Názory k článku
WireGuard nebude ani v jádře 5.1

Já jsem o tom přednášel na několika konferencích a předváděl jsem praktické ukázky. Článek a případně třeba workshop si schovávám na chvíli, až to bude dostupné v linuxovém jádře. Mohlo by se to podařit na podzim na LinuxDays, při té příležitosti vyjde i článek. Teď mi to připadá předčasné.

Já bych se v tomhle případě za předčasnost přimluvil. Sice nebude ani v 5.1, ale přesto se už začíná používat.

Ta přítomnost v jádře má vliv jako na co?

Me stale mrzi, ze to umi jen TUN, ale TAP vynechali... To samy nova OpenVPN. Nechapu, proc jdou vsichni touhle cestou...

Android ani iOS nepodporují TAP, to je dost dobrý důvod. Aspoň nedpoadnete jako naši chlapci, kteří tímto efektivně znemožňili použití OpenVPN z mobilních zařízení. Ono to nakonec nikomu nevadí, protože rozjeli ještě L2TP, ale stejně je to škoda.

Proč by to měl být "dost dobrý důvod"? Tak by prostě na Androidu a iOS byla implementace, která bude podporovat jen jednu variantu, a na plnohodnotných systémech implementace, která bude podporovat obě.

Nevím, jak u WireGuard, ale když na OpenVPN chcete mít tun i tap, tak musíte mít dva servery na dvou portech nebo dvou adresách... Proč by to kdo dělal?
VPN pro klienty potřebujete takové, aby jim to fungovalo pokud možno bez jakýchkoliv ohejbáků. Jemné nuance ve výkonu nebo režii (pokud tam existují) jsou mnohem méně důležité, ledaže byste provozoval placený VPN server s tisícovkami uživatelů. A potřebujete projít pokud možno přes jakkoliv debilně nastavený CGNAT u ISP.

Jsou i jiné případy užití, než road warrior síť pro bůhvíkolik klientů. Odstraněním rozhraní TAP se zbavíte možnosti připojit se vzdáleně do interní sítě přes bridge; v některých situacích se přitom takováhle funkčnost hodí. Pokud by se téhle funkčnosti OpenVPN vzdalo, dost by mě to mrzelo, protože alternativy jsou většinou proprietární...

Přinejhorším se to dá kombinovat např. s vxlan, takže to zase tak zásadní omezení není.

Nechá se nějak rozumně vyřešit fragmentace v případě, že chci udělat bridge (kde není router, který by mohl odesílatele informovat o překročení MTU) mezi dvěma lokalitami? OpenVPN fragmentovat umí, u vxlan i gretap jsem se na tom zasekla.

PS: Tak zpět, už se mi to povedlo. :-)

Existuje i nějaká userspacová implementace serverové části? Že se to dá doinstalovat formou modulu, mi ve VPS moc nepomůže. Taky by mě docela zajímalo, jestli to má menší dopad na spotřebu klienta než OpenVPN. Když na notebooku routuju veškerý provoz přes OpenVPN třeba na veřejné WiFi, tak si to klidně vezme až 5 W.

Dost pochybuju. Kazdopadne pri dnesnich cenach plnohodnotnych virtualnich serveru, by me ani nenapadlo pouzivat ty ocesany kontejnerovy.
Mam Centos 7 na Forpsi Cloud smart za 25Kc na mesic a Wireguard tam jede bez problemu.

No, až narazím na službu s plnohodnotným virtuálním serverem za podobné peníze, tak to samozřejmě budu preferovat, ale mám tam primárně Nextcloud, takže hlavním parametrem je pro mě kapacita disku a třeba u toho Forpsi se dostanu při stejných parametrech na dvojnásobnou cenu.

Existuje wireguard-go (https://git.zx2c4.com/wireguard-go/about/), kde jeho autori pisu toto:

This will run on Linux; however YOU SHOULD NOT RUN THIS ON LINUX. Instead use the kernel module; see the installation page for instructions.

Vyzera to, ze primarnym dovodom existencie tohto projektu je userspace implementacia pre Android/iOS/macOS.

Sw sifrovanie bude mat vzdy dopad na spotrebu. Wireguard ma aj optional zasielanie keepalive paketov, takze to bude mat tiez nenulovy, aj ked zanedbatelny vplyv.

Na druhu stranu, je mozne nechat wireguard permenentne zapnuty, nema ani najmensi problem s roamingom. Je to pomerne pohodlne mat always-on vpn.

Je to obyčejná binárka (na obou stranách stejná), která komunikuje přes TCP nebo UDP a používá virtuální rozhraní. To je celé.

Zajmavy poznatek ze SW se spousti v binarni forme :).
Kazdopadne Wireguard tvori minimalne kernel modul a dve utility: wg a wg-quick

Kernel modul je optional, wireguard bezi aj na platformach, kde linuxovy kernel modul (navyse out of tree) je nepouzitelny (vratane androidu). Existuje aj userspace implementacia, ktora samozrejme nie je tak efektivna ako kernel modul, ale funguje.