From 0aca426f64a513068a0bfffa563ab85f238a7d9f Mon Sep 17 00:00:00 2001
From: Sergey Matveev <stargrave@stargrave.org>
Date: Mon, 8 May 2023 14:42:41 +0300
Subject: [PATCH] =?utf8?q?=D0=9F=D0=B5=D1=80=D0=B5=D0=B5=D1=85=D0=B0=D0=BB?=
 =?utf8?q?=20=D1=81=20IPsec=20=D0=BD=D0=B0=20WireGuard?=
MIME-Version: 1.0
Content-Type: text/plain; charset=utf8
Content-Transfer-Encoding: 8bit

Уже упоминал что были мысли о переезде на WireGuard полностью. Но
останавливала его скорость ниже IPsec-а, из-за userland реализации.
После обновления FreeBSD (0cfadc4b3f5ed39dba025a4aecf5cede864f9ad1),
WG стал встроенным в ядро, как и утилита управления им. Тесты показали
что он, как минимум, не медленнее (пропускная способность и задержки)
IPsec-а на гигабите.

* IPsec я всё равно использую с PSK аутентификацией. Никаких PKI или
  подобного функционала IKEv2 не лишаюсь
* Ничего дополнительно из портов устанавливать не надо (strongSwan)
* Запускаю настройку wg интерфейсов в виде демона запускаемого через
  daemontools -- явного демона никакого не используется
* WireGuard у меня всё равно для удалённого доступа используется и для
  связи с VPS-кой -- теперь экосистема полностью унифицирована
* Эстетически очень приятно что шифрование это ChaCha20-Poly1305
* На gif-интерфейс нельзя было повесить MTU больше 8192, поэтому 8KiB
  блоки через NFS нельзя передать было одним пакетом. На wg-интерфейс
  можно навесить MTU большего размера. Мелочь, а приятно
-- 
2.48.1