Vlákno názorů k článku WireGuard: moderní a snadno použitelná VPN v linuxovém jádře od dizzy - Zaujimavy clanok, dakujem. Zaujimalo by ma, ci nie...

Zaujimavy clanok, dakujem. Zaujimalo by ma, ci nie su tie pevne IP adresy klientov VPN obmedzujuce - co ak dopredu neviem z akej adresy sa do VPN pripajam (hotel, public hot-spot,...)? Alebo jednalo sa uz o pridelene adresy klienta (adresy vo vnutri VPN)? Ospravedlnujem sa, nejako som to z kontextu nepochopil.
Dalsia vec - ako su na tom klienti? Pozeral som na Android klienta, tam pisu, ze je zatial unstable...
Kazdopadne tesim sa na pokracovanie.

Pevně jsou přidělené adresy uvnitř sítě, tedy ty „virtuální“. Vím, že konkrétní uživatel má adresu 10.0.0.5, nikdy mi nebude data posílat z jiné a zároveň ji nemůže použít nikdo jiný.

Skutečně síťové adresy se konfigurují naopak velmi volně a nejsou dokonce v konfiguraci ani povinné. Jsou ale nutné pro první kontakt s protistranou. Obvykle se to tedy dělá tak, že se zvolí jeden bod, ten na začátku nezná skutečné IP adresy ostatních a slouží jako server. Ostatní znají jeho adresu, musí ho kontaktovat jako první a vystupují vlastně v roli klientů. I když tohle rozdělení formálně ve WireGuardu neexistuje.

Vdaka za odpoved - mam v tom trocha jasnejsie. Cize ak to mam zhrnut, obidve protistrany musia navzajom poznat svoje IP aby nadviazali komunikaciu a nasledne sa "dohodnu" na tom, ze IP niektorej z nich sa moze zmenit. Toto mi pripada trocha ako zbytocna komplikacia - ocakaval by som, ze to bude fungovat podobne ako napr. OpenVPN - poznam adresu servera a tomu je v principe jedno z akej IP sa klient pripoji za predpokladu ze ma spravne kluce.
Okrem toho, kedze ide cez UDP, zrejme bude aj problem s pripojenim spoza proxy serverov, takze momentalne to asi nebude uplne plnohodnotna alternativa k OpenVPN...
Kazdopadne tesim sa na pokracovanie - velmi rad si o tom precitam viac.

Ne, pořád to asi není jasné. Ona to ukáže dobře ta praktická část, ale pokusím se to objasnit ještě jednou a nějak lépe.

Když se konfiguruje WireGuard, musíme mu předat svůj místní pár klíčů. Kromě toho mu ale sdělujeme, s jakými protistranami se budeme spojovat. Každá protistrana má vždy svůj veřejný klíč, vždy pevnou adresu uvnitř VPN a pak volitelně skutečnou síťovou adresu.

Pokud skutečnou adresu nezadáme, nemůžeme inicializovat spojení s druhou stranou, dokud se ona nespojí s námi. To je klasický přístup na serveru: ten nemá v konfiguraci obvykle pevné IP adresy klientů, kteří se mohou připojovat třeba na cestách. Naopak klienti musí mít v konfiguraci adresu serveru, aby věděli, kam se připojit. Z tohohle pohledu to funguje stejně jako zmíněná OpenVPN.

Ovšem může existovat i jiný scénář, kdy chceme spojit několik statických sítí (třeba na pobočkách). Tam můžeme na všech stranách zadat IP adresy partnerů (typicky nějakých routerů), protože ty se měnit nebudou. Vytvoříme si tak vlastně statické tunely.

Je to jasnější?

Aha OK, cize pokial mame jeden staticky VPN server, klienti sa pripoja normalne k nemu a server dopredu adresy klientov poznat nemusi (potrebuje len tie vnutorne/virtualne) - toto uz dava zmysel ;-)
Vdaka za ozrejmenie....