Názory k článku
WireGuard bude v Linuxu 5.6 a bude mít verzi 1.0

Wireguard je super, jen je škoda, jak moc ho ignorují GUI. Například Gnome a jeho GUI pro NetworkManager Wiregurad VPN prostě totálně fakuje a já tak musím psát "nmcli connection up vpn". Ale funguje to opravdu skvěle a megarychle.

Není na wireguard plugin do NM?

vyzera ze ano

https://github.com/max-moser/network-manager-wireguard/

V NM vse normalne funguje,tam WG jede jak po masle, ale graficke frontendy nad NM se s WG nejak nekamaradi .... je to zmineno i v tom clanku tady na rootu.

Zde je na to ticket: https://gitlab.gnome.org/GNOME/network-manager-applet/issues/77

Jiří [...] musím psát "nmcli connection up vpn" [...]

muzes to zkratit na pulku: "nmcli c up vpn" ;-)

:D Já samozřejmě napíšu jen "nmc<TAB> c<TAB> up vpn" .... ale i tak vtipné :-D

No hurá!

Dovolim si svoji obligatni stiznost. Neumi to tap rezim a jeste to inzeruji jako feature.

Ach jo, takže zase jenom hromada reklamy, jak je to super, ale když člověk bude potřebovat transparentní L2, tak bude muset zase sáhnout po OVPN nebo EoIP s Mikrotikem...

Wireguard je L3, nelze jednoduše "bridge-ovat" L2 a L3 interface.
Ale můžete vystavět L3 Wiguard spoj a skrze něj tunnelovat L2 vrstvu např. pomocí vxvlan nebo gretap.
Ještě mě napadá, že by šla zřejmě použit arp proxy.
https://gist.github.com/pamolloy/f464c2b54af03c436491f42abf0bbff9
https://vincent.bernat.ch/en/blog/2017-vxlan-linux

...nebo kombinovat s vxlan.

Na to je jednoduchá odpověď: pokud potřebujete tunelovat L2, tak máte nějakou, ale poměrně zásadní chybu v návrhu.
To je důvod, proč kromě to nikdo z velkých nepodporuje. Určitě to není tím, že by to nesvedli.

Tunelovat L2 potřebuji třeba proto, že mám ve vzdálené síti přitroublý zařízení, které je možné konfigurovat pouze při použití divné aplikace, která komunikuje čistě na L2. Potom můžu mít návrh sítě sebelepší, ale je mi k ničemu, když to nedělá, co od toho potřebuji.

Můj názor je stále stejný, Wireguard se do mě poslední dobou tlačí horem dolem ze všech stran, jak je to to jediné a nejlepší řešení, které pošle do starého železa všechna ostatní řešení a přitom od toho nechci nic složitějšího, než je přitroublá L2 trubka a nechci zabalovat tunel do tunelu.

Wireguard rozhodně nepovažuji za nejlepší řešení. Sebezajímavější řešení je na prd, pokud ho nezačnou podporovat výrobci. Začíná to od OS a končí u profesionálních síťových prvků. Jako příklad bych mohl uvést Microsoft SSTP, které je opravdu zajímavé, ale je k ničemu, protože z Androidu a Maca se k němu nepřipojíte, nebo za cenu opičáren doinstalací, bez možností automatického deploye.

Chyba v návrhu je to Vaše zařízení. Na taková zařízení je pár způsobů:
1. vyměnit ho :-),
2. včlenit do vzdálené sítě stroj, přes který s bude konfigurovat.

Tunelovat L2 je nejpitomější řešení ze všech. Zničíte si síť, bezpečnost, potenciálně výkon. Je to jako kdybyste si vybíral auto podle toho, že máte doma ve skříni sadu nových svíček pasujících do Fabie.

Proto se počítá TCO (total cost of ownership).
a) L2 tunel je zdánlivě zadarmo, ale stojí Vaši práci, zesložití síť, přinese nějaké problémy - to vše bude stát během příští 5 let odhadnutelné peníze.
b) Můžete vpravit do vzdálené sítě konfigurační mašinu. Ta bude něco stát, něco bude stát provoz a obměna (jednou doslouží). Bude spotřebovávat elektřinu. Možná ale může sloužit pro víc účelů. To se dá vypočítat - poměrně přesně.
c) Současné zařízení stejně musíte po několika letech vyměnit (doslouží). To bude stát nějaké Kč za nějakou dobu.
Nevyplatí se ho rovnou vyměnit?

A právě z této úvahy pak obvykle vyjde L2 tunel jako nejhorší řešení.

Tady je rozhovor s autorem WireGuardu- vysvetluje tam proc L2 pres VPN neni dobrej napad ;o)
https://twit.tv/shows/floss-weekly/episodes/468

BTW zivi se hackovanim korporatu na kontrakt, takze vsemozny slabiny VPN jsou jeho denni chleba.

Podobne zajimavej rozhovor je https://twit.tv/shows/triangulation/episodes/352 kde autor PGP a Blackphone vysvetluje proc se jeho pokus o naprosto bezpecnej foun ukazal jako nerealnej.

Enjoy!