Недостатки WireGuard
1. WireGuard разрешает DNS-имя один раз: когда подключается в первый раз. Чтобы он уточнил, не изменилось ли это имя, его надо перезапустить, целиком.
2. WireGuard не позволяет указывать альтернативные точки подключения. То есть, у одного сервера может быть только один IP. Не знаю как он поведет себя в случае если DNS-имени соотвествует несколько адресов, но полагаю что возьмет первый и не будет заморачиваться.
3. WireGuard не позволяет построить сеть, в которой будет несколько равноправных серверов, которые бы перехватывали общую маршрутизацию друг у друга в случае выхода одного из строя. Т.е конструкция в конфиге клиента:
[Peer] # Сервер-1
AllowedIPs = 172.26.1.0/24
Endpoint = server1.tech:51844
[Peer] # Сервер-2
AllowedIPs = 172.26.1.0/24
Endpoint = server2.tech:51844
Работать не будет. Клиент будет пытаться маршрутизироваться через последний такой сервер в конфиге, и да, подключение к сервер-1 будет выполнено, но достучаться до него будет нельзя. Так же, естественно, нельзя будет достучаться до клиентов которые маршрутизируются через другой сервер в этой же сети. Логично, в принципе... но я так надеялся! :)
4. Виндовый клиент может одновременно подключаться только к одному конфигу. Два сразу - индийская национальная изба. Скорость работы виндового клиента сильно зависит от количества пиров внутри конфига. Я забацал 250, и сделал на винде сервер WireGuard - работает, и вполне неплохо, но загружается почти минуту, зохавав одно ядро только под себя.
Итого: под fullmesh-сеть по прежнему нет ничего лучше tinc.
Wireguard же чисто утилита построения туннелей для тех, кому не нравится IPsec. Ну и VPN с переадресацией всего трафика на мобилке из него тоже неплохой.
2. WireGuard не позволяет указывать альтернативные точки подключения. То есть, у одного сервера может быть только один IP. Не знаю как он поведет себя в случае если DNS-имени соотвествует несколько адресов, но полагаю что возьмет первый и не будет заморачиваться.
3. WireGuard не позволяет построить сеть, в которой будет несколько равноправных серверов, которые бы перехватывали общую маршрутизацию друг у друга в случае выхода одного из строя. Т.е конструкция в конфиге клиента:
[Peer] # Сервер-1
AllowedIPs = 172.26.1.0/24
Endpoint = server1.tech:51844
[Peer] # Сервер-2
AllowedIPs = 172.26.1.0/24
Endpoint = server2.tech:51844
Работать не будет. Клиент будет пытаться маршрутизироваться через последний такой сервер в конфиге, и да, подключение к сервер-1 будет выполнено, но достучаться до него будет нельзя. Так же, естественно, нельзя будет достучаться до клиентов которые маршрутизируются через другой сервер в этой же сети. Логично, в принципе... но я так надеялся! :)
4. Виндовый клиент может одновременно подключаться только к одному конфигу. Два сразу - индийская национальная изба. Скорость работы виндового клиента сильно зависит от количества пиров внутри конфига. Я забацал 250, и сделал на винде сервер WireGuard - работает, и вполне неплохо, но загружается почти минуту, зохавав одно ядро только под себя.
Итого: под fullmesh-сеть по прежнему нет ничего лучше tinc.
Wireguard же чисто утилита построения туннелей для тех, кому не нравится IPsec. Ну и VPN с переадресацией всего трафика на мобилке из него тоже неплохой.