA-3 kaas oo aan ku guulaysan sababtoo ah waxay la mid tahay SHA-2. Haddii SHA-2 la jebin lahaa, waxaa jirtay fursad wanaagsan in BLAKE sidoo kale la jabiyo.
IPsec iyo OpenVPN uma baahna SipHash nashqadahooda awgeed. Markaa waxa kaliya ee aan hadda la isticmaali karin iyaga waa BLAKE2, taasina waa ilaa inta la jaangooyo. Tani maahan dib-u-dhac weyn, sababtoo ah VPN-yadu waxay isticmaalaan HMAC si ay u abuuraan daacadnimo, taas oo loo arko xal xoog leh xitaa iyadoo lala kaashanayo MD5.
Marka waxaan imid gabagabada in ku dhawaad isku mid ah aaladaha cryptographic loo isticmaalo dhammaan VPN-yada. Sidaa darteed, WireGuard kama badna ama ka yara ammaan marka loo eego badeecad kasta oo hadda jirta marka ay timaado sirta ama daacadnimada xogta la kala qaado.
Laakiin xitaa tani maahan waxa ugu muhiimsan, taas oo mudan in fiiro gaar ah loo yeesho marka loo eego dukumentiyada rasmiga ah ee mashruuca. Ka dib oo dhan, waxa ugu muhiimsan waa xawaaraha.
WireGuard miyuu ka dhakhso badan yahay xalalka kale ee VPN?
Marka la soo koobo: maya, degdeg uma aha.
ChaCha20 waa xariiqda qulqulka oo ay fududahay in lagu fuliyo software-ka. Marba mid bay siraysaa. Xiro borotokoolka sida AES sirta block 128 bits markiiba. Wax badan oo transistor ah ayaa loo baahan yahay si loo hirgeliyo taageerada qalabka, sidaas darteed soo-saareyaal waaweyni waxay la yimaadaan AES-NI, oo ah tilmaamo dejisan kordhinta oo qabata qaar ka mid ah hawlaha habka sirta ah si loo dedejiyo.
Waxaa la filayay in AES-NI aysan waligood geli doonin taleefannada casriga ah [laakiin way samaysay - qiyaastii. per.]. Taas awgeed, ChaCha20 waxaa loo sameeyay sidii miisaan fudud, beddelka baytari-badbaadinta. Sidaa darteed, waxaa laga yaabaa inay kuu timaado war ahaan in taleefan kasta oo aad maanta iibsan karto uu leeyahay nooc ka mid ah dardargelinta AES oo si dhakhso leh u socda oo isticmaalka awood hoose leh sirtan marka loo eego ChaCha20.
Sida iska cad, kaliya ku dhawaad processor kasta oo desktop/server ah oo la iibsaday labadii sano ee la soo dhaafay wuxuu leeyahay AES-NI.
Sidaa darteed, waxaan filayaa in AES ay ka sarreyso ChaCha20 xaalad kasta. Waraaqaha rasmiga ah ee WireGuard waxay sheegaysaa in AVX512, ChaCha20-Poly1305 ay ka fiicnaan doonto AES-NI, laakiin kordhinta tilmaamahan waxay heli doontaa oo keliya CPU-yada waaweyn, taas oo aan mar kale ku caawin doonin qalabka mobilada ee yaryar iyo ka badan, kaas oo had iyo jeer ku degdegi doona AES - N.I.
Ma hubo in tan la sii saadaaliyay inta lagu gudajiro horumarinta WireGuard, laakiin maanta xaqiiqda ah in lagu dhejiyay sirta oo keliya ayaa horeyba u ah cillad aan si wanaagsan u saameyn karin howlaheeda.
IPsec wuxuu kuu ogolaanayaa inaad si xor ah u doorato sirta ugu fiican kiiskaaga. Dabcan, tani waa lagama maarmaan haddii, tusaale ahaan, aad rabto inaad ku wareejiso 10 gigabytes ama ka badan oo xog ah iyada oo loo marayo xiriirka VPN.
Arrimaha is-dhexgalka ee Linux
In kasta oo WireGuard dooratay hab-maamuuska sirta ah ee casriga ah, tani waxay horeba u keentay dhibaatooyin badan. Markaa, halkii laga isticmaali lahaa waxa ay taageerto kernel-ka sanduuqa, is dhexgalka WireGuard ayaa dib loo dhigay sannado badan sababtoo ah la'aanta asaasiga ah ee Linux.
Ma hubo gebi ahaanba waxa xaaladdu ku jirto nidaamyada kale ee hawlgalka, laakiin malaha wax badan kama duwana Linux.
Sidee xaqiiqadu u egtahay?
Nasiib darro, mar kasta oo macmiilku i weydiiyo inaan u sameeyo isku xirka VPN iyaga, waxaan la kulmaa arrinta ah inay isticmaalayaan aqoonsiyo iyo sir duug ah. 3DES oo la socota MD5 ayaa weli ah dhaqan caadi ah, sida AES-256 iyo SHA1. In kasta oo kan dambe uu waxoogaa ka wanaagsan yahay, tani maahan wax ay tahay in la isticmaalo 2020.
Isweydaarsiga muhiimka ah had iyo jeer RSA waa la istcimaalay - qalab gaabis ah laakiin si cadaalad ah u badbaado.
Macaamiishayda waxay la xidhiidhaan maamulka kastamka iyo hay'adaha kale ee dawladda iyo hay'adaha kale ee dawladda, iyo sidoo kale shirkado waaweyn oo magacyadooda laga yaqaan adduunka oo dhan. Dhammaantood waxay isticmaalaan foom codsi oo la abuuray tobannaan sano ka hor, iyo awoodda isticmaalka SHA-512 si fudud marna looguma darin. Ma dhihi karo waxay si cad u saameyneysaa horumarka tignoolajiyada, laakiin sida cad waxay hoos u dhigtaa geeddi-socodka shirkadda.
Way igu xanuunaysaa inaan tan arko sababtoo ah IPsec waxay taageertay qaloocyada elliptical-ka ah tan iyo 2005. Curve25519 sidoo kale waa cusub oo diyaar u ah isticmaalka. Waxa kale oo jira waxyaabo kale oo loo beddelo AES sida Camellia iyo ChaCha20, laakiin sida cad dhammaantood ma taageeraan iibiyeyaasha waaweyn sida Cisco iyo kuwa kale.
Dadkuna way ka faa’idaystaan. Waxaa jira xirmooyin badan oo Cisco ah, waxaa jira xirmooyin badan oo loogu talagalay inay la shaqeeyaan Cisco. Waxay yihiin hoggaamiyeyaasha suuqa qaybtan oo aan aad u danaynayn nooc kasta oo hal-abuurnimo ah.
Haa, xaalada [qaybta shirkadu] waa mid aad u xun, laakiin ma arki doono wax isbedel ah sababtoo ah WireGuard. Iibiyeyaashu waxay u badan tahay inay waligood arki doonaan wax hawlqabad ah oo ku saabsan qalabaynta iyo sirta ay hore u isticmaaleen, wax dhibaato ah kuma arki doonaan IKEv2, markaa ma raadinayaan beddelaad.
Guud ahaan, waligaa ma ku fikirtay inaad iska dhaafto Cisco?
Tilmaamaha
Oo hadda aan u gudubno halbeegyada laga soo bilaabo dukumeentiyada WireGuard. In kasta oo kani [dukumentiga] aanu ahayn maqaal cilmiyeed, haddana waxaan filayaa in horumariyayaashu ay qaataan hab cilmiyeed badan, ama ay u adeegsadaan hab cilmiyeed tixraac ahaan. Halbeeg kastaa waa faa'iido la'aan haddii aan la soo saari karin, iyo xitaa faa'iido la'aan marka laga helo shaybaarka.
Dhismaha Linux ee WireGuard, waxay ka faa'iidaysanaysaa adeegsiga GSO - Qaybinta Qaybinta Guud. Waad ku mahadsan tahay isaga, macmiilku wuxuu abuuraa baakidh aad u weyn oo 64 kilobytes ah oo sir/qoday hal mar. Sidaa darteed, qiimaha wacitaanka iyo hirgelinta hawlgallada cryptographic waa la dhimay. Haddii aad rabto inaad sare u qaaddo wax soo saarka xiriirkaaga VPN, tani waa fikrad wanaagsan.
Laakiin, sida caadiga ah, xaqiiqadu maaha mid sahlan. U diritaanka baakidh weyn oo kale adapter-ka shabakadu waxay u baahan tahay in la gooyo baakidhyo yaryar oo badan. Cabbirka dirista caadiga ah waa 1500 bytes. Taasi waa, weynaantayada 64 kilobytes waxaa loo qaybin doonaa 45 baakidh (1240 bytes ee macluumaadka iyo 20 bytes ee madaxa IP). Kadib, in muddo ah, waxay si buuxda u xannibi doonaan shaqada adabtarada shabakadda, sababtoo ah waa in la isku diro isla markiiba. Natiijo ahaan, tani waxay horseedi doontaa boodboodka mudnaanta, iyo xirmooyinka sida VoIP, tusaale ahaan, ayaa la geli doonaa.
Sidaa darteed, wax soo saarka sare ee WireGuard si geesinimo leh u sheegato waxaa lagu gaaraa qiimaha hoos u dhigista isku xirka codsiyada kale. Oo kooxda WireGuard waa horeba Tani waa gunaanadkayga.
Laakin aan horay u socono.
Marka loo eego halbeegyada dukumeentiyada farsamada, xiriirku wuxuu muujinayaa wax soo saarka 1011 Mbps.
Cajiib
Tani waxay si gaar ah cajiib u tahay xaqiiqda ah in wax soo saarka ugu badan ee aragtida hal Gigabit Ethernet ah uu yahay 966 Mbps oo leh cabbir baakidh ah 1500 bytes laga jaray 20 bytes ee madaxa IP, 8 bytes ee madaxa UDP iyo 16 bytes ee madaxa WireGuard laftiisa. Waxaa jira hal madax oo kale oo IP ah oo ku jira baakidhka la duubay iyo mid kale oo ku jira TCP oo loogu talagalay 20 bytes. Haddaba halkee buu ka yimi xajmigan dheeriga ah?
Dabaqyo waaweyn iyo faa'iidooyinka GSO ee aan kor uga soo hadalnay, aragtida ugu badan ee cabbirka 9000 bytes wuxuu noqonayaa 1014 Mbps. Caadi ahaan wax-soo-saarka noocan oo kale ah waa mid aan la gaari karin xaqiiqda, sababtoo ah waxay la xiriirtaa dhibaatooyin waaweyn. Sidaa darteed, waxaan u qaadan karaa oo kaliya in tijaabada lagu sameeyay iyada oo la adeegsanayo xariiqyo waaweyn oo buuran oo 64 kilobytes ah oo leh ugu badnaan aragti ahaan 1023 Mbps, kaas oo ay taageerayaan oo keliya qaar ka mid ah adapters network. Laakiin tani gabi ahaanba waa mid aan lagu dabaqi karin xaaladaha dhabta ah, ama waxa kaliya oo loo isticmaali karaa inta u dhaxaysa laba saldhig oo toos ah, oo si gaar ah ugu dhex jira kursiga tijaabada.
Laakiin maadaama tunnel-ka VPN loo gudbiyo inta u dhexeysa laba marti-geliyaha iyadoo la adeegsanayo isku xirka internetka oo aan taageereynin xirmooyinka jumbo gabi ahaanba, natiijada laga gaaro kursiga looma qaadan karo halbeeg ahaan. Tani si fudud waa guul shaybaar oo aan macquul ahayn taas oo aan macquul ahayn oo aan lagu dabaqi karin xaaladaha dagaalka dhabta ah.
Xataa anigoo fadhiya xarunta xogta, ma wareejin karo fareemooyinka ka weyn 9000 bytes.
Shuruudaha lagu dabaqi karo nolosha dhabta ah gabi ahaanba waa lagu xadgudbay, sida aan u maleynayo, qoraaga "cabbirka" ayaa si dhab ah u cambaareeyay naftiisa sababo muuqda awgood.
Iftiimintii u dambaysay
Mareegta WireGuard waxay wax badan ka hadashaa weelasha oo ay caddaato waxa runtii loogu talagalay.
VPN fudud oo degdeg ah oo aan u baahnayn qaabayn waxaana la geyn karaa oo lagu habeyn karaa aaladaha abaabulka ee waaweyn sida Amazon ayaa ku jira daruurtooda. Gaar ahaan, Amazon waxay isticmaashaa astaamaha qalabka ugu dambeeyay ee aan hore u soo sheegay, sida AVX512. Tan waxaa loo sameeyaa si loo dedejiyo shaqada oo aan lagu xidhin x86 ama qaab dhismeed kale.
Waxay hagaajiyaan wax-soo-saarka iyo baakadaha ka weyn 9000 bytes - kuwani waxay noqon doonaan baakado waaweyn oo kontaynarro ah oo ay ku wada xiriiraan midba midka kale, ama hawlgallada kaydinta, abuurista sawir-qaadista ama geyn doona weelashaas isku midka ah. Xitaa ciwaannada IP-ga ee firfircoon ma saameyn doonaan shaqada WireGuard sinaba xaalad kasta oo aan ku sharraxay.
Si fiican loo ciyaaray. Hirgelin qurux badan oo aad u dhuuban, borotokool ku dhow tixraac.
Laakiin kaliya kuma habboona adduun ka baxsan xarun xogeed oo aad si buuxda u maamusho. Haddii aad khatarta qaadato oo aad bilowdo isticmaalka WireGuard, waa inaad samaysaa tanaasulaad joogto ah qaabaynta iyo hirgelinta borotokoolka sirta ah.
gunaanad
Way ii fududahay inaan ku soo gabagabeeyo in WireGuard uusan wali diyaar ahayn.
Waxaa loo maleeyay inay tahay mid fudud oo degdeg ah oo lagu xallinayo dhowr dhibaato oo xalal jira. Nasiib darro, xalalkan aawadood, wuxuu u huray sifooyin badan oo ku habboon inta badan isticmaalayaasha. Taasi waa sababta aysan u bedeli karin IPsec ama OpenVPN.
Si WireGuard u noqoto mid tartan leh, waxay u baahan tahay inay ku darto ugu yaraan goobta ciwaanka IP-ga iyo habaynta iyo qaabaynta DNS. Sida iska cad, tani waa waxa kanaalada qarsoon loogu talagalay.
Nabadgelyadu waa mudnaantayda ugu sarreysa, hadda ma hayo sabab aan ku rumaysto in IKE ama TLS si uun loo jabiyay ama la jabsaday. Sirta casriga ah ayaa lagu taageeray labadoodaba, waxaana lagu caddeeyey tobanaan sano oo hawlgal ah. Sababtoo ah wax ka cusub macnaheedu maaha inay ka wanaagsan tahay.
Wada shaqayntu aad bay muhiim u tahay marka aad la xidhiidho qolo saddexaad oo aanad xariyahoodu maamulin. IPsec waa heerka dhabta ah waxaana lagu taageeraa ku dhawaad meel walba. Wuuna shaqeeyaa. Si kasta oo ay u egtahay, aragti ahaan, WireGuard mustaqbalka waxaa laga yaabaa inaysan la jaan qaadi karin xitaa noocyo kala duwan oo laftiisa ah.
Ilaalinta qarsoodiga ah waa la jebiyaa mar dhow ama ka dib, sidaas awgeed, waa in la beddelaa ama la cusbooneysiiyaa.
Diidmada xaqiiqooyinkan oo dhan iyo si indho la'aan ah oo aad u rabto inaad isticmaasho WireGuard si aad iPhone-kaaga ugu xidho goobta shaqada ee gurigaaga ayaa ah heer sare oo ah inaad madaxaaga ku dhejiso ciidda.
Source: www.habr.com