Mae'r amser wedi dod pan nad yw VPN bellach yn offeryn egsotig i weinyddwyr system barfog. Mae gan ddefnyddwyr wahanol dasgau, ond y ffaith yw bod angen VPN ar bawb.
Y broblem gydag atebion VPN cyfredol yw eu bod yn anodd eu ffurfweddu'n gywir, yn ddrud i'w cynnal, ac yn llawn cod etifeddiaeth o ansawdd amheus.
Sawl blwyddyn yn ôl, penderfynodd yr arbenigwr diogelwch gwybodaeth o Ganada, Jason A. Donenfeld, ei fod wedi cael digon ohono a dechreuodd weithio arno . Mae WireGuard bellach yn cael ei baratoi i'w gynnwys yn y cnewyllyn Linux ac mae hyd yn oed wedi derbyn canmoliaeth gan a .
Manteision honedig WireGuard dros atebion VPN eraill:
- Hawdd i'w defnyddio.
- Yn defnyddio cryptograffeg fodern: Fframwaith protocol sŵn, Curve25519, ChaCha20, Poly1305, BLAKE2, SipHash24, HKDF, ac ati.
- Cod cryno, darllenadwy, sy'n haws ymchwilio iddo am wendidau.
- Perfformiad uchel.
- Clir a chywrain .
A ddarganfuwyd bwled arian? A yw'n bryd claddu OpenVPN ac IPSec? Penderfynais ddelio â hyn, ac ar yr un pryd fe wnes i .
Egwyddorion gwaith
Gellir disgrifio'r egwyddorion gweithredu fel hyn:
- Crëir rhyngwyneb WireGuard a neilltuir allwedd breifat a chyfeiriad IP iddo. Mae gosodiadau cyfoedion eraill yn cael eu llwytho: eu bysellau cyhoeddus, cyfeiriadau IP, ac ati.
- Mae'r holl becynnau IP sy'n cyrraedd rhyngwyneb WireGuard wedi'u crynhoi mewn CDU a cyfoedion eraill.
- Mae cleientiaid yn nodi cyfeiriad IP cyhoeddus y gweinydd yn y gosodiadau. Mae'r gweinydd yn adnabod cyfeiriadau allanol cleientiaid yn awtomatig pan dderbynnir data sydd wedi'i ddilysu'n gywir ganddynt.
- Gall y gweinydd newid y cyfeiriad IP cyhoeddus heb dorri ar draws ei waith. Ar yr un pryd, bydd yn anfon rhybudd at gleientiaid cysylltiedig a byddant yn diweddaru eu ffurfweddiad ar y hedfan.
- Defnyddir y cysyniad o lwybro . Mae WireGuard yn derbyn ac yn anfon pecynnau yn seiliedig ar allwedd gyhoeddus y cyfoedion. Pan fydd y gweinydd yn dadgryptio pecyn sydd wedi'i ddilysu'n gywir, mae ei faes src yn cael ei wirio. Os yw'n cyfateb i'r ffurfweddiad
allowed-ipscyfoedion dilys, mae'r pecyn yn cael ei dderbyn gan y rhyngwyneb WireGuard. Wrth anfon pecyn sy'n mynd allan, mae'r weithdrefn gyfatebol yn digwydd: cymerir maes dst y pecyn ac, yn seiliedig arno, dewisir y cymar cyfatebol, mae'r pecyn wedi'i lofnodi â'i allwedd, wedi'i amgryptio ag allwedd y cyfoedion a'i anfon i'r pwynt terfyn anghysbell .
Mae holl resymeg graidd WireGuard yn cymryd llai na 4 mil o linellau o god, tra bod gan OpenVPN ac IPSec gannoedd o filoedd o linellau. Er mwyn cefnogi algorithmau cryptograffig modern, cynigir cynnwys API cryptograffig newydd yn y cnewyllyn Linux . Mae trafodaeth yn mynd rhagddi ar hyn o bryd ynghylch a yw hyn yn syniad da.
Cynhyrchiant
Bydd y fantais perfformiad uchaf (o'i gymharu ag OpenVPN ac IPSec) yn amlwg ar systemau Linux, gan fod WireGuard yn cael ei weithredu fel modiwl cnewyllyn yno. Yn ogystal, cefnogir macOS, Android, iOS, FreeBSD ac OpenBSD, ond ynddynt mae WireGuard yn rhedeg yn y gofod defnyddiwr gyda'r holl ganlyniadau perfformiad dilynol. Disgwylir i gefnogaeth Windows gael ei ychwanegu yn y dyfodol agos.
Meincnodi canlyniadau gyda :
Fy mhrofiad defnydd
Dydw i ddim yn arbenigwr VPN. Fe wnes i sefydlu OpenVPN â llaw unwaith ac roedd yn ddiflas iawn, ac ni wnes i hyd yn oed roi cynnig ar IPSec. Mae gormod o benderfyniadau i'w gwneud, mae'n hawdd iawn saethu'ch hun yn y droed. Felly, roeddwn bob amser yn defnyddio sgriptiau parod i ffurfweddu'r gweinydd.
Felly, mae WireGuard, o'm safbwynt i, yn gyffredinol ddelfrydol ar gyfer y defnyddiwr. Gwneir pob penderfyniad lefel isel yn y fanyleb, felly dim ond ychydig funudau y mae'r broses o baratoi seilwaith VPN nodweddiadol yn ei gymryd. Mae bron yn amhosibl twyllo yn y ffurfweddiad.
Proses osod ar y wefan swyddogol, hoffwn nodi ar wahân y rhagorol .
Mae allweddi amgryptio yn cael eu cynhyrchu gan y cyfleustodau wg:
SERVER_PRIVKEY=$( wg genkey )
SERVER_PUBKEY=$( echo $SERVER_PRIVKEY | wg pubkey )
CLIENT_PRIVKEY=$( wg genkey )
CLIENT_PUBKEY=$( echo $CLIENT_PRIVKEY | wg pubkey )Nesaf, mae angen i chi greu cyfluniad gweinydd /etc/wireguard/wg0.conf gyda'r cynnwys canlynol:
[Interface]
Address = 10.9.0.1/24
PrivateKey = $SERVER_PRIVKEY
[Peer]
PublicKey = $CLIENT_PUBKEY
AllowedIPs = 10.9.0.2/32a chodi'r twnel gyda sgript wg-quick:
sudo wg-quick up /etc/wireguard/wg0.confAr systemau gyda systemd gallwch ddefnyddio hwn yn lle hynny sudo systemctl start [email protected].
Ar y peiriant cleient, creu config /etc/wireguard/wg0.conf:
[Interface]
PrivateKey = $CLIENT_PRIVKEY
Address = 10.9.0.2/24
[Peer]
PublicKey = $SERVER_PUBKEY
AllowedIPs = 0.0.0.0/0
Endpoint = 1.2.3.4:51820 # Внешний IP сервера
PersistentKeepalive = 25 A chodwch y twnnel yn yr un modd:
sudo wg-quick up /etc/wireguard/wg0.confY cyfan sydd ar ôl yw ffurfweddu NAT ar y gweinydd fel y gall cleientiaid gael mynediad i'r Rhyngrwyd, ac rydych chi wedi gorffen!
Cyflawnwyd y rhwyddineb defnydd hwn a chrynoder y sylfaen cod trwy ddileu'r swyddogaeth ddosbarthu allweddol. Nid oes system dystysgrif gymhleth a'r holl arswyd corfforaethol hwn; dosberthir allweddi amgryptio byr yn debyg iawn i allweddi SSH. Ond mae hyn yn peri problem: ni fydd WireGuard mor hawdd ei weithredu ar rai rhwydweithiau presennol.
Ymhlith yr anfanteision, mae'n werth nodi na fydd WireGuard yn gweithio trwy ddirprwy HTTP, gan mai dim ond protocol y CDU sydd ar gael fel cludiant. Mae'r cwestiwn yn codi: a fydd hi'n bosibl cuddio'r protocol? Wrth gwrs, nid tasg uniongyrchol VPN yw hon, ond i OpenVPN, er enghraifft, mae yna ffyrdd i guddio'i hun fel HTTPS, sy'n helpu trigolion gwledydd totalitaraidd i ddefnyddio'r Rhyngrwyd yn llawn.
Canfyddiadau
I grynhoi, mae hwn yn brosiect diddorol ac addawol iawn, gallwch chi ei ddefnyddio eisoes ar weinyddion personol. Beth yw'r elw? Perfformiad uchel ar systemau Linux, rhwyddineb gosod a chefnogaeth, sylfaen cod gryno a darllenadwy. Fodd bynnag, mae'n rhy gynnar i ruthro i drosglwyddo seilwaith cymhleth i WireGuard; mae'n werth aros i'w gynnwys yn y cnewyllyn Linux.
Er mwyn arbed fy (a'ch) amser, datblygais . Gyda'i help, gallwch chi sefydlu VPN personol i chi'ch hun a'ch ffrindiau heb hyd yn oed ddeall unrhyw beth amdano.
Ffynhonnell: hab.com