From: Sergey Matveev <stargrave@stargrave.org>
Date: Mon, 8 May 2023 11:42:41 +0000 (+0300)
Subject: Переехал с IPsec на WireGuard
X-Git-Url: http://www.git.stargrave.org/?a=commitdiff_plain;h=0aca426f64a513068a0bfffa563ab85f238a7d9f;p=stargrave-blog.git

Переехал с IPsec на WireGuard

Уже упоминал что были мысли о переезде на WireGuard полностью. Но
останавливала его скорость ниже IPsec-а, из-за userland реализации.
После обновления FreeBSD (0cfadc4b3f5ed39dba025a4aecf5cede864f9ad1),
WG стал встроенным в ядро, как и утилита управления им. Тесты показали
что он, как минимум, не медленнее (пропускная способность и задержки)
IPsec-а на гигабите.

* IPsec я всё равно использую с PSK аутентификацией. Никаких PKI или
  подобного функционала IKEv2 не лишаюсь
* Ничего дополнительно из портов устанавливать не надо (strongSwan)
* Запускаю настройку wg интерфейсов в виде демона запускаемого через
  daemontools -- явного демона никакого не используется
* WireGuard у меня всё равно для удалённого доступа используется и для
  связи с VPS-кой -- теперь экосистема полностью унифицирована
* Эстетически очень приятно что шифрование это ChaCha20-Poly1305
* На gif-интерфейс нельзя было повесить MTU больше 8192, поэтому 8KiB
  блоки через NFS нельзя передать было одним пакетом. На wg-интерфейс
  можно навесить MTU большего размера. Мелочь, а приятно
---