Size: a a a

2020 December 19

c

crims0n in Continent
В ядро Linux 5.6 включили VPN WireGuard / Дата-центр «Миран» / Хабр
https://habr.com/ru/company/dcmiran/blog/486046/
источник

A

Alex One in Continent
crims0n
Да, кстати, чуть не забыл. Адрес может сменить не только клиент, но и сервер. Как там у OpenVPN с этим? Да вообще у любого типа VPN? Вайргард сохраняет связь при смене публичного адреса сервера.
ну ты же понимаешь как это звучит? ему просто пофигу на стейты
источник

c

crims0n in Continent
Alex One
ну ты же понимаешь как это звучит? ему просто пофигу на стейты
Другим не пофигу
источник

A

Alex One in Continent
давай пошутим что тебе надо былобрать випнет
источник

c

crims0n in Continent
Они просто не умеют так
источник

c

crims0n in Continent
Ни один протокол VPN не умеет так работать
источник

A

Alex One in Continent
ты не подумал посмотреть чем это обеспечивается?
я думаю что ты не пробовал.
источник

c

crims0n in Continent
Alex One
ты не подумал посмотреть чем это обеспечивается?
я думаю что ты не пробовал.
И много тут тех, кто читал все исходные коды того же OpenVPN?
источник

c

crims0n in Continent
А коды эниконнект или континента тут вообще читали единицы, кто не участвует в обсуждении)
источник

c

crims0n in Continent
Я готов спорить, что ни на одном другом устоявшемся типе VPN нельзя провернуть те же фокусы, либо достичь аналогичной производительности.
источник

K

Kirill in Continent
crims0n
Я готов спорить, что ни на одном другом устоявшемся типе VPN нельзя провернуть те же фокусы, либо достичь аналогичной производительности.
shadowsocks попробуй, он вкуснее, нормально работает с роутингом
источник

c

crims0n in Continent
Kirill
shadowsocks попробуй, он вкуснее, нормально работает с роутингом
Попробовал. Оно медленнее и так не умеет. Это даже не VPN.
источник

K

Kirill in Continent
crims0n
Попробовал. Оно медленнее и так не умеет. Это даже не VPN.
Ну смотри, вот без shadowsocks скорость
источник

K

Kirill in Continent
источник

K

Kirill in Continent
А вот с ним
источник

K

Kirill in Continent
источник

K

Kirill in Continent
Ну да, медленее ))
источник

G

Grigoriy in Continent
crims0n
Ну скажи, какие настройки нужно сделать на OpenVPN, чтобы достичь аналогичного эффекта, я просто покажу, что это не сработает.
Ты знаешь как происходит  адрес Билдинг? Например в линуксе? И понимаешь, чтобы состоялся tcp handshake, нужен unique tuple4 (local ip:port foreign ip:port). И что, например в линуксе, сокет не связан напрямую состоянием интерфейса? И я технически не понимаю, зачем какому либо клиенту закрывать сокет если туннель/интерфейс упал (разве что для bgp клиентов, и подобных случаев). Я так глубоко не копал, либо все остальные клиенты закрыают сокет, когда падает туннель, а вайергард этого не делает. Либо что-то ты делаешь не так. У TCP есть несколько таймеров: RTO, persistent, keepalive, time wait. А нашем случае интересуют два таймера: RTO и keepalive. По дефолту в линуксе, keepalive  составляет два часа (вроде в рфс описаны теже два часа, но тут память может подводить). Т.е. если у нас сотоялся three way handshake, только через два часа (по дефолту, ещё раз), если нет никакой активности между клиентом и сервером, сервер отправит keepalive пакет, чтобы проверить, что клиент ещё жив и сессию можно оставить открытой,  если клиент не ответил - закроет сокет. RTO чуть интереснее, так тут все зависит от настройки TCC. В линуксе по дефолту используется cubic. В этом случае, если клиент или сервер не получат ack на отправленные пакеты сработает таймер RTO, и попробуют отпраить пакет ещё раз, точные цифры не помню, но после 3  неудачных попыток, этот таймер увеличивается, и будут ещё 15 попыток доставить пакет перед тем как сокет закроется (а это где-то 30 минут) . Т.е. если клиент, при падения интерфейса, не закроет сокет,  и айпи адрес на интерфейсе не поменяется, я не вижу технических причин (кроме как пакет попадёт на другой стейтфул фаервол, где небыло syn для данной сессии) чтобы сессия разорвалась, при флапе/переключении провайдера
источник

c

crims0n in Continent
Может, ты веришь и в софт, который ускоряет интернет?))
источник

c

crims0n in Continent
Grigoriy
Ты знаешь как происходит  адрес Билдинг? Например в линуксе? И понимаешь, чтобы состоялся tcp handshake, нужен unique tuple4 (local ip:port foreign ip:port). И что, например в линуксе, сокет не связан напрямую состоянием интерфейса? И я технически не понимаю, зачем какому либо клиенту закрывать сокет если туннель/интерфейс упал (разве что для bgp клиентов, и подобных случаев). Я так глубоко не копал, либо все остальные клиенты закрыают сокет, когда падает туннель, а вайергард этого не делает. Либо что-то ты делаешь не так. У TCP есть несколько таймеров: RTO, persistent, keepalive, time wait. А нашем случае интересуют два таймера: RTO и keepalive. По дефолту в линуксе, keepalive  составляет два часа (вроде в рфс описаны теже два часа, но тут память может подводить). Т.е. если у нас сотоялся three way handshake, только через два часа (по дефолту, ещё раз), если нет никакой активности между клиентом и сервером, сервер отправит keepalive пакет, чтобы проверить, что клиент ещё жив и сессию можно оставить открытой,  если клиент не ответил - закроет сокет. RTO чуть интереснее, так тут все зависит от настройки TCC. В линуксе по дефолту используется cubic. В этом случае, если клиент или сервер не получат ack на отправленные пакеты сработает таймер RTO, и попробуют отпраить пакет ещё раз, точные цифры не помню, но после 3  неудачных попыток, этот таймер увеличивается, и будут ещё 15 попыток доставить пакет перед тем как сокет закроется (а это где-то 30 минут) . Т.е. если клиент, при падения интерфейса, не закроет сокет,  и айпи адрес на интерфейсе не поменяется, я не вижу технических причин (кроме как пакет попадёт на другой стейтфул фаервол, где небыло syn для данной сессии) чтобы сессия разорвалась, при флапе/переключении провайдера
Ок, пусть у нас любой другой впн. У тебя в датацентре есть резервный канал. Основной канал падает, происходит переключение на другого провайдера, внешний адрес сервера меняется. Сессия на любом другом типе VPN не то, что отвалится, она и вообще не восстановится.
источник