Air sgàth WireGuard
Uidheam
- Raspberry Pi 3 le modal LTE agus IP poblach. Bidh frithealaiche VPN ann (air an ainmeachadh an-seo mar coisiche)
- Fòn Android a dh’ fheumas VPN a chleachdadh airson a h-uile conaltradh
- Linux laptop a dh'fheumas VPN a chleachdadh a-mhàin taobh a-staigh an lìonra
Feumaidh a h-uile inneal a tha a’ ceangal ri VPN a bhith comasach air ceangal ris a h-uile inneal eile. Mar eisimpleir, bu chòir gum biodh e comasach dha fòn ceangal ri frithealaiche lìn air laptop ma tha an dà inneal mar phàirt de lìonra VPN. Ma tha an suidheachadh sìmplidh gu leòr, faodaidh tu smaoineachadh air ceangal ri VPN agus deasg (tro Ethernet).
Leis gu bheil ceanglaichean uèirleas is uèirleas a’ fàs nas tèarainte thar ùine (
Stàladh bathar-bog
Tha WireGuard a’ toirt seachad
Tha am Fedora Linux 31 as ùire agam agus bha mi ro leisg an leabhar-làimhe a leughadh mus do chuir mi a-steach e. Dìreach lorg na pacaidean wireguard-tools
, chuir iad a-steach iad, agus an uairsin cha b 'urrainn dhomh a-mach carson nach robh dad ag obair. Nochd tuilleadh sgrùdaidh nach robh am pasgan agam air a chuir a-steach wireguard-dkms
(le dràibhear lìonra), agus cha robh e ann an stòr mo chuairteachadh.
Nam biodh mi air an stiùireadh a leughadh, bhithinn air na ceumannan ceart a ghabhail:
$ sudo dnf copr enable jdoss/wireguard
$ sudo dnf install wireguard-dkms wireguard-tools
Tha an cuairteachadh Buster Raspbian agam air a chuir a-steach air mo Raspberry Pi, tha pasgan ann mu thràth wireguard
, stàlaich e:
$ sudo apt install wireguard
Stàlaich mi an aplacaid air mo fòn Android
Stàladh iuchraichean
Gus nodan a dhearbhadh, bidh Wireguard a’ cleachdadh sgeama iuchair phrìobhaideach / phoblach sìmplidh gus nodan VPN a dhearbhadh. Is urrainn dhut iuchraichean VPN a chruthachadh gu furasta leis an àithne a leanas:
$ wg genkey | tee wg-laptop-private.key | wg pubkey > wg-laptop-public.key
$ wg genkey | tee wg-server-private.key | wg pubkey > wg-server-public.key
$ wg genkey | tee wg-mobile-private.key | wg pubkey > wg-mobile-public.key
Bheir seo dhuinn trì prìomh chàraidean (sia faidhlichean). Cha toir sinn iomradh air faidhlichean ann an configs, ach dèan lethbhreac den t-susbaint an seo: tha gach iuchair mar aon loidhne ann am base64.
A’ cruthachadh faidhle rèiteachaidh airson frithealaiche VPN (Raspberry Pi)
Tha an rèiteachadh gu math sìmplidh, chruthaich mi am faidhle a leanas /etc/wireguard/wg0.conf
:
[Interface]
Address = 10.200.200.1/24
ListenPort = 51820
PrivateKey = <copy private key from wg-server-private.key>
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o wwan0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o wwan0 -j MASQUERADE
[Peer]
# laptop
PublicKey = <copy public key from wg-laptop-public.key>
AllowedIPs = 10.200.200.2/32
[Peer]
# mobile phone
PublicKey = <copy public key from wg-mobile-public.key>
AllowedIPs = 10.200.200.3/32
Nota no dhà:
- Anns na h-àiteachan iomchaidh feumaidh tu na loidhnichean a chuir a-steach bho na faidhlichean leis na h-iuchraichean
- Tha an VPN agam a’ cleachdadh raon a-staigh
10.200.200.0/24
- Airson sgiobaidhean
PostUp
/PostDown
Tha eadar-aghaidh lìonra taobh a-muigh agam wwan0, is dòcha gu bheil fear eile agad (mar eisimpleir, eth0)
Tha an lìonra VPN air a thogail gu furasta leis an àithne a leanas:
$ sudo wg-quick up wg0
Aon mhion-fhiosrachadh beag: mar fhrithealaiche DNS, chleachd mi dnsmasq
ceangailte ri eadar-aghaidh lìonra br0
, chuir mi innealan ris cuideachd wg0
gu liosta nan innealan ceadaichte. Ann an dnsmasq, thèid seo a dhèanamh le bhith a’ cur loidhne ùr leis an eadar-aghaidh lìonra ris an fhaidhle rèiteachaidh /etc/dnsmasq.conf
mar eisimpleir:
interface=br0
interface=wg0
Cuideachd, chuir mi riaghailt iptable ris gus trafaic a cheadachadh don phort èisteachd UDP (51280):
$ sudo iptables -I INPUT -p udp --dport 51820 -j ACCEPT
A-nis gu bheil a h-uile càil ag obair, is urrainn dhuinn foillseachadh fèin-ghluasadach an tunail VPN a chlàradh:
$ sudo systemctl enable [email protected]
Suidheachadh neach-dèiligidh laptop
Air an laptop, cruthaich faidhle rèiteachaidh /etc/wireguard/wg0.conf
leis na h-aon shuidheachaidhean:
[Interface]
Address = 10.200.200.2/24
PrivateKey = <copy private key from wg-laptop-private.key>
[Peer]
PublicKey = <copy public key from wg-server-public.key>
AllowedIPs = 10.200.200.0/24
Endpoint = edgewalker:51820
Notaichean:
- An àite edgewalker, feumaidh tu IP poblach no aoigheachd frithealaiche VPN a shònrachadh
- Le bhith a ’suidheachadh
AllowedIPs
air10.200.200.0/24
, cha bhith sinn a’ cleachdadh ach an VPN gus faighinn chun lìonra a-staigh. Leanaidh trafaic gu gach seòladh IP / frithealaiche eile a’ dol tro shianalan fosgailte “cunbhalach”. Thèid am frithealaiche DNS ro-shuidhichte air an laptop a chleachdadh cuideachd.
Airson deuchainn agus cur air bhog fèin-ghluasadach, bidh sinn a’ cleachdadh na h-aon òrdughan wg-quick
и systemd
:
$ sudo wg-quick up wg0
$ sudo systemctl enable [email protected]
A 'stèidheachadh neach-dèiligidh air fòn Android
Airson fòn Android, bidh sinn a’ cruthachadh faidhle rèiteachaidh glè choltach (canaidh sinn e mobile.conf
):
[Interface]
Address = 10.200.200.3/24
PrivateKey = <copy private key from wg-mobile-private.key>
DNS = 10.200.200.1
[Peer]
PublicKey = <copy public key from wg-server-public.key>
AllowedIPs = 0.0.0.0/0
Endpoint = edgewalker:51820
Eu-coltach ri rèiteachadh an laptop, bu chòir don fhòn ar frithealaiche VPN a chleachdadh mar an t-seirbheisiche DNS aige (sreang DNS
), a bharrachd air a dhol seachad air a h-uile trafaic tron tunail VPN (AllowedIPs = 0.0.0.0/0
).
An àite am faidhle a chopaigeadh chun inneal gluasadach agad, faodaidh tu a thionndadh gu còd QR:
$ sudo apt install qrencode
$ qrencode -t ansiutf8 < mobile.conf
Thèid an còd QR a chuir a-mach chun consol mar ASCII. Faodar a sganadh bhon app Android VPN agus tunail VPN a stèidheachadh gu fèin-ghluasadach.
co-dhùnadh
Tha stèidheachadh WireGuard dìreach draoidheil an taca ri OpenVPN.
Source: www.habr.com