के बाद से WireGuard का हिस्सा बनें भविष्य का कोर Linux 5.6, मैंने यह देखने का फैसला किया कि इस वीपीएन को अपने साथ सबसे अच्छे तरीके से कैसे एकीकृत किया जाए। रास्पबेरी पाई पर एलटीई राउटर/एक्सेस प्वाइंट.

Оборудование

एलटीई मॉड्यूल और सार्वजनिक आईपी के साथ रास्पबेरी पाई 3। वहाँ एक वीपीएन सर्वर होगा (इसके बाद इसे कहा जाएगा एजवॉकर)
फ़ोन चालू है Androidजिसमें सभी संचार के लिए वीपीएन का उपयोग करना आवश्यक है।
नोटबुक Linuxजो केवल नेटवर्क के भीतर वीपीएन का उपयोग करे।

वीपीएन से कनेक्ट होने वाला प्रत्येक डिवाइस हर दूसरे डिवाइस से कनेक्ट होने में सक्षम होना चाहिए। उदाहरण के लिए, यदि दोनों डिवाइस वीपीएन नेटवर्क का हिस्सा हैं तो एक फोन को लैपटॉप पर वेब सर्वर से कनेक्ट करने में सक्षम होना चाहिए। यदि सेटअप काफी सरल है, तो आप वीपीएन और डेस्कटॉप (ईथरनेट के माध्यम से) से कनेक्ट करने के बारे में सोच सकते हैं।

यह ध्यान में रखते हुए कि वायर्ड और वायरलेस कनेक्शन समय के साथ कम सुरक्षित होते जा रहे हैं (लक्षित हमले, क्रैक WPA2 हैकिंग हमला и WPA3 के विरुद्ध ड्रैगनब्लड हमला), मैं गंभीरता से उपयोग करने पर विचार कर रहा हूँ WireGuard मेरे सभी उपकरणों के लिए, चाहे वे किसी भी वातावरण में चल रहे हों।

सॉफ्टवेयर स्थापना

WireGuard प्रदान करता है पूर्व संकलित पैकेज अधिकांश वितरणों के लिए Linux, Windows и macOSआवेदन के लिए Android iOS ऐप स्टोर के माध्यम से उपलब्ध कराए जाते हैं।

मेरे पास नवीनतम फेडोरा संस्करण है। Linux 31, और इंस्टॉल करने से पहले मैं मैनुअल पढ़ने में बहुत आलसी था। मैंने बस पैकेज ढूंढ लिए। wireguard-tools, उन्हें स्थापित किया, और फिर यह पता नहीं लगा सका कि कुछ भी काम क्यों नहीं कर रहा था। आगे की जांच से पता चला कि मेरे पास पैकेज स्थापित नहीं था wireguard-dkms (एक नेटवर्क ड्राइवर के साथ), और यह मेरे वितरण के भंडार में नहीं था।

यदि मैंने निर्देश पढ़े होते, तो मैं सही कदम उठाता:

$ sudo dnf copr enable jdoss/wireguard
$ sudo dnf install wireguard-dkms wireguard-tools

मेरे पास रास्पबेरी पाई पर रास्पबियन बस्टर वितरण स्थापित है, वहां पहले से ही एक पैकेज है wireguard, इसे स्थापित करो:

$ sudo apt install wireguard

फोन पर Android मैंने एप्लिकेशन इंस्टॉल कर लिया है। WireGuard वीपीएन Google ऐप स्टोर के आधिकारिक कैटलॉग से।

कुंजियाँ स्थापित करना

नोड्स को प्रमाणित करने के लिए Wireguard वीपीएन नोड्स को प्रमाणित करने के लिए एक सरल निजी/सार्वजनिक कुंजी प्रणाली का उपयोग करता है। आप निम्न कमांड का उपयोग करके आसानी से वीपीएन कुंजी जनरेट कर सकते हैं:

$ wg genkey | tee wg-laptop-private.key |  wg pubkey > wg-laptop-public.key
$ wg genkey | tee wg-server-private.key |  wg pubkey > wg-server-public.key
$ wg genkey | tee wg-mobile-private.key |  wg pubkey > wg-mobile-public.key

इससे हमें तीन प्रमुख जोड़े (छह फ़ाइलें) मिलती हैं। हम कॉन्फ़िगरेशन में फ़ाइलों का उल्लेख नहीं करेंगे, लेकिन यहां सामग्री की प्रतिलिपि बनाएंगे: प्रत्येक कुंजी बेस 64 में एक पंक्ति है।

वीपीएन सर्वर के लिए कॉन्फ़िगरेशन फ़ाइल बनाना (रास्पबेरी पाई)

कॉन्फ़िगरेशन काफी सरल है, मैंने निम्न फ़ाइल बनाई है /etc/wireguard/wg0.conf:

[Interface]
Address = 10.200.200.1/24
ListenPort = 51820
PrivateKey = <copy private key from wg-server-private.key>
PostUp   = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o wwan0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o wwan0 -j MASQUERADE

[Peer]
# laptop
PublicKey = <copy public key from wg-laptop-public.key>
AllowedIPs = 10.200.200.2/32

[Peer]
# mobile phone
PublicKey = <copy public key from wg-mobile-public.key>
AllowedIPs = 10.200.200.3/32

कुछ नोट्स:

उचित स्थानों पर आपको कुंजियों के साथ फ़ाइलों से पंक्तियाँ सम्मिलित करने की आवश्यकता है
मेरा वीपीएन आंतरिक रेंज का उपयोग कर रहा है 10.200.200.0/24
टीमों के लिए PostUp/PostDown मेरे पास एक बाहरी नेटवर्क इंटरफ़ेस wwan0 है, आपके पास एक अलग हो सकता है (उदाहरण के लिए, eth0)

वीपीएन नेटवर्क को निम्नलिखित कमांड के साथ आसानी से लाया जाता है:

$ sudo wg-quick up wg0

एक छोटा विवरण: DNS सर्वर के रूप में, मैंने इसका उपयोग किया dnsmasq नेटवर्क इंटरफ़ेस से जुड़ा है br0, मैंने डिवाइस भी जोड़े wg0 अनुमत उपकरणों की सूची में। Dnsmasq में, यह कॉन्फ़िगरेशन फ़ाइल में नेटवर्क इंटरफ़ेस के साथ एक नई लाइन जोड़कर किया जाता है /etc/dnsmasq.conf, उदाहरण के लिए:

interface=br0
interface=wg0

इसके अलावा, मैंने श्रवण यूडीपी पोर्ट (51280) पर यातायात की अनुमति देने के लिए एक आईपीटेबल नियम जोड़ा:

$ sudo iptables -I INPUT -p udp --dport 51820 -j ACCEPT

अब जबकि सब कुछ काम कर रहा है, हम वीपीएन सुरंग के स्वचालित लॉन्च को पंजीकृत कर सकते हैं:

$ sudo systemctl enable wg-quick@wg0.service

लैपटॉप क्लाइंट कॉन्फ़िगरेशन

लैपटॉप पर, एक कॉन्फ़िगरेशन फ़ाइल बनाएं /etc/wireguard/wg0.conf समान सेटिंग्स के साथ:

[Interface]
Address = 10.200.200.2/24
PrivateKey = <copy private key from wg-laptop-private.key>

[Peer]
PublicKey = <copy public key from wg-server-public.key>
AllowedIPs = 10.200.200.0/24
Endpoint = edgewalker:51820

नोट:

एजवॉकर के बजाय, आपको एक सार्वजनिक आईपी या वीपीएन सर्वर होस्ट निर्दिष्ट करना होगा
व्यवस्थित करके AllowedIPs पर 10.200.200.0/24, हम केवल आंतरिक नेटवर्क तक पहुंचने के लिए वीपीएन का उपयोग करते हैं। अन्य सभी आईपी पते/सर्वर पर ट्रैफ़िक "नियमित" खुले चैनलों के माध्यम से जारी रहेगा। लैपटॉप पर पूर्व-कॉन्फ़िगर DNS सर्वर का भी उपयोग किया जाएगा।

परीक्षण और स्वचालित लॉन्च के लिए, हम समान कमांड का उपयोग करते हैं wg-quick и systemd:

$ sudo wg-quick up wg0
$ sudo systemctl enable wg-quick@wg0.service

क्लाइंट को तैयार करना Android-फ़ोन

फोन के लिए Android हम एक बहुत ही समान कॉन्फ़िगरेशन फ़ाइल बनाते हैं (आइए इसे कहते हैं mobile.conf):

[Interface]
Address = 10.200.200.3/24
PrivateKey = <copy private key from wg-mobile-private.key>
DNS = 10.200.200.1
        
[Peer]
PublicKey = <copy public key from wg-server-public.key>
AllowedIPs = 0.0.0.0/0
Endpoint = edgewalker:51820

लैपटॉप कॉन्फ़िगरेशन के विपरीत, फ़ोन को हमारे वीपीएन सर्वर को अपने डीएनएस सर्वर (स्ट्रिंग) के रूप में उपयोग करना चाहिए DNS), साथ ही सभी ट्रैफ़िक को वीपीएन सुरंग से गुजारें (AllowedIPs = 0.0.0.0/0).

फ़ाइल को अपने मोबाइल डिवाइस पर कॉपी करने के बजाय, आप इसे QR कोड में बदल सकते हैं:

$ sudo apt install qrencode
$ qrencode -t ansiutf8 < mobile.conf

क्यूआर कोड कंसोल पर एएससीआईआई फॉर्मेट में प्रदर्शित होगा। इसे ऐप से स्कैन किया जा सकता है। Android वीपीएन और वीपीएन टनल को स्वचालित रूप से कॉन्फ़िगर करें।