|
|
@ -8,12 +8,22 @@ |
|
|
|
Ведь openvpn основан на tun, а tun - всегда в разы медленнее решения в kernel mode, |
|
|
|
и если для PC оно может быть не так актуально, для soho роутеров - более чем. |
|
|
|
Wireguard может дать 50 mbps там, где openvpn еле тащит 10. |
|
|
|
Другая важная особенность - затрудненное обнаружение протокола системами DPI. |
|
|
|
Но есть и дополнительное требование. Wireguard работает в ядре, значит ядро должно |
|
|
|
быть под вашим контролем. vps на базе openvz не подойдет ! Нужен xen, kvm, |
|
|
|
любой другой вариант, где загружается ваше собственное ядро, а не используется |
|
|
|
общее, разделяемое на множество vps. В openvz вам никто не даст лезть в ядро. |
|
|
|
|
|
|
|
Если вдруг окажется, что основные VPN протоколы блокируется DPI, включая wireguard, |
|
|
|
то стоит смотреть в сторону либо обфускации трафика до состояния нераспознаваемого |
|
|
|
мусора, либо маскировки под TLS (лучше на порт 443). Скорость, конечно, вы потеряете, но это |
|
|
|
та самая ситуация, которая описывается словами "медленно или никак". |
|
|
|
Маскированные под TLS протоколы DPI может распознать двумя действиями : |
|
|
|
пассивно через анализ статистических характеристик пакетов (время, размер, периодичность, ..) |
|
|
|
или активно через подключение к вашему серверу от себя и попытку поговорить с сервером по |
|
|
|
известным протоколам (называется active probing). Если вы подключаетесь к серверу |
|
|
|
с фиксированных IP, то активный пробинг можно надежно заблокировать через ограничение |
|
|
|
диапазонов IP адресов, с которых можно подключаться к серверу. |
|
|
|
|
|
|
|
Понятийно необходимо выполнить следующие шаги : |
|
|
|
1) Поднять vpn сервер. |
|
|
|
2) Настроить vpn клиент. Результат этого шага - получение поднятого интерфейса vpn. |
|
|
|