Wireguard

amber

New member
Сообщения
9
#1
День добрый.
Подскажите пожалуйста, планируется ли включение в дистрибутив wireguard?
Спасибо.
 

amber

New member
Сообщения
9
#4
Вы можете сами это всё реализовать тык

Вот после этого читать не стал :) по понятным причинам:
Первым делом меняем список репозиториев, на дефолтные для Debian 11.
nano /etc/apt/sources.list

Удаляем там все и вставляем эти строки:

На самом деле вопрос давно решил, оказалось всё просто:

Добавляем в /etc/apt/sources.list.d debian unstable и всё:

Код:
echo "deb http://deb.debian.org/debian/ unstable main" | sudo tee /etc/apt/sources.list.d/unstable-wireguard.list
printf 'Package: *\nPin: release a=unstable\nPin-Priority: 90\n' | sudo tee /etc/apt/preferences.d/limit-unstable
apt update
apt install wireguard-dkms resolvconf
 

amber

New member
Сообщения
9
#6
Там же указан просто как пример, как говорят на вкус и цвет...
Главное потом не удивляться, почему после апгрейда ядро перестало грузиться и валится в kernel panic. Были такие товарищи в чатике Astra в телеграм. :)
 

DEVOPS

New member
Сообщения
53
#7
Главное потом не удивляться, почему после апгрейда ядро перестало грузиться и валится в kernel panic. Были такие товарищи в чатике Astra в телеграм. :)
я не знаю как в астре там обстаят дела, но арче и генту всё норм и никаких трабл не было. А что касаемо kernel panic это у большинства дебиана и ему подобных дистрибутивов. А на астре я и не собираюсь использовать wireguard.

Есть альтернативы ТЫЦ
 

amber

New member
Сообщения
9
#8
я не знаю как в астре там обстаят дела, но арче и генту всё норм и никаких трабл не было. А что касаемо kernel panic это у большинства дебиана и ему подобных дистрибутивов. А на астре я и не собираюсь использовать wireguard.

Есть альтернативы ТЫЦ
Странный текст, применительно к тому, что он написан на форуме Астры, в ветке Astra Linux Common Edition.
Offtop?
 

oko

New member
Сообщения
1 257
#9
to DEVOPS
Можно подумать, что проблемы с ядром в RHEL-based не встречаются...
Гентушники же (и тем более Слакварщики) сами по себе более продвинутые, поскольку любят велосипеды, поэтому либо не жалуются, либо решают трабблы самостоятельно без форумов и прочей техподдержки, ага...

to amber

В сущности, все методы приведенные хороши, если работают. Только при подключении репозитория неплохо бы с базовым релизом Debian определиться. Если ничего не поменялось, то ALCE до сих пор на Debian 9 и более "высокие" релизы юзать - гарантированно получить проблемы зависимостей со всеми вытекающими...
Удовлетворите любопытство: зачем Wireguard? Скорость-то понятно, но криптостойкость (и, как следствие, взаимная аутентификация клиентов виртуальной сети) не доказана и вызывает сомнения. Плюс к тому, ГОСТ-поддержку в нем если и завезли, то чисто на энтузиазме хз-кто. Что в наше неспокойное время несколько напрягает, ага...
imho, если на поиграццо или тем более на пром, то лучше тогда на свежем Debian, чем на необновляемой (пока) ALCE...
 

amber

New member
Сообщения
9
#10
Удовлетворите любопытство: зачем Wireguard? Скорость-то понятно, но криптостойкость (и, как следствие, взаимная аутентификация клиентов виртуальной сети) не доказана и вызывает сомнения. Плюс к тому, ГОСТ-поддержку в нем если и завезли, то чисто на энтузиазме хз-кто. Что в наше неспокойное время несколько напрягает, ага...
Задача простая - держать весь свой зоопарк личных устройств в одноранговой сети. То есть, для чего нужен обычный классический vpn.
Съехал с L2TP/IPSec -> openvpn -> wireguard. Уже больше года на Wireguard. Объективно могу сказать, что wireguard лучше работает на мобильном коннекте: реже отваливается и выше пропускная способность. Не требует ковыряний и телодвижений после установки - сфоткал QR код/подложил конфиг и забыл вообще про его существование. Ни разу в его сторону не смотрел, с момента установки. Да вообще лучше во всём для моего кейса.
Насчёт аутентификации - я пока не видел CVE по проблемам в Wireguard, которые требовали бы срочной реакции. Если будут - среагируем :)
ГОСТ не завезли, да.. Может скоро появится (y)
На Astra CE, Astra SE - работает без проблем с марта месяца по описанной мною инструкции.

По поводу подключения 11 дебиана на 9-й - это пример не понимания, что вообще может произойти. Очередной классический пример выстрела себе в ногу, оформленный как "перемога".

Первым делом меняем список репозиториев, на дефолтные для Debian 11.
nano /etc/apt/sources.list

Удаляем там все и вставляем эти строки:
Просто нет слов. Снести основную репу астры дебиан 9 и заменить её на дебиан 11. Верх дебилизма. Parsec оценит эту жертву :)
Как минимум, так пишут люди, которые не знакомы с sources.list.d, и выставлением приоритета репозитарию.
 

oko

New member
Сообщения
1 257
#11
to amber
Да, пост про Zabbix оценил в период его выхода - ребятки явно рубят фишку в вопросах целей, средств и задач. Там самое смачное в комментариях с участием товарища из РБТ, который пытался сеять разумное, доброе, вечное там, где по умолчанию все в kernel panic и "а у соседа длиннее, толще и в браузере", ага...
В тему "QR-код + конфиг = работает и забыл" модуль жизненного опыта возопил, что нельзя так к структурным элементам относиться. Но модуль самоанализа указал на крутящийся рядом Squid трехлетней выдержки и посоветовал перепрошить функцию однозначности. Придется на ночь добавить коньяк, пока они там делят один объем памяти - во избежание, ага...
Возвращаясь к wireguard, когда ковырял, пришел к выводам аналогичным треду на Хабре (см. опус про вшитое гвоздями). Не упрека ради, но пользы для - что-нибудь изменилось в спецификациях? Потенциальные курсы на кроссплатформенность и вариативность добавились?
imho, ГОСТ-поддержки в нем не будет. Если модульности нет, то opensource реализации ГОСТ (libgost и проч.) туда без плясок с бубном не подтянешь, придется ждать разработчиков (которым это нафиг не надо, тем более в текущей политической обстановке). И вряд ли РБТ его когда-либо в ALSE вставит нативно (читай, в ALCE тоже не перекочует, да и будет ли она - ALCE - в будущем?). Во всяком случае, я бы на их месте не стал. Слишком геморройно будет подтверждать уровень ОУД и доказывать ФСБ необходимость такого "нетривиального" VPN...
Кстати, а зачем в личном парке одноранговость? imho, надежнее и проще мини-сервер с декларированным функционалом и списком штатных методов взаимодействия. Или тут смысл в минимизации затрат на эксплуатацию и поддержку? Опять-таки, без сарказма и нравоучений, а любопытства ради...
 

amber

New member
Сообщения
9
#12
Возвращаясь к wireguard, когда ковырял, пришел к выводам аналогичным треду на Хабре (см. опус про вшитое гвоздями). Не упрека ради, но пользы для - что-нибудь изменилось в спецификациях? Потенциальные курсы на кроссплатформенность и вариативность добавились?
Красплатформенный. Работает на всём. Не везде на уровне ядра, конечно. Для удобства, можно поставить например такой ui

да и будет ли она - ALCE - в будущем
Роман говорит, что будет. Работы ведутся, но не в приоритетном режиме.

Во всяком случае, я бы на их месте не стал. Слишком геморройно будет подтверждать уровень ОУД и доказывать ФСБ необходимость такого "нетривиального" VPN
Вот уж хз, что там нетривиального. 4к строк кода против сотен тысяч строк в том же openvpn и зоопарка настроек ipsec. Как мне кажется - намного проще.
Как корпоративный vpn он, конечно не подходит. Каждый адрес прибит гвоздями. Но в качестве инфраструктурного - например связь между оффисами - вполне.

А если их несколько? А если точек присутствия больше 3-х? :)

минимизации затрат на эксплуатацию и поддержку
Это условно "домашняя сеть". И определённо я хочу заниматься другими делами, а не следить и выяснять, почему vpn не работает :)
За cve я смотрю - ни одной owasp про wireguard - годится.
 

oko

New member
Сообщения
1 257
#13
to amber
Количество строк кода рояля не играет (после сертификации ядер Linux уж точно). А вот гвоздевой метод реализации криптухи, завязанный на выбор реализаций шифрсьюитов чисто разработчиком, и прочие методы как минимум разобьются о двери 8 Центра, а как максимум потребуют fork-реализации кем-либо из ТК26...
Кстати, при диагональном изучении исходников нашел реализацию hash-функции "Стрибог" на 512 бит, причем в варианте А. Дегтярева. Которая, напомню, совпадает с Openssl-реализацией, но явно отличается от сертифицированных решений по линии ФСБ России...
Впрочем, да, это все размышления вслух. Весьма вероятно, что в моем скепсисе виновата профдеформация и нелюбовь к плоским сетям и QR-кодам, ага. В любом случае спасибо за удовлетворение любопытства...

*в сторону*
Судя по последним темам форума, тов. Роман постоянно кому-то что-то говорит или многозначительно молчит (в стиле silentium videtur confessio, ага) . Тут должна быть шутка про Пескова, Метатрона, воз, который и ныне, и т.п., но их всех вырезал модуль самоцензуры...
 

amber

New member
Сообщения
9
#14
А вот гвоздевой метод реализации криптухи, завязанный на выбор реализаций шифрсьюитов чисто разработчиком, и прочие методы как минимум разобьются о двери 8 Центра, а как максимум потребуют fork-реализации кем-либо из ТК26...
Тут соглашусь. Ну, тема "относительно" новая, может добавят конфигурацию предпочитаемых алгоритмов шифрования из списка на клиент-серверном "обмене предпочтениями".

Кстати, при диагональном изучении исходников нашел реализацию hash-функции "Стрибог" на 512 бит, причем в варианте А. Дегтярева. Которая, напомню, совпадает с Openssl-реализацией, но явно отличается от сертифицированных решений по линии ФСБ России...
я так глубоко не копал, а можно в кратце - в чём там отличие? хуже криптоустойчивость?

нелюбовь к плоским сетям и QR-кодам
Домашняя сеть - она всегда плоская (только если это не посёлок цыган). :) Хотя учитывая предысторию и не учитывая что будет - это похоже на вырожденный случай.

Ну в любом случае - openvpn совсем не зашёл, хотя просидел на нём год.
 

oko

New member
Сообщения
1 257
#15
to amber
Что в реализации Дегтярева, что в Openssl-реализации бьются с контрольными примерами, но не бьются с выхлопом сертифицированных СКЗИ. Кстати, реализации LibreSSL и иные opensource-варианты вообще ни с чем не бьются (ни с контрольными, ни с Дегтяревым, ни с СКЗИ, ни с Openssl)...
Где правда - хз, настолько детально код не анализировал (а в СКЗИ он к тому же закрыт). Другое дело, что такие выкрутасы при hash-функции - это не обязательно уязвимость в реализации алгоритма, но отхождение от эталона всегда вызывает сомнения и претензии...
Со "Стрибогом" вообще мутная история - помнится, в 2015-2016 гг. ни один вендор СКЗИ в стране не готов был ее реализовать с необходимой скоростью как программно, так и аппаратно...