Переехал с IPsec на WireGuard
Уже упоминал что были мысли о переезде на WireGuard полностью. Но
останавливала его скорость ниже IPsec-а, из-за userland реализации.
После обновления FreeBSD (
0cfadc4b3f5ed39dba025a4aecf5cede864f9ad1),
WG стал встроенным в ядро, как и утилита управления им. Тесты показали
что он, как минимум, не медленнее (пропускная способность и задержки)
IPsec-а на гигабите.
* IPsec я всё равно использую с PSK аутентификацией. Никаких PKI или
подобного функционала IKEv2 не лишаюсь
* Ничего дополнительно из портов устанавливать не надо (strongSwan)
* Запускаю настройку wg интерфейсов в виде демона запускаемого через
daemontools -- явного демона никакого не используется
* WireGuard у меня всё равно для удалённого доступа используется и для
связи с VPS-кой -- теперь экосистема полностью унифицирована
* Эстетически очень приятно что шифрование это ChaCha20-Poly1305
* На gif-интерфейс нельзя было повесить MTU больше 8192, поэтому 8KiB
блоки через NFS нельзя передать было одним пакетом. На wg-интерфейс
можно навесить MTU большего размера. Мелочь, а приятно