ওয়্যারগার্ড কি ভবিষ্যতের দুর্দান্ত ভিপিএন?

সময় এসেছে যখন ভিপিএন আর দাড়িওয়ালা সিসাডমিনদের কিছু বহিরাগত হাতিয়ার নয়। ব্যবহারকারীদের বিভিন্ন কাজ আছে, কিন্তু সত্য যে VPN সবার জন্য প্রয়োজনীয় হয়ে উঠেছে।

বর্তমান ভিপিএন সমাধানগুলির সমস্যা হল যে সেগুলি সঠিকভাবে কনফিগার করা কঠিন, রক্ষণাবেক্ষণ করা ব্যয়বহুল এবং সন্দেহজনক মানের উত্তরাধিকার কোডে পূর্ণ।

কয়েক বছর আগে, কানাডিয়ান তথ্য নিরাপত্তা বিশেষজ্ঞ জেসন এ. ডোনেনফেল্ড সিদ্ধান্ত নেন যে যথেষ্ট যথেষ্ট এবং কাজ শুরু করেছেন WireGuard. এখন ওয়্যারগার্ড লিনাক্স কার্নেলে অন্তর্ভুক্ত হওয়ার জন্য প্রস্তুত হচ্ছে এবং এমনকি প্রশংসাও পেয়েছে লিনাস টরভাল্ডস এবং ইন মার্কিন সিনেট.

অন্যান্য ভিপিএন সমাধানগুলির তুলনায় ওয়্যারগার্ডের দাবিকৃত সুবিধাগুলি:

• ব্যবহার করা সহজ.
• আধুনিক ক্রিপ্টোগ্রাফি ব্যবহার করে: নয়েজ প্রোটোকল ফ্রেমওয়ার্ক, Curve25519, ChaCha20, Poly1305, BLAKE2, SipHash24, HKDF, ইত্যাদি।
• কমপ্যাক্ট পঠনযোগ্য কোড, দুর্বলতার জন্য তদন্ত করা সহজ।
• উচ্চ কর্মক্ষমতা।
• পরিষ্কার এবং কারুকাজ স্পেসিফিকেশন.

রূপার বুলেট পাওয়া গেছে? এটা কি OpenVPN এবং IPSec কবর দেওয়ার সময়? আমি এটি মোকাবেলা করার সিদ্ধান্ত নিয়েছে, কিন্তু একই সময়ে আমি করেছি ব্যক্তিগত ভিপিএন সার্ভারের স্বয়ংক্রিয় ইনস্টলেশনের জন্য স্ক্রিপ্ট.

কাজের মূলনীতি

অপারেশনের নীতিগুলি নিম্নরূপ বর্ণনা করা যেতে পারে:

• একটি ওয়্যারগার্ড ইন্টারফেস তৈরি করা হয়, এটি একটি ব্যক্তিগত কী এবং একটি আইপি ঠিকানা বরাদ্দ করা হয়। অন্যান্য সহকর্মীদের সেটিংস লোড করা হয়: তাদের সর্বজনীন কী, আইপি ঠিকানা ইত্যাদি।
• ওয়্যারগার্ড ইন্টারফেসে আগত সমস্ত আইপি প্যাকেট ইউডিপিতে এনক্যাপসুলেট করা হয় এবং নিরাপদে বিতরণ করা হয় অন্যান্য জলদস্যু।
• ক্লায়েন্টরা সেটিংসে সার্ভারের সর্বজনীন IP ঠিকানা সেট করে। সার্ভার স্বয়ংক্রিয়ভাবে ক্লায়েন্টদের বাহ্যিক ঠিকানা শিখে যখন তাদের কাছ থেকে সঠিকভাবে প্রমাণীকৃত ডেটা আসে।
• সার্ভার কাজ ব্যাহত না করে পাবলিক আইপি ঠিকানা পরিবর্তন করতে পারে। একই সময়ে, এটি সংযুক্ত ক্লায়েন্টদের একটি বিজ্ঞপ্তি পাঠাবে এবং তারা উড়ে এসে তাদের কনফিগারেশন আপডেট করবে।
• রাউটিং ধারণা ব্যবহার করা হয় ক্রিপ্টোকি রাউটিং. ওয়্যারগার্ড পিয়ারের পাবলিক কী এর উপর ভিত্তি করে প্যাকেট গ্রহণ করে এবং পাঠায়। যখন সার্ভার একটি সঠিকভাবে প্রমাণীকৃত প্যাকেট ডিক্রিপ্ট করে, তখন এর src ক্ষেত্রটি পরীক্ষা করা হয়। কনফিগারেশনের সাথে মিলে গেলে allowed-ips প্রমাণীকৃত পিয়ার, তারপর প্যাকেটটি WireGuard ইন্টারফেস দ্বারা গৃহীত হয়। একটি বহির্গামী প্যাকেট পাঠানোর সময়, সংশ্লিষ্ট পদ্ধতিটি ঘটে: প্যাকেটের dst ক্ষেত্রটি নেওয়া হয় এবং এর উপর ভিত্তি করে, সংশ্লিষ্ট পিয়ার নির্বাচন করা হয়, প্যাকেটটি তার নিজস্ব কী দিয়ে স্বাক্ষর করা হয়, পিয়ারের কী দিয়ে এনক্রিপ্ট করা হয় এবং রিমোটে পাঠানো হয়। শেষপ্রান্ত.

ওয়্যারগার্ডের সম্পূর্ণ মূল যুক্তিতে কোডের 4 হাজার লাইনেরও কম লাগে, যেখানে OpenVPN এবং IPSec-এ কয়েক হাজার লাইন রয়েছে। আধুনিক ক্রিপ্টোগ্রাফিক অ্যালগরিদম সমর্থন করার জন্য, লিনাক্স কার্নেলে একটি নতুন ক্রিপ্টোগ্রাফিক API অন্তর্ভুক্ত করার প্রস্তাব করা হয়েছে। দস্তা. এই মুহুর্তে, এই ধারণাটি কতটা ভাল তা নিয়ে আলোচনা চলছে।

উৎপাদনশীলতা

সর্বাধিক কর্মক্ষমতা সুবিধা (ওপেনভিপিএন এবং আইপিসেকের তুলনায়) লিনাক্স সিস্টেমে লক্ষণীয় হবে, যেহেতু ওয়্যারগার্ড সেখানে কার্নেল মডিউল হিসাবে প্রয়োগ করা হয়েছে। উপরন্তু, macOS, Android, iOS, FreeBSD এবং OpenBSD সমর্থিত, কিন্তু তারা পরবর্তী সমস্ত কর্মক্ষমতার প্রভাব সহ ব্যবহারকারীর জায়গায় WireGuard চালায়। উইন্ডোজ সমর্থন অদূর ভবিষ্যতে যোগ করা হবে বলে আশা করা হচ্ছে।

সঙ্গে বেঞ্চমার্ক ফলাফল অফিসিয়াল সাইট:

আমার ব্যবহারের অভিজ্ঞতা

আমি ভিপিএন সেটআপ বিশেষজ্ঞ নই। একবার আমি হ্যান্ডেলগুলির সাথে OpenVPN সেট আপ করেছি এবং এটি খুব ভীষন ছিল, এবং IPSec চেষ্টাও করেনি। অনেক সিদ্ধান্ত নেওয়ার জন্য, নিজেকে পায়ে গুলি করা খুব সহজ। অতএব, সার্ভার কনফিগার করার জন্য আমি সর্বদা রেডিমেড স্ক্রিপ্ট ব্যবহার করেছি।

সুতরাং, ওয়্যারগার্ড, আমার দৃষ্টিকোণ থেকে, সাধারণত ব্যবহারকারীর জন্য আদর্শ। সমস্ত নিম্ন-স্তরের সিদ্ধান্তগুলি স্পেসিফিকেশনে নেওয়া হয়, তাই একটি সাধারণ VPN অবকাঠামো প্রস্তুত করার প্রক্রিয়া মাত্র কয়েক মিনিট সময় নেয়। কনফিগারেশনে নাফাকপিট প্রায় অসম্ভব।

ইনস্টলেশন প্রক্রিয়া বিস্তারিত বর্ণনা করা হয়েছে অফিসিয়াল ওয়েবসাইটে, আমি আলাদাভাবে চমৎকার নোট করতে চাই OpenWRT সমর্থন.

এনক্রিপশন কী ইউটিলিটি দ্বারা তৈরি করা হয় wg:

SERVER_PRIVKEY=$( wg genkey )
SERVER_PUBKEY=$( echo $SERVER_PRIVKEY | wg pubkey )
CLIENT_PRIVKEY=$( wg genkey )
CLIENT_PUBKEY=$( echo $CLIENT_PRIVKEY | wg pubkey )

এর পরে, আপনাকে একটি সার্ভার কনফিগার তৈরি করতে হবে /etc/wireguard/wg0.conf নিম্নলিখিত বিষয়বস্তু সহ:

[Interface]
Address = 10.9.0.1/24
PrivateKey = $SERVER_PRIVKEY
[Peer]
PublicKey = $CLIENT_PUBKEY
AllowedIPs = 10.9.0.2/32

এবং একটি স্ক্রিপ্ট দিয়ে টানেল বাড়ান wg-quick:

sudo wg-quick up /etc/wireguard/wg0.conf

systemd সহ সিস্টেমে, আপনি পরিবর্তে এটি ব্যবহার করতে পারেন sudo systemctl start [email protected].

ক্লায়েন্ট মেশিনে, একটি কনফিগার তৈরি করুন /etc/wireguard/wg0.conf:

[Interface]
PrivateKey = $CLIENT_PRIVKEY
Address = 10.9.0.2/24
[Peer]
PublicKey = $SERVER_PUBKEY
AllowedIPs = 0.0.0.0/0
Endpoint = 1.2.3.4:51820 # Внешний IP сервера
PersistentKeepalive = 25 

এবং একই ভাবে টানেল বাড়ান:

sudo wg-quick up /etc/wireguard/wg0.conf

এটি সার্ভারে NAT কনফিগার করার জন্য রয়ে গেছে যাতে ক্লায়েন্টরা ইন্টারনেট অ্যাক্সেস করতে পারে, এবং আপনি সম্পন্ন করেছেন!

কী বন্টন কার্যকারিতা বাদ দিয়ে কোড বেসের ব্যবহারে এই ধরনের সহজতা এবং কম্প্যাক্টনেস অর্জন করা হয়েছিল। শংসাপত্রের কোন জটিল সিস্টেম নেই এবং এই সমস্ত কর্পোরেট হরর, ছোট এনক্রিপশন কীগুলি প্রায় SSH কীগুলির মতো বিতরণ করা হয়। কিন্তু এটি একটি সমস্যা উত্থাপন করে: কিছু বিদ্যমান নেটওয়ার্কে ওয়্যারগার্ড বাস্তবায়ন করা সহজ হবে না।

ত্রুটিগুলির মধ্যে, এটি লক্ষণীয় যে ওয়্যারগার্ড একটি HTTP প্রক্সির মাধ্যমে কাজ করবে না, যেহেতু একটি পরিবহন হিসাবে শুধুমাত্র UDP প্রোটোকল রয়েছে। প্রশ্ন জাগে, প্রোটোকলকে অস্পষ্ট করা কি সম্ভব হবে? অবশ্যই, এটি ভিপিএন-এর সরাসরি কাজ নয়, তবে ওপেনভিপিএন-এর জন্য, উদাহরণস্বরূপ, এইচটিটিপিএস হিসাবে নিজেদের ছদ্মবেশ দেওয়ার উপায় রয়েছে, যা সর্বগ্রাসী দেশগুলির বাসিন্দাদের সম্পূর্ণরূপে ইন্টারনেট ব্যবহার করতে সহায়তা করে।

তথ্যও

সংক্ষেপে, এটি একটি খুব আকর্ষণীয় এবং প্রতিশ্রুতিশীল প্রকল্প, আপনি ইতিমধ্যে ব্যক্তিগত সার্ভারে এটি ব্যবহার করতে পারেন। লাভ কি? লিনাক্স সিস্টেমে উচ্চ কর্মক্ষমতা, সেটআপ এবং রক্ষণাবেক্ষণের সহজতা, কমপ্যাক্ট এবং পঠনযোগ্য কোড বেস। যাইহোক, ওয়্যারগার্ডে জটিল পরিকাঠামো স্থানান্তর করার জন্য তাড়াহুড়া করা খুব তাড়াতাড়ি, এটি লিনাক্স কার্নেলে অন্তর্ভুক্তির জন্য অপেক্ষা করা মূল্যবান।

আমার (এবং আপনার) সময় বাঁচাতে, আমি বিকাশ করেছি ওয়্যারগার্ড স্বয়ংক্রিয় ইনস্টলার. এটির সাহায্যে, আপনি এটি সম্পর্কে কিছু না বুঝেই নিজের এবং আপনার বন্ধুদের জন্য একটি ব্যক্তিগত VPN সেট আপ করতে পারেন৷

উত্স: www.habr.com