<p dir="ltr"><br>
On Jul 7, 2016 6:58 PM, "Baptiste Jonglez" <<a href="mailto:baptiste@bitsofnetworks.org">baptiste@bitsofnetworks.org</a>> wrote:<br>
> Why not simply use the same technique as the opportunic keepalives, then?<br>
> (encrypted payload)</p>
<p dir="ltr">Because when persistent-keepalive-interval > keylifetime (2 minutes), this results in a new handshake, causing 3 packets instead of 1.</p>
<p dir="ltr">Also, why waste crypto cycles when you don't have to? If we're just trying to appease firewalls and NATs, then let's leave the problem at that level, not let it infect other layers. </p>
<p dir="ltr">><br>
> One small advantage over the "empty UDP packet" method is that it will<br>
> also refresh the "latest handshake" timer shown in wg (or whatever GUI<br>
> people will build on top of wireguard).  From a user perspective, it's<br>
> nice to know that the VPN is still alive.</p>
<p dir="ltr">No way josé. (In fact I wouldn't mind removing the beloved latest handshake field.) From the perspective of the sysadmin, wireguard must appear stateless. Fundamental design goal.</p>
<p dir="ltr">> [0 len could be bad]<br>
> 30 seconds?</p>
<p dir="ltr">I have the same set of speculations and concerns, but it's mostly just imaginary without real data, as you said. Maybe I'll write into NANOG?<br>
</p>