Что: 0aca426f64a513068a0bfffa563ab85f238a7d9f
Когда: 2023-05-08 14:42:41+03:00
------------------------------------------------------------------------
Темы: bsd
------------------------------------------------------------------------
Переехал с IPsec на WireGuard

Уже упоминал что были мысли о переезде на WireGuard полностью. Но
останавливала его скорость ниже IPsec-а, из-за userland реализации.
После обновления FreeBSD (0cfadc4b3f5ed39dba025a4aecf5cede864f9ad1),
WG стал встроенным в ядро, как и утилита управления им. Тесты показали
что он, как минимум, не медленнее (пропускная способность и задержки)
IPsec-а на гигабите.

* IPsec я всё равно использую с PSK аутентификацией. Никаких PKI или
  подобного функционала IKEv2 не лишаюсь
* Ничего дополнительно из портов устанавливать не надо (strongSwan)
* Запускаю настройку wg интерфейсов в виде демона запускаемого через
  daemontools -- явного демона никакого не используется
* WireGuard у меня всё равно для удалённого доступа используется и для
  связи с VPS-кой -- теперь экосистема полностью унифицирована
* Эстетически очень приятно что шифрование это ChaCha20-Poly1305
* На gif-интерфейс нельзя было повесить MTU больше 8192, поэтому 8KiB
  блоки через NFS нельзя передать было одним пакетом. На wg-интерфейс
  можно навесить MTU большего размера. Мелочь, а приятно

------------------------------------------------------------------------
оставить комментарий: mailto:comment@blog.stargrave.org?subject=Re:%20%D0%9F%D0%B5%D1%80%D0%B5%D0%B5%D1%85%D0%B0%D0%BB%20%D1%81%20IPsec%20%D0%BD%D0%B0%20WireGuard%20%280aca426f64a513068a0bfffa563ab85f238a7d9f%29

------------------------------------------------------------------------
Сгенерирован: SGBlog 0.34.0