| 1.2, X4asd (ok), 08:44, 18/01/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 > Глубина интеграции systemd и WireGuard наращивалась по мере ревизии изменений в коде.
и такое бывает? :-0
| | |
| |
| 2.27, Аноним (-), 11:13, 18/01/2018 [^] [^^] [^^^] [ответить]
| +22 +/– |
А ты ещё не заметил, что systemd норовят интегрировать со всем по самые гланды?
| | |
| |
| 3.102, Аноним (-), 07:11, 19/01/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
Потом какая-то уязвимость в одной из частей и полетели к чертям все ваши данные.
| | |
| |
| 4.171, Аноним (-), 20:27, 19/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Потом какая-то уязвимость в одной из частей и полетели к чертям все
> ваши данные.
Придется тебе тогда освоить make menuconfig в линуксном кернеле. И будет у тебя в ядре только то что ты хотел.
| | |
|
|
| 2.241, rewwa (ok), 23:32, 29/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
 >> Глубина интеграции systemd и WireGuard наращивалась по мере ревизии изменений в коде.
> и такое бывает? :-0
По крайней мере, в этом случае да
| | |
|
| 1.3, Ю.Т. (?), 08:49, 18/01/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 Я так понял, systemd начнёт "понимать" (появится синтаксис для) особенности wireguard?
| | |
| |
| 2.7, Аноним (-), 09:13, 18/01/2018 [^] [^^] [^^^] [ответить]
| +27 +/– |
Скоро systemd начнёт понимать человеческий язык и обзаведется интелектом.
| | |
| |
| 3.137, Адекват (ok), 11:51, 19/01/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
 > Скоро systemd начнёт понимать человеческий язык и обзаведется интелектом.
Научиться бухать и болеть с похмелья.
| | |
| |
| 4.172, Аноним (-), 20:30, 19/01/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> Научиться бухать и болеть с похмелья.
Ты к чему призываешь посетителей, такой-сякой?!
| | |
|
|
| 2.41, Анониммм (?), 13:01, 18/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
Я так понимаю будут вичи навроде:
- настраивать все сети и интерфейсы на раннем этапе загрузки
- Пущать весь трафик через впн с самого старта системы
- звгрузка большей части системы откуда то еще через этот впн
В иделае хотеть:
- сферический обходчик нат с наличием внешнего имени для узла, чтобы к любому настроенному компу можно было подрубиться с интернета и залогиниться, в т ч войти в текущую сессию.
По факту же будет нефункциональная хрень для энтузиастов, как и большинство фич сабжа.
| | |
| |
| 3.56, Аноним (-), 15:55, 18/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
"подрубиться с интернета" (через VPN) и "залогиниться, в т ч войти в текущую сессию" это как тёплое и мягкое. Последнее к VPN не имеет отношения.
| | |
| |
| 4.74, эноним (?), 21:04, 18/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
Это как технология и инструмент. Первое без последннего нафиг не сдалось.
Ну можно и не логиниться а какие-то ресурсы заюзать.
| | |
|
|
|
| 1.4, Аноним (-), 08:50, 18/01/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
А systemd надо переписывать/доделовать для запуска каждой новой апплиухи?
| | |
| |
| 2.11, КО (?), 09:48, 18/01/2018 [^] [^^] [^^^] [ответить]
| +18 +/– |
Нет. Просто разработчики systemd считают, что пользоваться его возможностями, как запускалки сервисов, для их использования, не удобно. Поэтому предпочитают, чтобы все рервисы были в него интегрированы, а запуск независимого от systemd сервиса - это для лохов. :)
| | |
| 2.21, Аноним (-), 10:27, 18/01/2018 [^] [^^] [^^^] [ответить]
| +26 +/– |
Нет. Каждую аппликуху надо переписывать, чтобы она не работала без systemd.
| | |
| |
| |
| 4.110, Andrey Mitrofanov (?), 10:23, 19/01/2018 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Это в планах.
Лёнчик, не надо лукавить.
Ты своиим др-ст-релизеором поломал/заменил все системные библиотеки/механизмы.
Приложения после такого сами "вскакивают" на уходящий поезд. "Чтобы работало."(TM)
Ты их не патчишь и не планируешь. Врунишка.
| | |
|
|
| 2.48, h31 (ok), 13:52, 18/01/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Во-первых, networkd, а не systemd.
Во-вторых, да, если хочется интеграции с networkd, то нужно добавлять в него поддержку нового типа интерфейса. Захотят добавить поддержку OpenVPN - могут и для него конфигурялку прикрутить. Не нужна интеграция - пользуйся wg-quick, который прекрасно работает как обычный сервис.
| | |
|
| |
| |
| 3.119, Аноним (-), 10:39, 19/01/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> systemd- ipv6d?
Увы, его опередили:
root 150 2 0 0 0 3 Jan12 ? 00:00:00 [ipv6_addrconf]
Если кто не понял, это ядерный тред. Поляна занята, срите в кустах.
| | |
|
|
| |
| |
| 3.42, НяшМяш (ok), 13:15, 18/01/2018 [^] [^^] [^^^] [ответить]
| +6 +/– |
 > systemd-lsd
> systemd-c++d
> systemd-ping6d
> systemd-LICENSE.txtd
это шедеврально
| | |
| |
| 4.121, Аноним (-), 10:45, 19/01/2018 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> systemd-lsd
По-моему это у Лёни давно уже есть, но он не делится.
| | |
| |
| 5.236, Аноним (-), 15:51, 22/01/2018 [^] [^^] [^^^] [ответить]
| +/– | |
"По-моему это у Лёни давно уже есть, но он не делится."
Как это не делится? Всем заливает без-воз-мезд-но! Одни пользователи Amazon AMI Linux Upstart-ом как лохи забрасываются. :)
| | |
| |
| 6.238, theoneandonly Lennart (?), 16:30, 22/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Как это не делится? Всем заливает без-воз-мезд-но! Одни пользователи Amazon AMI Linux
> Upstart-ом как лохи забрасываются. :)
Лох ведь есть является Loch?
О да, мы с Красный Шляпа будем скоро Loch ваш часто, регулярно и с удовольствием иметь! О да, это будет быть фантастиш!
| | |
|
|
|
|
|
| |
| 2.24, Аноним (-), 11:06, 18/01/2018 [^] [^^] [^^^] [ответить]
| +3 +/– |
Когда в качестве хранилища для systemd-journald укажешь какой-нибудь rsyslogd с включённым сетевым журналированием: сам journald поддерживает только локальное.
| | |
|
| 1.13, Slot (ok), 09:52, 18/01/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Мндяяяя. Видимо что б навернулось если так всё и сразу? Слава богу есть CentOS с 10ти летней поддержкой!
| | |
| |
| 2.107, Аноним (-), 08:45, 19/01/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
если ты не используешь виртаулизацию то ты используешь ILOподобные, а если нет то что ты делаешь с продакшене?
| | |
|
| |
| 2.22, нежданчик (?), 10:38, 18/01/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> А когда systemd-machinelearningd ?
сразу после "systemd-warD" && "systemd-KillAllHomesD",
а перед этим стадия "systemd-programmingD"
| | |
| |
| |
| 4.45, Ю.Т. (?), 13:38, 18/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
>>> "systemd-KillAllHomesD"
> KillAllHomiesD тогда
Нет, KillAllHomosD
| | |
|
| 3.50, Аноним (-), 14:15, 18/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
>> А когда systemd-machinelearningd ?
>
> сразу после "systemd-warD" && "systemd-KillAllHomesD",
> а перед этим стадия "systemd-programmingD"
Надеюсь обучать они это будут на основе systemd-tic-tac-toeD
| | |
|
| 2.86, Аноним (-), 01:43, 19/01/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
Реквестирую systemd-machinegund, для интерфейса к хейтерам, ибо задолбали.
| | |
| |
| 3.111, Andrey Mitrofanov (?), 10:26, 19/01/2018 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Реквестирую systemd-machinegund, для интерфейса к хейтерам, ибо задолбали.
Поплачь. У зеркала. Не поймёшь, так полегчает хоть.
| | |
|
|
| 1.23, Аноним (-), 10:58, 18/01/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– | |
>WireGuard поставляется в виде модуля ядра Linux
А можно вкратце, что он в ядре забыл и чем не угодил TUN/TAP?
| | |
| |
| |
| 3.63, Аноним (-), 17:35, 18/01/2018 [^] [^^] [^^^] [ответить]
| +4 +/– |
Ну что ты как маленький, в самом деле! У существующих решений есть Фатальный Недостаток.
| | |
| |
| 4.72, sage (??), 19:47, 18/01/2018 [^] [^^] [^^^] [ответить]
| +2 +/– | |
Это не шутка, если вы хотели пошутить. Коммерческий OpenVPN поставляется с собственным модулем ядра, т.к. TUN/TAP в текущем виде слишком медленный. Даже на i7 последнего поколения TUN/TAP в чистом виде, без какого-либо шифрования, выдает максимум 2 ГБ/с на локальной петле (не в OpenVPN, а вообще TUN/TAP), в то время как какой-нибудь IPsec с шифрованием(!) — за 30.
IPsec как протокол переусложнен, просто так «взять и настроить VPN», обычно, не выходит, нужно сидеть и разбираться, настраивать с учетом особенностей и ошибок отдельно взятого оборудования.
Wireguard, если сделают клиенты для других платформ (без модуля ядра), вполне себе имеет право на жизнь, и, вероятно, будет конкурировать с OpenVPN.
| | |
| |
| |
| 6.87, Аноним (-), 01:46, 19/01/2018 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Этого мало?
Да. Потому что на серверах он крепко грузит проц, на мелких устройствах он просто тормозит, а секурно его настроить - целый отдельный гемор. Дефолтная конфигурация openvpn сертификат не проверяет нормально. И толку от навороченного TLS-а оказывается ноль целых, фиг десятых: в дефолтном виде любой клиент может закатить MITM. Особо прошареные клиенты конечно могут это заткнуть, но даже это не гарантирует что очередной heartbleed в openssl все не испортит...
| | |
| |
| 7.113, Andrey Mitrofanov (?), 10:29, 19/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
>но
> даже это не гарантирует что очередной heartbleed в openssl все не
> испортит...
Слава Гейцу, теперь у нас есть Ленарт и вирехуард. Гарантии!
| | |
|
| 6.122, Аноним (-), 10:48, 19/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
>> выдает максимум 2 ГБ/с на локальной петле
> Этого мало?
Если тебе много, то с kpti ещё меньше будет.
| | |
|
| 5.105, Джон Ленин (?), 08:10, 19/01/2018 [^] [^^] [^^^] [ответить]
| –2 +/– |
OpenVPN медленный из-за методов шифрования, которые не опираются на аппаратные криптографические инструкции. — Из-за этого он и проц грузит, и батарею садит, и работает медленно.
| | |
| |
| 6.112, Аноним (-), 10:28, 19/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
Он медленный еще и потому что между кернелом и юзером все время телепается, гоняя пакеты из ядра в юзермод и обратно. WireGuard так не телепается, потому что в ядре.
| | |
| 6.124, Аноним (-), 10:50, 19/01/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
> OpenVPN медленный из-за методов шифрования, которые не опираются на аппаратные криптографические
> инструкции. — Из-за этого он и проц грузит, и батарею садит,
> и работает медленно.
Сказки малых народов СССР? Он использует openssl, в котором всё аппаратное давно уже есть.
| | |
| |
| 7.132, Аноним (-), 11:02, 19/01/2018 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Сказки малых народов СССР? Он использует openssl, в котором
В котором кривая лицензия, куча дыр и если хочется хардварное ускорение, эти умники напрямую завернули вывод аппаратного "рандом" генератора проца в приложения, не парясь мелочами "а что если АНБ засунуло в этот генератор рандома бэкдор?". Нате вам то что отгружает мутная интелская хня напрямую. Чтобы если уж поимели то наверняка.
И вообще, в openssl много чего есть. Включая доисторические методы шифрования и нетривиальную логику проверки сертификатов, так что шансы все это секурно настроить у большинства людей в районе плинтуса.
| | |
| 7.136, Джон Ленин (?), 11:21, 19/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Сказки малых народов СССР? Он использует openssl, в котором всё аппаратное давно
> уже есть.
Запусти OpenVPN на телефоне, yмник. Потом отчитаешься, насколько оно у тебя аппаратно "есть".
Есть на Штеуде и АМД, но нет на всяких MIPSах и ARMах. И даже если оно "есть" то работает очень уп0рото.
| | |
| |
| |
| |
| 10.185, EHLO (?), 21:27, 19/01/2018 [^] [^^] [^^^] [ответить] | +/– | с телефона-то IPSec Особенно через сотовых операторов и НАТы с фаерволами хорош... текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
| 2.29, Andrey Mitrofanov (?), 11:28, 18/01/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
>>WireGuard поставляется в виде модуля ядра Linux
> А можно вкратце, что он в ядре забыл и чем не угодил
> TUN/TAP?
Поттеринг prod-ит ядро. Новая попытка.
| | |
| 2.88, Аноним (-), 01:47, 19/01/2018 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> А можно вкратце, что он в ядре забыл и чем не угодил TUN/TAP?
Переключениями контекста, разумеется. Как угодно но частое телепание между ядром и юзермодом тормозит даже в монолите и в вещах типа vpn это сильно вылезает.
| | |
|
| 1.26, Аноним (-), 11:12, 18/01/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Openvpn проходил аудит, это не гарантия полной безопасности но все же, а что с WireGuard?
| | |
| |
| 2.30, Andrey Mitrofanov (?), 11:29, 18/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Openvpn проходил аудит, это не гарантия полной безопасности но все же, а
> что с WireGuard?
Леннарта же прошёл.
| | |
| |
| 3.35, freehck (ok), 12:15, 18/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
 > Леннарт уже прошёл.
fixed
PS: все мы знаем результаты аудита Леннарта... ;)
| | |
| 3.36, Csh (?), 12:30, 18/01/2018 [^] [^^] [^^^] [ответить]
| +2 +/– |
А что Ленартушка прошел? Обследование в дурке? Что-то непохоже....
| | |
| |
| 4.62, Andrey Mitrofanov (?), 17:33, 18/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
#>>> Openvpn проходил аудит
#>>>а что с WireGuard?
#>> [WireGuard] Леннарта же прошёл[, это молодёжнее и радужнее любого аудита.]
> А что Ленартушка прошел? Обследование в дурке? Что-то непохоже....
</зачтомне></откудавывсе></трудновпадежи>
| | |
|
|
|
| |
| 2.89, Аноним (-), 01:48, 19/01/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> Когда WireGuard примут в ядро?
Когда дойдет до кондиции, тогда и примут. Так с всеми фичами в линукс.
| | |
| |
| 3.109, h31 (ok), 09:33, 19/01/2018 [^] [^^] [^^^] [ответить]
| +/– | |
Дело не столько в кондиции, сколько в том, что автор хочет убедиться в качестве протокола. Когда модуль попадет в ядро, менять протокол уже будет поздно.
Сама реализация уже давно работает отлично. Пользуюсь год, такой же простой в настройке и отладке VPN-системы я не видел. Что OpenVPN, что IKEv2, приходилось морочиться с конфигами. А тут как с SSH - сгенерировал ключик одной командой, скинул публичную часть на сервер, и оно всё сразу заработало. В репозиториях большинства дистрибутивов уже всё опакечено, нужно только ядро 3.10+.
| | |
| |
| 4.114, Аноним (-), 10:30, 19/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
> приходилось морочиться с конфигами. А тут как с SSH - сгенерировал
> ключик одной командой, скинул публичную часть на сервер, и оно всё
> сразу заработало.
Как-то так оно и должно работать. А IKE и TLS/SSL пожелаем скорейшей кончины. Переусложненные дефективные протоколы с кучей ненужностей, которые вечно вызывают проблемы и дыры. Сконфигурять OpenVPN секурно - почти рокетсайнс.
| | |
| 4.169, Укпшд (?), 20:24, 19/01/2018 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> такой же простой в настройке и отладке VPN-системы я не видел.
Простой это peervpn, а WireGuard создан рептилоидоми для силиконовых разумных пауков.
| | |
|
|
|
| 1.32, svsd_val (ok), 11:50, 18/01/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 А когда будет systemd-desktop-kde ? systemd-kernel ? А то это уже ни в какие ворота не лезет... Нужно больше SYSTEMD и отдельную ось SYSTEMD, зачем нам этот GNU/Linux !? Да зачем нам вообще Linux ядро, у нас же всё SYSTEMD будет уметь :D:D:D:D:D:D
| | |
| 1.33, freehck (ok), 12:12, 18/01/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– | |
> Ключевой характеристикой проекта является сочетание применения проверенных современных методов шифрования с предоставлением минималистичной реализации, лишённой усложнений, наблюдаемых в таких системах, как xfrm и OpenVPN.
Ага, и вместо того, чтобы сделать упрощающую обвязочку над openvpn, они делают новую реализацию. Какой хороший Поттеринг человек, так активно продвигает вело-спорт и здоровый образ жизни.
> WireGuard поставляется в виде модуля ядра Linux, пока не принятого в основной состав, но нацеленного на плотную интеграцию с главными компонентами ядра.
А, пардон, поторопился. Похоже, суть инновации в том, что Лёня опять в ядро хочет залезть. Интересно, насколько терпения Линуса хватит в этот раз.
| | |
| |
| 2.38, Akteon (?), 12:44, 18/01/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
Ну смотрите, к одному дебиановскому разработчику уже выезжал карательный отряд НКВД, так что думаю Линусу отправят Большой Грузовик Истребления ...
| | |
| 2.44, Аноним (-), 13:38, 18/01/2018 [^] [^^] [^^^] [ответить]
| +2 +/– |
Причём тут "упрощающая обвязочка"? Обвязочка — это дополнительный код, дополнительное поле для ошибок. Суть WireGuard — минималистичная реализация VPN, где места для ошибок и закладок предельно мало. И Лёня тут просто примазаться решил, это вовсе не его проект.
| | |
| 2.47, h31 (ok), 13:48, 18/01/2018 [^] [^^] [^^^] [ответить]
| +6 +/– | |
> Ага, и вместо того, чтобы сделать упрощающую обвязочку над openvpn, они делают новую реализацию. Какой хороший Поттеринг человек, так активно продвигает вело-спорт и здоровый образ жизни.
Полистайте слайды про WireGuard. Его разрабатывает один из основных разработчиков ядра, который знает, что делает. OpenVPN архитектурно переусложнен. WireGuard решает те же задачи, но содержит в 20 раз меньше строк кода и работает в 10 раз быстрее (это факт).
Поттеринг тут ни при чем, он просто добавил к networkd (даже не к самому systemd) удобую конфигурялку.
| | |
| |
| 3.57, Anon_two (?), 16:41, 18/01/2018 [^] [^^] [^^^] [ответить]
| –4 +/– |
Зачем оно нужно когда нормальные админы юзают openVPN уже очень давно и успешно?
По-видимому они специально добавляют дополнительные возможности для бекдоров...
| | |
| |
| 4.93, Тророро (?), 02:24, 19/01/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
Меньше код - меньше вероятность ошибки и , как следствие, какой-нибуть дыры.
Пройтись бритвой Оккама по сущиствующим решениям - хорошее начинание.
| | |
|
| 3.81, freehck (ok), 00:06, 19/01/2018 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Поттеринг тут ни при чем, он просто добавил к networkd (даже не к самому systemd) удобую конфигурялку.
О, тогда звучит неплохо.
Ну так, проформы ради, дабы уточнить: стало быть новость о том, что Леннарт добавил к networkd конфигурялку, и всё? Весело.
| | |
| |
| 4.98, Аноним (-), 02:39, 19/01/2018 [^] [^^] [^^^] [ответить]
| –2 +/– |
До поттеринга дошло примерно то же что и до разработчиков openwrt. У них нечто похожее тоже есть, при том не только для впнов, они из своей конфигурационной системы даже более прозаичные программы настривают. Типа того же трансмишна. Парсят свой "цискообразный" конфигурационный блок ("UCI") и на основе этого генерят (!!!) трансмишну конфиг. И такая фигня много с чем еще.
| | |
| |
| 5.117, Andrey Mitrofanov (?), 10:34, 19/01/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> До поттеринга дошло
Не. Может? Быть! Вывсёврёти.
> примерно то же что и до
>генерят (!!!) трансмишну конфиг. И такая фигня много с чем еще. | | |
| |
| 6.125, Аноним (-), 10:51, 19/01/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> Не. Может? Быть! Вывсёврёти.
Да там на самом деле довольно кондовый обмен идеями. Хоть у каждого и в своей перепевке.
А чтобы ты не расслаблялся, сообщу что openvpn с системдой дружит не хуже. Для него в демьяне и деривативах запилили коронную фишку системды - сервисы с инстансами. И поэтому системд может одной левой пустить пяток инстансов опенвпн-а с разными конфигами. Что довольно удобно. А в sysv init и это тоже без геморроя не получалось. Но, конечно же, что за система такая, если с ней трахаться не надо и настраивается любым ламером за 5 минут в навороченную конфигурацию...
| | |
| |
| 7.140, Адекват (ok), 12:03, 19/01/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> и настраивается любым ламером за 5 минут в навороченную конфигурацию...
Сказал человек, который ниразу не ловил галюнов на ровном месте с SystemD, там порой такие приключения бываю, что с ума начинаешь сходить.
| | |
| |
| 8.170, Аноним (-), 20:25, 19/01/2018 [^] [^^] [^^^] [ответить] | –1 +/– | Не, ну почему Один раз попался баг с очень медленной инициализацией рандома в с... текст свёрнут, показать | | |
|
|
|
|
|
|
| 2.90, Аноним (-), 01:52, 19/01/2018 [^] [^^] [^^^] [ответить] | +1 +/– | WireGuard вообще делают другие люди Поттеринг лишь поддержал настройку их фигов... большой текст свёрнут, показать | | |
| |
| 3.118, Andrey Mitrofanov (?), 10:38, 19/01/2018 [^] [^^] [^^^] [ответить]
| +3 +/– |
>> Ага, и вместо того, чтобы сделать упрощающую обвязочку над openvpn, они делают
>> новую реализацию.
> WireGuard вообще делают другие люди. Поттеринг лишь поддержал настройку их фиговины.
Это и надо было написать в заголовке новости. #мопеднемой
> А знаешь, тормоза опенвпн от переключения контекста упрощающей обвязкой не лечатся.
А вот это Правильно! Наконец-то хоть кто-то делает всё по науке!!
Молоццы разрабы w-g, что выкинули эти поганые переключения контекстов из своего модуля ядра. Хоть и не ленарты, а молоццы же! >/<
| | |
| |
| 4.126, Аноним (-), 10:52, 19/01/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> Это и надо было написать в заголовке новости. #мопеднемой
А может не надо? Иногда полезно видеть истинные цвета. Рефлексия павловских собачек доставила.
> Молоццы разрабы w-g, что выкинули эти поганые переключения контекстов из своего модуля ядра.
> Хоть и не ленарты, а молоццы же! >/<
Они не первые.
| | |
| 4.127, Аноним (-), 10:54, 19/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
>>> Ага, и вместо того, чтобы сделать упрощающую обвязочку над openvpn, они делают
>>> новую реализацию.
>> WireGuard вообще делают другие люди. Поттеринг лишь поддержал настройку их фиговины.
> Это и надо было написать в заголовке новости. #мопеднемой
Нет! Одепты должны твёрдо верить, что всё, что есть лучшего в системе, написано Поттерингом!
| | |
|
|
|
| 1.34, EHLO (?), 12:14, 18/01/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +6 +/– | |
Серьёзный вопрос!
По ссылке написано:
>Why I want to include support for WireGuard into systemd-networkd:
>WireGuard implements a new interface type called "wireguard".
>WireGuard itself ships a command line util called wg for key management,
>but lacks of support to configure ip addresses and routes on the interface.
>My pull request intend to close this gap by implementing key management as
>well as the new interface type in systemd-networkd.
ИМХО звучит как "потому что гладиолус"
Вопрос: только я не вижу абсолютно никакой логики в этом объяснении?
Или таки у них (смстемдэшников) действительно расстройство мышления?
| | |
| |
| |
| 3.215, kuku (ok), 22:51, 19/01/2018 [^] [^^] [^^^] [ответить]
| –2 +/– |
 Оно, мышление, у них есть. Но оно, помоему, детское или однобокое,
явно не в рамках UNIX. Я так понимаю, в UNIX всё пытаются
разбить на части в разумных пределах. И каждая часть "грамотно"
выполняет свою, может и маленькую, работу. А у них, явно,
диаметрально противоположный подход.
Им трудно понять бритву Оккама. Альберт Эйнштейн пересказал её:
"Всё необходимо упрощать до тех пор, пока это возможно.
Но не более того."
Они, видимо, упрощают в "другую" сторону.
| | |
| 3.222, kuku (ok), 23:04, 19/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
Чем сложнее архитектура и организация объекта,
тем больше у него заходов. В UNIX сложность явно
не приветствуется. Она вызывает осложнения. :)
| | |
|
| 2.61, Аноним123 (?), 17:25, 18/01/2018 [^] [^^] [^^^] [ответить]
| +/– | |
>but lacks of support to configure ip addresses and routes on the interface.
ФАТАЛЬНЫЙ НЕДОСТАТОК!!!11
| | |
| |
| 3.64, Andrey Mitrofanov (?), 17:36, 18/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
>>but lacks of support to configure ip addresses and routes on the interface.
> ФАТАЛЬНЫЙ НЕДОСТАТОК!!!11
И так будет с каждым, кто решит [,что может] обойтись без bash-а [I]!11
| | |
| |
| 4.94, Аноним (-), 02:26, 19/01/2018 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> И так будет с каждым, кто решит [,что может] обойтись без bash-а [I]!11
Спасибо, башевики-затейники уже сконфигуряли ремотный рут-доступ по DHCP. Добавки что-то не хочется.
| | |
| |
| 5.99, EHLO (?), 02:47, 19/01/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> И так будет с каждым, кто решит [,что может] обойтись без bash-а [I]!11
> Спасибо, башевики-затейники уже сконфигуряли ремотный рут-доступ по DHCP. Добавки что-то
> не хочется.
А что так? Слишком сложно и сразу закрыли?
По учетке 0day получить рут конечно и проще и как-то колоритнее.
| | |
| |
| 6.116, Аноним (-), 10:34, 19/01/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> А что так? Слишком сложно и сразу закрыли?
Сразу после того как нашли. А сколько оно до этого всех позволяло поиметь и сколько систем которые не патченые и до сих пор можно поиметь - вопрос открытый.
> По учетке 0day получить рут конечно и проще и как-то колоритнее.
Какой еще учетке? В конкретно этом случае я могу как максимум представить remote kernel, что забористее, но ядерщики прошареные и с ними такой номер провернуть не так то просто. Легенды гласят что так вроде было в стародавние времена, но реально ping of death и проч мало кто помнит.
| | |
| |
| 7.141, EHLO (?), 12:03, 19/01/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> По учетке 0day получить рут конечно и проще и как-то колоритнее.
> Какой еще учетке? В конкретно этом случае я могу как максимум представить
> remote kernel, что забористее, но ядерщики прошареные и с ними такой
> номер провернуть не так то просто. Легенды гласят что так вроде
> было в стародавние времена, но реально ping of death и проч
> мало кто помнит.
Как можно пропустить такое событие?! https://www.cvedetails.com/cve/CVE-2017-1000082/
Свою десяточку Леннарт достойно заработал, можно очередную звезду лепить фюзеляж. Хотя некуда уже.
| | |
| |
| |
| 9.187, EHLO (?), 21:43, 19/01/2018 [^] [^^] [^^^] [ответить] | +/– | Поттеринг тоже говорит, что в баше все стремное, а он по определению все правиль... текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
| 1.43, DmA (??), 13:24, 18/01/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Здорово было бы, если бы там обмен был ключами по принципу доверительной сети, тогда можно было бы построить приватную глобальную сеть с полным шифрованием .Время бы некоторые ушло на обмен ключами, но потихоньку бы сеть выстроилась как надо.
Хотя бы на Линукс компьютерах, а там глядишь и винда подтянулась
| | |
| |
| 2.46, Аноним (-), 13:41, 18/01/2018 [^] [^^] [^^^] [ответить]
| +3 +/– |
Это можно сделать поверх. WG спроектирован в духе UNIX-way, как кубик для лего. Конечно, от s-d при этом следует держаться подальше.
| | |
|
| 1.68, Madox (?), 18:41, 18/01/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– | |
ИМЕЮТСЯ ВОПРОСЫ:
1. WireGuard сможет на***ть DPI? На днях узнал, что мой пров установил DPI и теперь анализирует пакетики даже через VPN... Я так понял что OpenVPN здесь уже не поможет. А что WireGuard?
2. WireGuard мало просто иметь в ядре же, так? Это просто поддержка протоколов? Все-равно нужно покупать VPN и доверять какому-то VPN-провайдеру?
3. Какая текущая версия systemd в Kubuntu 16.04 lts?
| | |
| |
| 2.69, Madox (?), 18:42, 18/01/2018 [^] [^^] [^^^] [ответить]
| +3 +/– |
И да, появится ли встроенный WireGuard в Kubuntu 18.04 или еще нет?
| | |
| |
| 3.73, sage (??), 19:51, 18/01/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
Современные DPI умеют классифицировать трафик внутри VPN, используя размер пакета, характерные особенности протоколов и задержки между передачами данных в качестве входных данных.
| | |
| |
| 4.75, Борщдрайвен бигдата (?), 21:19, 18/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
«Умеют» — зыбкое утверждение.
Да, в случае изкоробочного OpenVPN можно с какой-то достоверностью сказать, мол, «вот это торренты, а вот это — веб, наверное». Есть такое, но и не более.
Тут же сказали так, словно DPI умеет чуть ли не в реальном времени смотреть внутрь этих пакетов.
| | |
| |
| 5.82, пох (?), 00:35, 19/01/2018 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> Да, в случае изкоробочного OpenVPN можно с какой-то достоверностью сказать
практически со 100%
даже конкретные сайты, на которые ты ходишь, угадываются по характерным паттернам.
> Тут же сказали так, словно DPI умеет чуть ли не в реальном времени
> смотреть внутрь этих пакетов.
естественно, в реальном, кому б он иначе был нужен. Ну и избирательно дропать-шейпить, разумеется.
А хрен ли вы думали, от товарища майора спрятались?
| | |
| |
| 6.97, Аноним (-), 02:36, 19/01/2018 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> даже конкретные сайты, на которые ты ходишь, угадываются по характерным паттернам.
Тебя послушать так ты корову из котлет восстанавливать умеешь. Живую.
> естественно, в реальном, кому б он иначе был нужен. Ну и избирательно
> дропать-шейпить, разумеется.
> А хрен ли вы думали, от товарища майора спрятались?
Придется показать товарищ майорам немного системной магии и чудес абстракций. За пределами их понимания.
| | |
| |
| 7.100, EHLO (?), 03:06, 19/01/2018 [^] [^^] [^^^] [ответить]
| +2 +/– |
>> даже конкретные сайты, на которые ты ходишь, угадываются по характерным паттернам.
> Тебя послушать так ты корову из котлет восстанавливать умеешь. Живую.
>> естественно, в реальном, кому б он иначе был нужен. Ну и избирательно
>> дропать-шейпить, разумеется.
>> А хрен ли вы думали, от товарища майора спрятались?
> Придется показать товарищ майорам немного системной магии и чудес абстракций. За пределами
> их понимания.
Не майор, а в лучшем случае синьор (пиар менеджер) поработал над гражданином из 3-х букв.
| | |
|
|
| 5.130, Аноним (-), 10:56, 19/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
> «Умеют» — зыбкое утверждение.
> Да, в случае изкоробочного OpenVPN можно с какой-то достоверностью сказать, мол, «вот
> это торренты, а вот это — веб, наверное».
А если вперемежку идут пакеты нескольких соединений?
| | |
| |
| 6.133, Аноним (-), 11:05, 19/01/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> А если вперемежку идут пакеты нескольких соединений?
Псст, хочешь подсказку? Если немного заPADD'ить и немного фонового траффика накинуть... ну ты уже наверное начинаешь догадываться, да?
| | |
|
|
| 4.142, Адекват (ok), 12:08, 19/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Современные DPI умеют классифицировать трафик внутри VPN, используя размер пакета, характерные
> особенности протоколов и задержки между передачами данных в качестве входных данных.
КАК ???
Тот же openvpn все в UDP инкапсулирует, весь трафик на один тот же порт шлет, я не в курсе насчет размеров пакетов, но не думаю что по ним можно содержание определить.
Бред вообщем.
| | |
| |
| 5.174, Аноним (-), 20:42, 19/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Тот же openvpn все в UDP инкапсулирует, весь трафик на один тот
> же порт шлет, я не в курсе насчет размеров пакетов, но
> не думаю что по ним можно содержание определить.
Расскажи это GFW, который вложенные SSL/TLS сессии так определяет. Это лечится, но при наивном лобовом подходе великий китайский фаер таки засекает новый, неизвестный сервер, может быть с впн, и если он соответствует ожиданиям (например, отвечает китайскому зонду по предполагаемому протоколу) - добро пожаловать в баню.
| | |
|
|
| 3.162, Аноним (-), 19:47, 19/01/2018 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Дяденька, вы дурак?
Нельзя так говорить. Нало говорить "альтернативно... ну, в общем, что-то там альтернативно", инче оно сначала перестанет учить уроки, а потом - с 20-го этажа спрыгнет.
| | |
|
| 2.79, Аноним (-), 22:30, 18/01/2018 [^] [^^] [^^^] [ответить]
| +/– | |
Клиентская и Серверная часть целиком в ядре!
Я бы не сказал что OpenVPN и WireGuard это одно и тоже, WireGuard можешь сравнивать с маршрутизатором по типу BGP/VPN.
| | |
| 2.80, freehck (ok), 00:01, 19/01/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> а днях узнал, что мой пров установил DPI и теперь анализирует пакетики даже через VPN
Если VPN через шифрованный канал, то DPI прову не особо помогает. Там остаётся весьма узкий набор атак, от которых результат почти нулевой. Тайминги там всякие, размер пакетов и т.п.
| | |
| |
| 3.96, Аноним (-), 02:32, 19/01/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Если VPN через шифрованный канал, то DPI прову не особо помогает. Там
> остаётся весьма узкий набор атак, от которых результат почти нулевой. Тайминги
> там всякие, размер пакетов и т.п.
Как ни странно, GFW именно так и определяет HTTPS/TLS сессии вложенные в шифрованный тунель. Он не знает что это шифрованный туннель и что в нем. Но если ты откроешь https:// сайт, при лобовой реализации впна в туннеле после некоторой неактивности полетит довольно характерное сочетание размеров пакетов. GFW этим не ограничивается, конечно, но это первый шаг палива.
| | |
| |
| 4.139, freehck (ok), 11:57, 19/01/2018 [^] [^^] [^^^] [ответить] | +1 +/– | Палево, да не палево За открытие сайта к уголовной ответственности не привлекаю... большой текст свёрнут, показать | | |
| |
| 5.175, Аноним (-), 20:49, 19/01/2018 [^] [^^] [^^^] [ответить] | +/– | Таким манером сложно получить доказательства чего либо, много глюков будет Но G... большой текст свёрнут, показать | | |
|
|
| 3.103, DmA (??), 07:13, 19/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
паяльник спецслужбы не отучились ещё применять! Так что ждите в гости их.
| | |
| |
| 4.143, freehck (ok), 12:09, 19/01/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> паяльник спецслужбы не отучились ещё применять! Так что ждите в гости их.
Не, ну правильно. DPI лишь даёт наводку на то, что ты вероятно посещаешь что-то очень-очень нехорошее. А вот чтобы получить доказательство, нужно прийти к тебе домой и изъять диск.
| | |
| |
| 5.157, Аноним (-), 15:42, 19/01/2018 [^] [^^] [^^^] [ответить]
| –2 +/– |
А если речь идет о защите корпоративной инфы от продажных ментов, спецслужб, конкурентов, мошенников, ОПГ???
Или мозг повернут только в сторону ментов и противоправного контента?
| | |
| |
| 6.160, freehck (ok), 19:44, 19/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
> А если речь идет о защите корпоративной инфы от продажных ментов, спецслужб,
> конкурентов, мошенников, ОПГ???
Если в твоей стране менты, спецслужбы и суды продажные, то DPI никому не нужен, ибо есть более простые способы поставить тебя раком.
> Или мозг повернут только в сторону ментов и противоправного контента?
Да, именно.
| | |
| |
| 7.221, freehck (ok), 23:02, 19/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
Короче, всем жертвам "модераторского произвола":
Я мненью вашему вращенье придавал, и осью был мой детородный орган.
| | |
| |
| 8.234, Аноним (-), 03:04, 21/01/2018 [^] [^^] [^^^] [ответить] | –1 +/– | Характерный уровень культуры опеннета И эти люди смеют что-то вякать про обрабо... текст свёрнут, показать | | |
| |
| 9.235, freehck (ok), 13:10, 22/01/2018 [^] [^^] [^^^] [ответить] | +1 +/– | Мда, надо, наверное, пояснить, если кто сюда случайно зайдёт почитать Тут какой... большой текст свёрнут, показать | | |
| |
| 10.239, Аноним (-), 13:44, 25/01/2018 [^] [^^] [^^^] [ответить] | –2 +/– | На опеннете и модераторы не гнушаются провокации и разжигания флейма, если уж на... большой текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
| 2.84, пох (?), 00:39, 19/01/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> 1. WireGuard сможет на***ть DPI? На днях узнал, что мой пров установил
нет
> DPI и теперь анализирует пакетики даже через VPN... Я так понял
> что OpenVPN здесь уже не поможет. А что WireGuard?
ну, можно осторожно надеяться, что пока индусов не озадачили наляпать паттернов и для его распознавания. То что это "какой-то vpn", разумеется, провайдер увидит. То что ты качаешь именно cp - нет.
> 2. WireGuard мало просто иметь в ядре же, так? Это просто поддержка
> протоколов? Все-равно нужно покупать VPN и доверять какому-то VPN-провайдеру?
если ничего больше не умеешь - да. Правда, провайдеры такого пока не предоставляют, и не будут ;-)
| | |
| |
| 3.152, Онанимус (?), 15:27, 19/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
> если ничего больше не умеешь - да. Правда, провайдеры такого пока не
> предоставляют, и не будут ;-)
Я уже где-то видел. В смысле, у какого-то VPN провайдера.
| | |
|
|
| 1.101, key (??), 03:38, 19/01/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
 Выглядит как !@#$%^& архитектурное решение.
Но на то я и диванный аналитик. Надеюсь они знают что делают.
| | |
| |
| 2.123, Andrey Mitrofanov (?), 10:49, 19/01/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Выглядит как !@#$%^& архитектурное решение.
> Но на то я и диванный аналитик. Надеюсь они знают что делают.
ifupdown, initscripts, etcnet, иприпр -- без bash-а!!
Любо дорого -- на паркнсона, конвульсии.
| | |
|
| 1.135, Gannet (ok), 11:15, 19/01/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 Объясните мне, плиз, чайнику, что означает параметр:
AllowedIPs =
И в нём нужно указывать подсеть, IP или можно как то, так и другое?
| | |
| |
| 2.155, Онанимус (?), 15:40, 19/01/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Объясните мне, плиз, чайнику, что означает параметр:
> AllowedIPs =
> И в нём нужно указывать подсеть, IP или можно как то, так
> и другое?
В нем указываются подсети локальных адресов, которые можно пропускать через туннель с той стороны (т.е. со стороны пира). Задаются, как я помню, именно подсети, но одиночный IP можно задать в CIDR /32:
AllowedIPs = 10.192.122.3/32, 10.192.124.1/24
| | |
|
|
