Iritsi da ordua VPN sistema-administratzaile bizardunen tresna exotiko bat ez denean. Erabiltzaileek zeregin desberdinak dituzte, baina kontua da denek behar dutela VPN bat.
Gaur egungo VPN soluzioen arazoa da zuzen konfiguratzen zailak direla, mantentzea garestiak direla eta kalitate zalantzagarriko ondare-kodez beteta daudela.
Duela urte batzuk, Jason A. Donenfeld Kanadako informazioaren segurtasuneko espezialistak nahikoa zuela erabaki zuen eta lanean hasi zen. . WireGuard Linux nukleoan sartzeko prestatzen ari da eta laudorioak ere jaso ditu eta .
WireGuard-ek beste VPN irtenbide batzuen aldean dituen abantailak aldarrikatuak:
- Erabilera erraza.
- Kriptografia modernoa erabiltzen du: Noise protokolo markoa, Curve25519, ChaCha20, Poly1305, BLAKE2, SipHash24, HKDF, etab.
- Kode trinkoa eta irakurgarria, ahultasunak ikertzeko errazagoa.
- Errendimendu handikoa.
- Argia eta landua .
Zilarrezko bala bat aurkitu al da? OpenVPN eta IPSec lurperatzeko garaia al da? Horri aurre egitea erabaki nuen, eta aldi berean egin nuen .
Lan printzipioak
Funtzionamendu-printzipioak honela deskriba daitezke:
- WireGuard interfaze bat sortzen da eta gako pribatu bat eta IP helbidea esleitzen zaizkio. Beste kide batzuen ezarpenak kargatzen dira: haien gako publikoak, IP helbideak, etab.
- WireGuard interfazera iristen diren IP pakete guztiak UDPn kapsulatzen dira eta beste parekideak.
- Bezeroek zerbitzariaren IP helbide publikoa zehazten dute ezarpenetan. Zerbitzariak automatikoki ezagutzen ditu bezeroen kanpoko helbideak haietatik behar bezala autentifikatutako datuak jasotzen direnean.
- Zerbitzariak IP helbide publikoa alda dezake bere lana eten gabe. Aldi berean, alerta bat bidaliko die konektatutako bezeroei eta hegan eguneratuko dute haien konfigurazioa.
- Bideratze kontzeptua erabiltzen da . WireGuard-ek paketeak onartzen eta bidaltzen ditu parekidearen gako publikoan oinarrituta. Zerbitzariak behar bezala autentifikatutako pakete bat deszifratzen duenean, bere src eremua egiaztatzen da. Konfigurazioarekin bat badator
allowed-ipsautentikatutako parekidea, WireGuard interfazeak jasotzen du paketea. Irteerako pakete bat bidaltzean, dagokion prozedura gertatzen da: paketearen dst eremua hartzen da eta, horren arabera, dagokion peer hautatzen da, paketea bere gakoarekin sinatzen da, parekidearen gakoarekin enkriptatu eta urruneko amaierako puntura bidaltzen da. .
WireGuard-en oinarrizko logika guztiak 4 mila kode lerro baino gutxiago hartzen ditu, eta OpenVPN eta IPSec-ek ehunka mila lerro dituzte. Algoritmo kriptografiko modernoak onartzeko, Linux nukleoan API kriptografiko berri bat sartzea proposatzen da. . Momentu honetan, ideia ona den eztabaidatzen ari da.
produktibitatea
Errendimendu gehieneko abantaila (OpenVPN eta IPSec-ekin alderatuta) Linux sistemetan nabarituko da, WireGuard kernel modulu gisa ezartzen baita bertan. Horrez gain, macOS, Android, iOS, FreeBSD eta OpenBSD onartzen dira, baina horietan WireGuard erabiltzaile-espazioan exekutatzen da, ondoriozko errendimendu-ondorio guztiekin. Etorkizun hurbilean Windows laguntza gehitzea espero da.
Erreferentziazko emaitzak honekin :
Nire erabilera esperientzia
Ez naiz VPN aditua. Behin OpenVPN eskuz konfiguratu nuen eta oso neketsua izan zen, eta ez nuen IPSec probatu ere egin. Erabaki gehiegi hartu behar dira, oso erraza da oinetan tiro egitea. Hori dela eta, zerbitzaria konfiguratzeko prest egindako script-ak erabili ditut beti.
Beraz, WireGuard, nire ikuspuntutik, orokorrean aproposa da erabiltzailearentzat. Behe-mailako erabaki guztiak zehaztapenetan hartzen dira, beraz, VPN azpiegitura tipiko bat prestatzeko prozesuak minutu batzuk besterik ez ditu behar. Ia ezinezkoa da konfigurazioan iruzurra egitea.
Instalazio prozesua webgune ofizialean, bereizita nabarmendu nahiko nuke bikaina .
Enkriptazio-gakoak utilitateak sortzen ditu wg:
SERVER_PRIVKEY=$( wg genkey )
SERVER_PUBKEY=$( echo $SERVER_PRIVKEY | wg pubkey )
CLIENT_PRIVKEY=$( wg genkey )
CLIENT_PUBKEY=$( echo $CLIENT_PRIVKEY | wg pubkey )Ondoren, zerbitzariaren konfigurazio bat sortu behar duzu /etc/wireguard/wg0.conf eduki honekin:
[Interface]
Address = 10.9.0.1/24
PrivateKey = $SERVER_PRIVKEY
[Peer]
PublicKey = $CLIENT_PUBKEY
AllowedIPs = 10.9.0.2/32eta igo tunela gidoi batekin wg-quick:
sudo wg-quick up /etc/wireguard/wg0.confSystemd duten sistemetan hau erabil dezakezu horren ordez sudo systemctl start [email protected].
Bezeroaren makinan, sortu konfigurazio bat /etc/wireguard/wg0.conf:
[Interface]
PrivateKey = $CLIENT_PRIVKEY
Address = 10.9.0.2/24
[Peer]
PublicKey = $SERVER_PUBKEY
AllowedIPs = 0.0.0.0/0
Endpoint = 1.2.3.4:51820 # ΠΠ½Π΅ΡΠ½ΠΈΠΉ IP ΡΠ΅ΡΠ²Π΅ΡΠ°
PersistentKeepalive = 25 Eta igo tunela modu berean:
sudo wg-quick up /etc/wireguard/wg0.confZerbitzarian NAT konfiguratzea besterik ez da geratzen, bezeroak Internetera sartu ahal izateko, eta listo!
Kode-oinarriaren erabilera-erraztasun eta trinkotasun hori gakoen banaketa-funtzionalitatea ezabatuz lortu zen. Ez dago ziurtagiri-sistema konplexurik eta izu korporatibo hori guztia; enkriptazio-gako laburrak SSH gakoen antzera banatzen dira. Baina honek arazo bat dakar: WireGuard ez da hain erraza izango lehendik dauden sare batzuetan ezartzea.
Desabantailen artean, nabarmentzekoa da WireGuard-ek ez duela HTTP proxy baten bidez funtzionatuko, UDP protokoloa soilik baitago erabilgarri garraio gisa. Galdera sortzen da: posible izango al da protokoloa nahastea? Jakina, hau ez da VPN baten zeregin zuzena, baina OpenVPNrentzat, adibidez, HTTPSz mozorrotzeko moduak daude, herrialde totalitarioetako bizilagunei Internet guztiz erabiltzen laguntzen diena.
Findings
Laburbilduz, oso proiektu interesgarria eta itxaropentsua da, dagoeneko zerbitzari pertsonaletan erabil dezakezu. Zein da irabazia? Linux sistemetan errendimendu handia, konfiguratzeko eta eusteko erraztasuna, kode-oinarri trinkoa eta irakurgarria. Hala ere, goizegi da WireGuard-era azpiegitura konplexu bat transferitzeko presaka; merezi du Linux nukleoan sartzea itxarotea.
Nire (eta zure) denbora aurrezteko, garatu dut . Bere laguntzarekin, VPN pertsonal bat konfigura dezakezu zuretzako eta zure lagunentzako, horri buruz ezer ulertu ere egin gabe.
Iturria: www.habr.com