Переехал с IPsec на WireGuard

Что: 0aca426f64a513068a0bfffa563ab85f238a7d9f

Когда: 2023-05-08 14:42:41+03:00

Темы: bsd

Переехал с IPsec на WireGuard

Уже упоминал что были мысли о переезде на WireGuard полностью. Но
останавливала его скорость ниже IPsec-а, из-за userland реализации.
После обновления FreeBSD (0cfadc4b3f5ed39dba025a4aecf5cede864f9ad1),
WG стал встроенным в ядро, как и утилита управления им. Тесты показали
что он, как минимум, не медленнее (пропускная способность и задержки)
IPsec-а на гигабите.


	
IPsec я всё равно использую с PSK аутентификацией. Никаких PKI или

  подобного функционала IKEv2 не лишаюсь

	
Ничего дополнительно из портов устанавливать не надо (strongSwan)
	
Запускаю настройку wg интерфейсов в виде демона запускаемого через

  daemontools -- явного демона никакого не используется

	
WireGuard у меня всё равно для удалённого доступа используется и для

  связи с VPS-кой -- теперь экосистема полностью унифицирована

	
Эстетически очень приятно что шифрование это ChaCha20-Poly1305
	
На gif-интерфейс нельзя было повесить MTU больше 8192, поэтому 8KiB

  блоки через NFS нельзя передать было одним пакетом. На wg-интерфейс
  можно навесить MTU большего размера. Мелочь, а приятно