[uanog] Чи законною є заборона провайдером встановлення VPN-з'єднання?
Igor Sviridov
sia at uanog.sink.nest.org
Fri Jul 12 00:57:52 EEST 2019
hi,
On Thu, Jul 11, 2019 at 03:49:43PM +0300, Victor Cheburkin wrote:
> > 11 июля 2019 г., в 14:45, Max Tulyev <maxtul at netassist.kiev.ua> написал(а):
> >
> > Ещё раз: в таком сравнении РАЗНАЯ КРИПТОГРАФИЯ!!!
> > В OpenVPN - обычно AES256, в wireguard - какая-то чача.
>
> Чача -- другой алгоритм, подобный AES-GCM, чуть быстрее чисто софтово.
> Не думаю, что проблемно прикрутить его к ipsec в конкретном софте, но возникает вопрос, что делать при этом с остальным софтом,
> который не умеет чачу?
Ну в RFC для IKEv2 он есть, так что не вижу проблем.
Производители железа как обычно не спеша подтягиваются.
> > Настройте одинаковые алгоритмы (это можно и там, и там) - и сравнивайте результат. Он будет отличаться на на проценты возможно, но не в разы.
> Ну и как ни крути, с ускорением AES или без, но openvpn везде и всегда жуткий тормоз -- исключения из данного факта, лично мне, неизвестны.
Согласен.
> И что Игорь при этом хочет добиться от сравнения wireguard, который даже в ядро пропихивают,
> с тормозным, но легким в настройке, openvpn -- мне непонятно.
Как по мне настройка WireGuard проще OpenVPN:
https://www.stavros.io/posts/how-to-configure-wireguard/
https://blog.jasper.la/wireguard-on-openbsd.html
плюс куча автоматизаторов процесса для cloud/VPS:
https://trailofbits.github.io/algo/deploy-from-ansible.html
https://github.com/mina-alber/wireguard-ansible
https://blog.morad-edwar.com/your-own-wireguard-vpn-server-in-5-minutes/
Ну и на большинстве платформ (FreeBSD, macOS, Android, iOS, Windows) Wireguard не в ядре - и все равно быстрее OpenVPN :)
Кроме Linux-а только для OpenBSD есть альфа в ядре.
p.s. я совсем не против IPsec, AES-NI и OpenVPN, для всего есть свое место и роль, просто свет клином на них не сошелся.
Просто не собираюсь пренебрегать ускорением VPN в 4-5 раз на том же железе, при сравнимой или лучшей безопасности.
p.p.s. я же не пытаюсь использовать Wireguard вместо MACsec, все же десятки Gbps непросто обработать...
хмм, хотя 10Gbps похоже можно получить: https://www.reddit.com/r/linux/comments/9bnowo/wireguard_benchmark_between_two_servers_with_10/
--igor
> > 10.07.19 19:10, Victor Cheburkin пише:
> >>> Я частенько сравниваю OpenVPN с Wireguard на всяких карманных рутерах (GL-AR750S, EdgeRouter, etc) и выигрыш в разы (4x-5x).
> >>> А на Intel-е обычно получается сравнение с IPsec AES-GCM; результат зависит от деталей, но обычно там тоже выигрыш, ~20-30%.
> > _______________________________________________
> > uanog mailing list
> > uanog at uanog.kiev.ua
> > https://mailman.uanog.kiev.ua/mailman/listinfo/uanog
>
> --
> Victor Cheburkin
> VC319-RIPE, VC1-UANIC
>
> _______________________________________________
> uanog mailing list
> uanog at uanog.kiev.ua
> https://mailman.uanog.kiev.ua/mailman/listinfo/uanog
More information about the uanog
mailing list