DP
две подсети. между ними роутер. на форварде фильтруешь кому куда можно
то есть одной подсетью их не сделать?
Size: a a a
2021 January 02
VB
они сейчас одной
DP
сейчас да, но сейчас из-за этого трафик не идёт через роутер.
DP
а идёт по кратчайшему пути )
f
stateless с точки зрения пользователя, отсутствие debug, нет крипто акселерации. Отсутствует хоть что-то, кроме ручного управления ключами. Отсутсвие layered структуры, всё смешано в рамках одной структуры.
Нет и не будет поддержки больших вендоров.
Да много там, пол дня обсуждали в другой группе, уже к вечеру не помню, что там ещё было, в его 20 страничной спецификации.
Нет и не будет поддержки больших вендоров.
Да много там, пол дня обсуждали в другой группе, уже к вечеру не помню, что там ещё было, в его 20 страничной спецификации.
Усорение не невозможно. На AVX2, к примеру, удалось "чачу" ускорить. Отдельно ASIC'и быстро ждать не стоит, но он и так достаточно быстр на данный момент. На счет stateless вопрос достаточно спорный, т.к. это не совсем честное утверждение. Инфраструктура управления ключами реализуется на коленке, никаких проблем. Поддержка вендоров... он в составе ядра теперь - это раз, во-вторых становится все более и более популярным. OpenVPN это не мешало существовать. А минусов у него сильно больше.
RP
Вот взять например идею passive keepalive. Если пир не отправляет data пакеты то, keepalive тоже не выполняется. В течении 15 секунд, а именно столько отведено под keepalive timeout + rekey timeout у нас не будет возможности понять, что пир умер.
RP
Усорение не невозможно. На AVX2, к примеру, удалось "чачу" ускорить. Отдельно ASIC'и быстро ждать не стоит, но он и так достаточно быстр на данный момент. На счет stateless вопрос достаточно спорный, т.к. это не совсем честное утверждение. Инфраструктура управления ключами реализуется на коленке, никаких проблем. Поддержка вендоров... он в составе ядра теперь - это раз, во-вторых становится все более и более популярным. OpenVPN это не мешало существовать. А минусов у него сильно больше.
stateless это факт, описанный в текущей спецификации протокола.
Попробуйте получить состояние пира. В лучшем случае можно увидеть last rekey time.
OpenVPN нигде и не существует за пределами SOHO железа.
Но я не против Wireguard, просто он не заменит IPSec, OpenVPN может быть. Но опять же, где confit push, Layer 2 VPN, что там ещё было у последнего.
Wireguard прост и понятен, в этом его плюс, наверное.
Но, реализация в ядре даже Crypto API не использует. Всё прибито гвоздями, по крайней мере пока.
Попробуйте получить состояние пира. В лучшем случае можно увидеть last rekey time.
OpenVPN нигде и не существует за пределами SOHO железа.
Но я не против Wireguard, просто он не заменит IPSec, OpenVPN может быть. Но опять же, где confit push, Layer 2 VPN, что там ещё было у последнего.
Wireguard прост и понятен, в этом его плюс, наверное.
Но, реализация в ядре даже Crypto API не использует. Всё прибито гвоздями, по крайней мере пока.
VB
сейчас да, но сейчас из-за этого трафик не идёт через роутер.
ну так если надо чтоб одной, то оно уже так. если надо фильтровать, тогда разные подсети. Есть еще вариант гнать по l2 через микротиковый бридж и фильтровать там l2, но это костыли какие-то
DP
ну так если надо чтоб одной, то оно уже так. если надо фильтровать, тогда разные подсети. Есть еще вариант гнать по l2 через микротиковый бридж и фильтровать там l2, но это костыли какие-то
а если фильтровать не форвард, а инпут? Тогда всё равно не выйдет слить их?
VB
зачем их сливать?
f
stateless это факт, описанный в текущей спецификации протокола.
Попробуйте получить состояние пира. В лучшем случае можно увидеть last rekey time.
OpenVPN нигде и не существует за пределами SOHO железа.
Но я не против Wireguard, просто он не заменит IPSec, OpenVPN может быть. Но опять же, где confit push, Layer 2 VPN, что там ещё было у последнего.
Wireguard прост и понятен, в этом его плюс, наверное.
Но, реализация в ядре даже Crypto API не использует. Всё прибито гвоздями, по крайней мере пока.
Попробуйте получить состояние пира. В лучшем случае можно увидеть last rekey time.
OpenVPN нигде и не существует за пределами SOHO железа.
Но я не против Wireguard, просто он не заменит IPSec, OpenVPN может быть. Но опять же, где confit push, Layer 2 VPN, что там ещё было у последнего.
Wireguard прост и понятен, в этом его плюс, наверное.
Но, реализация в ядре даже Crypto API не использует. Всё прибито гвоздями, по крайней мере пока.
А, понял тогда о каком отсутствии состоянии речь. Это фича, а не минус.
DP
зачем их сливать?
В принципе особо незачем, это скорее идейно-топологически. По сути это одна локалка с одним DHCP, одним DNS, одним шлюзом. Просто хочется что-то внутри неё зарезать.
VB
работа ради работы?
RP
А, понял тогда о каком отсутствии состоянии речь. Это фича, а не минус.
Понятное дело, что с точки зрения автора это фича. Но состояние при этом есть. Handshake есть, отслеживание состояниях ядре есть, хоть и не совсем полноценное, точнее сказать оно своеобразное. А вот пользователю он представлен, как полный stateless.
f
Понятное дело, что с точки зрения автора это фича. Но состояние при этом есть. Handshake есть, отслеживание состояниях ядре есть, хоть и не совсем полноценное, точнее сказать оно своеобразное. А вот пользователю он представлен, как полный stateless.
Кстати, для мобильных устройств keepalive не рекомендуется.
RP
Кстати, для мобильных устройств keepalive не рекомендуется.
Где? В Wireguard?
f
Где? В Wireguard?
Угу.
RP
А его можно отключить? В рамках спецификации протокола это не возможно. Может быть конечно она отстаёт от фактической реализации., всё таки она в статусе draft.
Я вообще не против Wireguard, мне в целом всё равно, какой протокол используется, если он решает поставленную задачу.
Сегодня на 4011 делал тест коллега в другой группке, на 100 Mbit/s загрузка ядер была 60, 29, 29, 20%
Я вообще не против Wireguard, мне в целом всё равно, какой протокол используется, если он решает поставленную задачу.
Сегодня на 4011 делал тест коллега в другой группке, на 100 Mbit/s загрузка ядер была 60, 29, 29, 20%
DP
работа ради работы?
Нет, работа тут в любом случае предстоит, вопрос только как сделать. В идеале, конечно, было бы бросить отдельный провод на точку доступа, но увы, всё уже замуровано. Поэтому первая идея была максимально оставить всё как есть, то есть не бить на подсети. Ну, нельзя так нельзя, надежда побыла и скончалась )
f
А его можно отключить? В рамках спецификации протокола это не возможно. Может быть конечно она отстаёт от фактической реализации., всё таки она в статусе draft.
Я вообще не против Wireguard, мне в целом всё равно, какой протокол используется, если он решает поставленную задачу.
Сегодня на 4011 делал тест коллега в другой группке, на 100 Mbit/s загрузка ядер была 60, 29, 29, 20%
Я вообще не против Wireguard, мне в целом всё равно, какой протокол используется, если он решает поставленную задачу.
Сегодня на 4011 делал тест коллега в другой группке, на 100 Mbit/s загрузка ядер была 60, 29, 29, 20%
Он по умолчанию и так отключён.