Vlákno názorů k článku
WireGuard nebude ani v jádře 5.1 od Harvie .cz - Me stale mrzi, ze to umi jen TUN,...

Me stale mrzi, ze to umi jen TUN, ale TAP vynechali... To samy nova OpenVPN. Nechapu, proc jdou vsichni touhle cestou...

Android ani iOS nepodporují TAP, to je dost dobrý důvod. Aspoň nedpoadnete jako naši chlapci, kteří tímto efektivně znemožňili použití OpenVPN z mobilních zařízení. Ono to nakonec nikomu nevadí, protože rozjeli ještě L2TP, ale stejně je to škoda.

Proč by to měl být "dost dobrý důvod"? Tak by prostě na Androidu a iOS byla implementace, která bude podporovat jen jednu variantu, a na plnohodnotných systémech implementace, která bude podporovat obě.

Nevím, jak u WireGuard, ale když na OpenVPN chcete mít tun i tap, tak musíte mít dva servery na dvou portech nebo dvou adresách... Proč by to kdo dělal?
VPN pro klienty potřebujete takové, aby jim to fungovalo pokud možno bez jakýchkoliv ohejbáků. Jemné nuance ve výkonu nebo režii (pokud tam existují) jsou mnohem méně důležité, ledaže byste provozoval placený VPN server s tisícovkami uživatelů. A potřebujete projít pokud možno přes jakkoliv debilně nastavený CGNAT u ISP.

Jsou i jiné případy užití, než road warrior síť pro bůhvíkolik klientů. Odstraněním rozhraní TAP se zbavíte možnosti připojit se vzdáleně do interní sítě přes bridge; v některých situacích se přitom takováhle funkčnost hodí. Pokud by se téhle funkčnosti OpenVPN vzdalo, dost by mě to mrzelo, protože alternativy jsou většinou proprietární...

Přinejhorším se to dá kombinovat např. s vxlan, takže to zase tak zásadní omezení není.

Nechá se nějak rozumně vyřešit fragmentace v případě, že chci udělat bridge (kde není router, který by mohl odesílatele informovat o překročení MTU) mezi dvěma lokalitami? OpenVPN fragmentovat umí, u vxlan i gretap jsem se na tom zasekla.

PS: Tak zpět, už se mi to povedlo. :-)