Vlákno názorů k článku Nastavení OpenVPN pro přístup na stroje za NATem od Jimm - Já nějak nevím, proč by měl dnes někdo...

Já nějak nevím, proč by měl dnes někdo používat tu neohrabanou OpenVPN, když tady máme WG. :) Možná pokud chcete propoj na L2, ale jinak mi to přijde jako přežitá technologie.

Třeba proto, že potřebuje spojit několik sítí - a tam je IMHO OpenVPN ověřené, stabilní řešení. (Ne, že by to s WG nešlo...)
Pro připojování klientů k jedné síti je asi WG jednodušší, OpenVPN má určitou "administrátorskou režii".

Na s2s používám spíš IPSec. Ale kdybych neměl všude IPSec, také bych to už řešil spíš WG.

Jak už řekli předřečníci, těch důvodů je spousta.
Třeba přístup "jediná šifra" (poslední roky jsem nesledoval, ale pochybuji že se změnil, kdyžtak mě opravte) efektivně vede k nehezké časované bombě ve chvíli, kdy máte VPN s více partnery - představa, že naplánujete okno, během kterého si všichni aktualizují verzi na novou šifru je v praxi iluzorní už u jednotek partnerů, alespoň pokud nejste státní správa. Tam zlatý IPSec nebo i OpenVPN, kde můžete podporovat paralelně šifer kolik chcete, takže přechod na novější je mnohem hladší.

Pak se Vám třeba nemusí líbit, že WG není na iPhonech nativní, s velmi nepříjemným dopadem nemožnosti použití na Always-ON VPN (ale to není ani OVPN, ale ipsec ano.) Možnosti tunelingu OVPN jsou taky docela ucházející.
O specialitách, jako protáhnout si domů nebo na cesty IPv6 ze serveru v housingu nebo jiné L2 hrátky nemluvě vůbec.

Například proto, že s OpenVPN lze používat autentizaci HW klíčem (např. yubikey) a tím zvednout bezpečnost na uvěřitelnou úroveň.

Pár možných důvodů jsem napsal do srovnání.

Každopádně jestli WG běžně používáš, tak by mě zajímaly nějaké poznatky a jak to máš udělané: zejména potřebuju vědět kdy se klient připojil a odpojil (kdy jsem dostal poslední keepalive) - to máš nad tím nějaké vlastní logovátko, nebo to loguje samo? A co používáš k tomu abys v různých výpisech viděl „lidské“ jméno klienta a ne veřejný klíč? (můžu si napsat samodomo skript kterým cokoli profiltruju a on mi to nahradí…)

OpenVPN jsem například nasadil tam, kde jsem potřeboval dostat klienty na firemní veřejné adresy. Problém je v tom, že klientů bylo cca 40000 a dostupných veřejných adres 1000 (stačilo to, průměr byl cca 700 konkurenčních spojení). Dá se to řešit pomocí WG?

Nenapadá mě, co bhy na tom konkrétně nemělo jít. To je jen routing skrz ten tunel.