Wireguard wurde vermutlich u.A. deswegen in den Kernel aufgenommen weil es so simpel ist ~4000 Zeilen Code. Das ist minimal verglichen mit OpenSWAN oder OpenVPN. Der Vergleich zwischen beiden passt nicht ganz.
Der generelle Unterschied zwischen OpenVPN/OpenSWAN und WireGuard ist, dass WireGuard eine Art Point-to-Point Netzwerk darstellt. Erinnert ein Wenig an BGP, was nicht explizit definiert ist, wird nicht ausgeführt. Man definiert lokal eine liste von Peers (Nachbarn), tausch Schlüssel aus für die Point-to-point Verbindung. Jedes IP Packet wird lokal verschlüsselt, über das Segment geschoben. Am anderen Ende wird es entschlüsselt, geprüft ob von legitimer Quelle, dann weitergeleitet. Wenn nicht näher definiert wird das Packet gedroppt. Punkt ist jeder partizipierender Knoten muss seinem Nachbarn vertrauen. Und jeder Knoten, Peer, hat ein lokales Routing für ausgehende IP Packete, und eine ACL für ankommende IP Packete.
Alle weitern Aufgaben sollen von "anderen" Schichten gelöst werden. D.h. sollte man wireguard mit z.B. Quagga koppeln, könnte man mit ein Wenig Aufwand und Liebe zum Skripten einen Ersatz für OpenVPN oder OpenSWAN realisieren mit dynamischen IP Routing.
Weniger ist oft mehr. Und wo weniger Code ist, gibt es auch tendenziell weniger Platz für Bugs.
Gemäß RFC1925: ... (12) In protocol design, perfection has been reached not when there is nothing left to add, but when there is nothing left to take away.
Wireguard wurde vermutlich u.A. deswegen in den Kernel aufgenommen weil es so simpel ist ~4000 Zeilen Code. Das ist minimal verglichen mit OpenSWAN oder OpenVPN. Der Vergleich zwischen beiden passt nicht ganz.
Der generelle Unterschied zwischen OpenVPN/OpenSWAN und WireGuard ist, dass WireGuard eine Art Point-to-Point Netzwerk darstellt. Erinnert ein Wenig an BGP, was nicht explizit definiert ist, wird nicht ausgeführt. Man definiert lokal eine liste von Peers (Nachbarn), tausch Schlüssel aus für die Point-to-point Verbindung. Jedes IP Packet wird lokal verschlüsselt, über das Segment geschoben. Am anderen Ende wird es entschlüsselt, geprüft ob von legitimer Quelle, dann weitergeleitet. Wenn nicht näher definiert wird das Packet gedroppt. Punkt ist jeder partizipierender Knoten muss seinem Nachbarn vertrauen. Und jeder Knoten, Peer, hat ein lokales Routing für ausgehende IP Packete, und eine ACL für ankommende IP Packete.
Alle weitern Aufgaben sollen von "anderen" Schichten gelöst werden. D.h. sollte man wireguard mit z.B. Quagga koppeln, könnte man mit ein Wenig Aufwand und Liebe zum Skripten einen Ersatz für OpenVPN oder OpenSWAN realisieren mit dynamischen IP Routing.
Weniger ist oft mehr. Und wo weniger Code ist, gibt es auch tendenziell weniger Platz für Bugs.
Gemäß RFC1925:
...
(12) In protocol design, perfection has been reached not when there
is nothing left to add, but when there is nothing left to take
away.