ProHoster > Blog > Rianachd > An e WireGuard an VPN sgoinneil san àm ri teachd?

An e WireGuard an VPN sgoinneil san àm ri teachd?

An e WireGuard an VPN sgoinneil san àm ri teachd?

Tha an t-àm air tighinn nuair nach eil VPN tuilleadh na inneal coimheach de luchd-rianachd siostam feusagach. Tha gnìomhan eadar-dhealaichte aig luchd-cleachdaidh, ach is e an fhìrinn gu bheil feum aig a h-uile duine air VPN.

Is e an duilgheadas le fuasglaidhean VPN gnàthach gu bheil iad duilich an rèiteachadh gu ceart, daor an cumail suas, agus gu bheil iad làn de chòd dìleab de chàileachd teagmhach.

O chionn grunn bhliadhnaichean, cho-dhùin eòlaiche tèarainteachd fiosrachaidh à Canada Jason A. Donenfeld gu robh e air gu leòr dheth fhaighinn agus thòisich e ag obair air Air adhart gu clàr na làraich. Tha WireGuard a-nis ga ullachadh airson a thoirt a-steach don kernel Linux agus tha e eadhon air moladh fhaighinn bho Linus Torvalds agus a-staigh Seanadh na SA.

Buannachdan tagraidh WireGuard thairis air fuasglaidhean VPN eile:

  • Furasta a chleachdadh.
  • A’ cleachdadh crioptachadh ùr-nodha: frèam protocol fuaim, Curve25519, ChaCha20, Poly1305, BLAKE2, SipHash24, HKDF, msaa.
  • Còd teann, furasta a leughadh, nas fhasa a sgrùdadh airson so-leòntachd.
  • Coileanadh àrd.
  • Soilleir agus mionaideach sònrachadh.

An deach peilear airgid a lorg? A bheil an t-àm ann OpenVPN agus IPSec a thiodhlacadh? Cho-dhùin mi dèiligeadh ri seo, agus aig an aon àm rinn mi sgriobt airson frithealaiche VPN pearsanta a chuir a-steach gu fèin-ghluasadach.

Prionnsapalan obrach

Faodar na prionnsapalan obrachaidh a mhìneachadh rudeigin mar seo:

  • Tha eadar-aghaidh WireGuard air a chruthachadh agus tha iuchair phrìobhaideach agus seòladh IP air a shònrachadh dha. Tha roghainnean co-aoisean eile air an luchdachadh: na h-iuchraichean poblach aca, seòlaidhean IP, msaa.
  • Tha a h-uile pacaid IP a ruigeas an eadar-aghaidh WireGuard air an gabhail a-steach ann an UDP agus air a lìbhrigeadh gu sàbhailte co-aoisean eile.
  • Bidh luchd-dèiligidh a’ sònrachadh seòladh IP poblach an fhrithealaiche anns na roghainnean. Bidh am frithealaiche gu fèin-obrachail ag aithneachadh seòlaidhean taobh a-muigh luchd-dèiligidh nuair a gheibhear dàta dearbhte ceart bhuapa.
  • Faodaidh am frithealaiche an seòladh IP poblach atharrachadh gun a bhith a’ cur bacadh air an obair aige. Aig an aon àm, cuiridh e fios gu teachdaichean ceangailte agus bheir iad ùrachadh air an rèiteachadh aca air an itealan.
  • Tha bun-bheachd sligheachaidh air a chleachdadh Routing Cryptokey. Bidh WireGuard a’ gabhail ri agus a’ cur phasganan stèidhichte air iuchair phoblach an co-aoisean. Nuair a dhì-chrioptaicheas am frithealaiche pacaid a chaidh a dhearbhadh gu ceart, thèid an raon src aige a sgrùdadh. Ma tha e a rèir an rèiteachaidh allowed-ips co-aoisean dearbhte, gheibhear am pasgan leis an eadar-aghaidh WireGuard. Nuair a chuireas tu pacaid a-mach, bidh am modh-obrach co-fhreagarrach a’ tachairt: thèid raon dst a’ phacaid a ghabhail agus, stèidhichte air, tha an co-sheòrsach air a thaghadh, tha am paca air a shoidhnigeadh leis an iuchair aige, air a chrioptachadh le iuchair an t-seise agus air a chuir chun phuing crìochnachaidh iomallach .

Bidh a h-uile loidsig bunaiteach aig WireGuard a’ toirt suas nas lugha na 4 mìle loidhne de chòd, agus tha ceudan de mhìltean de loidhnichean aig OpenVPN agus IPSec. Gus taic a thoirt do algorithms criptografach an latha an-diugh, thathas a’ moladh API criptografach ùr a thoirt a-steach don kernel Linux Zinc. Tha deasbad a’ dol air adhart an-dràsta an e deagh bheachd a tha seo.

Coileanadh

Bidh am buannachd coileanaidh as àirde (an taca ri OpenVPN agus IPSec) ri fhaicinn air siostaman Linux, leis gu bheil WireGuard air a chuir an gnìomh mar mhodal kernel an sin. A bharrachd air an sin, tha macOS, Android, iOS, FreeBSD agus OpenBSD a’ faighinn taic, ach annta bidh WireGuard a’ ruith ann an àite luchd-cleachdaidh leis a h-uile buaidh dèanadais a thig às. Thathas an dùil gun tèid taic Windows a chuir ris a dh’ aithghearr.

Toraidhean slat-tomhais le Ceanglaichean làraich:

An e WireGuard an VPN sgoinneil san àm ri teachd?

An t-eòlas cleachdaidh agam

Chan e eòlaiche VPN a th’ annam. Stèidhich mi OpenVPN le làimh aon uair agus bha e gu math tedious, agus cha do dh'fheuch mi eadhon IPSec. Tha cus cho-dhùnaidhean ri dhèanamh, tha e glè fhurasta do losgadh fhèin nad chas. Mar sin, chleachd mi an-còmhnaidh sgriobtaichean deiseil gus am frithealaiche a rèiteachadh.

Mar sin, tha WireGuard, bho mo shealladh, sa chumantas air leth freagarrach airson an neach-cleachdaidh. Tha a h-uile co-dhùnadh ìre ìosal air a dhèanamh anns an t-sònrachadh, agus mar sin cha toir am pròiseas ullachadh bun-structar VPN àbhaisteach ach beagan mhionaidean. Tha e cha mhòr do-dhèanta a bhith meallta anns an rèiteachadh.

Pròiseas stàlaidh air a mhìneachadh gu mionaideach air an làrach-lìn oifigeil, bu mhath leam fa-leth a thoirt fa-near an sàr-mhath Taic OpenWRT.

Bithear a’ cruthachadh iuchraichean crioptachaidh leis a’ ghoireas wg:

SERVER_PRIVKEY=$( wg genkey )
SERVER_PUBKEY=$( echo $SERVER_PRIVKEY | wg pubkey )
CLIENT_PRIVKEY=$( wg genkey )
CLIENT_PUBKEY=$( echo $CLIENT_PRIVKEY | wg pubkey )

An ath rud, feumaidh tu config frithealaiche a chruthachadh /etc/wireguard/wg0.conf leis an t-susbaint a leanas:

[Interface]
Address = 10.9.0.1/24
PrivateKey = $SERVER_PRIVKEY
[Peer]
PublicKey = $CLIENT_PUBKEY
AllowedIPs = 10.9.0.2/32

agus tog an tunail le sgriob wg-quick:

sudo wg-quick up /etc/wireguard/wg0.conf

Air siostaman le systemd faodaidh tu seo a chleachdadh na àite sudo systemctl start [email protected].

Air inneal an neach-dèiligidh, cruthaich config /etc/wireguard/wg0.conf:

[Interface]
PrivateKey = $CLIENT_PRIVKEY
Address = 10.9.0.2/24
[Peer]
PublicKey = $SERVER_PUBKEY
AllowedIPs = 0.0.0.0/0
Endpoint = 1.2.3.4:51820 # Внешний IP сервера
PersistentKeepalive = 25

Agus tog an tunail san aon dòigh:

sudo wg-quick up /etc/wireguard/wg0.conf

Chan eil air fhàgail ach NAT a rèiteachadh air an fhrithealaiche gus am faigh teachdaichean cothrom air an eadar-lìn, agus tha thu deiseil!

Chaidh an furasta seo a chleachdadh agus cho teann sa bha bunait còd a choileanadh le bhith a’ cur às do phrìomh ghnìomhachd cuairteachaidh. Chan eil siostam teisteanais iom-fhillte ann agus an uabhas corporra seo gu lèir; tha iuchraichean crioptachaidh goirid air an sgaoileadh gu math coltach ri iuchraichean SSH. Ach tha seo na dhuilgheadas: cha bhith WireGuard cho furasta a bhuileachadh air cuid de lìonraidhean a tha ann mu thràth.

Am measg nan eas-bhuannachdan, is fhiach a bhith mothachail nach obraich WireGuard tro neach-ionaid HTTP, leis nach eil ach protocol UDP ri fhaighinn mar chòmhdhail. Tha a’ cheist ag èirigh: am bi e comasach am protocol a chuir an aghaidh? Gu dearbh, chan e obair dhìreach VPN a tha seo, ach airson OpenVPN, mar eisimpleir, tha dòighean ann iad fhèin a chuir am falach mar HTTPS, a chuidicheas luchd-còmhnaidh dhùthchannan totalitarian gus an eadar-lìn a chleachdadh gu h-iomlan.

toraidhean

Gus geàrr-chunntas, is e pròiseact glè inntinneach agus gealltanach a tha seo, faodaidh tu a chleachdadh mu thràth air frithealaichean pearsanta. Dè a' bhuannachd a th' ann? Àrd-choileanadh air siostaman Linux, furasta an stèidheachadh agus taic, bunait còd teann agus furasta a leughadh. Ach, tha e ro thràth airson cabhag gus bun-structar iom-fhillte a ghluasad gu WireGuard; is fhiach feitheamh gus a thoirt a-steach don kernel Linux.

Gus an ùine agam (agus an ùine agad) a shàbhaladh, leasaich mi Stàladh fèin-ghluasadach WireGuard. Le a chuideachadh, faodaidh tu VPN pearsanta a stèidheachadh dhut fhèin agus do charaidean gun eadhon a bhith a’ tuigsinn dad mu dheidhinn.

Source: www.habr.com

Cuir beachd ann