वायरगार्ड के बाद से का हिस्सा बनें भविष्य के Linux 5.6 कर्नेल के बारे में, मैंने यह देखने का निर्णय लिया कि इस वीपीएन को मेरे साथ कैसे एकीकृत किया जाए रास्पबेरी पाई पर एलटीई राउटर/एक्सेस प्वाइंट.

Оборудование

• एलटीई मॉड्यूल और सार्वजनिक आईपी के साथ रास्पबेरी पाई 3। वहाँ एक वीपीएन सर्वर होगा (इसके बाद इसे कहा जाएगा एजवॉकर)
• एक एंड्रॉइड फ़ोन जिसे सभी संचार के लिए वीपीएन का उपयोग करना होगा
• लिनक्स लैपटॉप जिसे केवल नेटवर्क के अंदर वीपीएन का उपयोग करने की आवश्यकता होती है

वीपीएन से कनेक्ट होने वाला प्रत्येक डिवाइस हर दूसरे डिवाइस से कनेक्ट होने में सक्षम होना चाहिए। उदाहरण के लिए, यदि दोनों डिवाइस वीपीएन नेटवर्क का हिस्सा हैं तो एक फोन को लैपटॉप पर वेब सर्वर से कनेक्ट करने में सक्षम होना चाहिए। यदि सेटअप काफी सरल है, तो आप वीपीएन और डेस्कटॉप (ईथरनेट के माध्यम से) से कनेक्ट करने के बारे में सोच सकते हैं।

यह ध्यान में रखते हुए कि वायर्ड और वायरलेस कनेक्शन समय के साथ कम सुरक्षित होते जा रहे हैं (लक्षित हमले, क्रैक WPA2 हैकिंग हमला и WPA3 के विरुद्ध ड्रैगनब्लड हमला), मैं अपने सभी उपकरणों के लिए वायरगार्ड का उपयोग करने पर गंभीरता से विचार कर रहा हूं, चाहे वे किसी भी वातावरण में चल रहे हों।

सॉफ्टवेयर स्थापना

वायरगार्ड प्रदान करता है पूर्व संकलित पैकेज अधिकांश Linux, Windows और macOS वितरण के लिए। एंड्रॉइड और आईओएस के लिए ऐप्स ऐप कैटलॉग के माध्यम से वितरित किए जाते हैं।

मेरे पास नवीनतम फेडोरा लिनक्स 31 है और मैं इंस्टॉल करने से पहले मैनुअल पढ़ने में बहुत आलसी था। अभी-अभी पैकेज मिले wireguard-tools, उन्हें स्थापित किया, और फिर यह पता नहीं लगा सका कि कुछ भी काम क्यों नहीं कर रहा था। आगे की जांच से पता चला कि मेरे पास पैकेज स्थापित नहीं था wireguard-dkms (एक नेटवर्क ड्राइवर के साथ), और यह मेरे वितरण के भंडार में नहीं था।

यदि मैंने निर्देश पढ़े होते, तो मैं सही कदम उठाता:

$ sudo dnf copr enable jdoss/wireguard
$ sudo dnf install wireguard-dkms wireguard-tools

मेरे पास रास्पबेरी पाई पर रास्पबियन बस्टर वितरण स्थापित है, वहां पहले से ही एक पैकेज है wireguard, इसे स्थापित करो:

$ sudo apt install wireguard

मैंने अपने एंड्रॉइड फोन पर ऐप इंस्टॉल किया वायरगार्ड वीपीएन Google ऐप स्टोर के आधिकारिक कैटलॉग से।

कुंजियाँ स्थापित करना

नोड्स को प्रमाणित करने के लिए, वायरगार्ड वीपीएन नोड्स को प्रमाणित करने के लिए एक सरल निजी/सार्वजनिक कुंजी योजना का उपयोग करता है। आप निम्न आदेश से आसानी से वीपीएन कुंजी बना सकते हैं:

$ wg genkey | tee wg-laptop-private.key |  wg pubkey > wg-laptop-public.key
$ wg genkey | tee wg-server-private.key |  wg pubkey > wg-server-public.key
$ wg genkey | tee wg-mobile-private.key |  wg pubkey > wg-mobile-public.key

इससे हमें तीन प्रमुख जोड़े (छह फ़ाइलें) मिलती हैं। हम कॉन्फ़िगरेशन में फ़ाइलों का उल्लेख नहीं करेंगे, लेकिन यहां सामग्री की प्रतिलिपि बनाएंगे: प्रत्येक कुंजी बेस 64 में एक पंक्ति है।

वीपीएन सर्वर के लिए कॉन्फ़िगरेशन फ़ाइल बनाना (रास्पबेरी पाई)

कॉन्फ़िगरेशन काफी सरल है, मैंने निम्न फ़ाइल बनाई है /etc/wireguard/wg0.conf:

[Interface]
Address = 10.200.200.1/24
ListenPort = 51820
PrivateKey = <copy private key from wg-server-private.key>
PostUp   = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o wwan0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o wwan0 -j MASQUERADE

[Peer]
# laptop
PublicKey = <copy public key from wg-laptop-public.key>
AllowedIPs = 10.200.200.2/32

[Peer]
# mobile phone
PublicKey = <copy public key from wg-mobile-public.key>
AllowedIPs = 10.200.200.3/32

कुछ नोट्स:

• उचित स्थानों पर आपको कुंजियों के साथ फ़ाइलों से पंक्तियाँ सम्मिलित करने की आवश्यकता है
• मेरा वीपीएन आंतरिक रेंज का उपयोग कर रहा है 10.200.200.0/24
• टीमों के लिए PostUp/PostDown मेरे पास एक बाहरी नेटवर्क इंटरफ़ेस wwan0 है, आपके पास एक अलग हो सकता है (उदाहरण के लिए, eth0)

वीपीएन नेटवर्क को निम्नलिखित कमांड के साथ आसानी से लाया जाता है:

$ sudo wg-quick up wg0

एक छोटा विवरण: DNS सर्वर के रूप में, मैंने इसका उपयोग किया dnsmasq नेटवर्क इंटरफ़ेस से जुड़ा है br0, मैंने डिवाइस भी जोड़े wg0 अनुमत उपकरणों की सूची में। Dnsmasq में, यह कॉन्फ़िगरेशन फ़ाइल में नेटवर्क इंटरफ़ेस के साथ एक नई लाइन जोड़कर किया जाता है /etc/dnsmasq.conf, उदाहरण के लिए:

interface=br0
interface=wg0

इसके अलावा, मैंने श्रवण यूडीपी पोर्ट (51280) पर यातायात की अनुमति देने के लिए एक आईपीटेबल नियम जोड़ा:

$ sudo iptables -I INPUT -p udp --dport 51820 -j ACCEPT

अब जबकि सब कुछ काम कर रहा है, हम वीपीएन सुरंग के स्वचालित लॉन्च को पंजीकृत कर सकते हैं:

$ sudo systemctl enable [email protected]

लैपटॉप क्लाइंट कॉन्फ़िगरेशन

लैपटॉप पर, एक कॉन्फ़िगरेशन फ़ाइल बनाएं /etc/wireguard/wg0.conf समान सेटिंग्स के साथ:

[Interface]
Address = 10.200.200.2/24
PrivateKey = <copy private key from wg-laptop-private.key>

[Peer]
PublicKey = <copy public key from wg-server-public.key>
AllowedIPs = 10.200.200.0/24
Endpoint = edgewalker:51820

नोट:

• एजवॉकर के बजाय, आपको एक सार्वजनिक आईपी या वीपीएन सर्वर होस्ट निर्दिष्ट करना होगा
• व्यवस्थित करके AllowedIPs पर 10.200.200.0/24, हम केवल आंतरिक नेटवर्क तक पहुंचने के लिए वीपीएन का उपयोग करते हैं। अन्य सभी आईपी पते/सर्वर पर ट्रैफ़िक "नियमित" खुले चैनलों के माध्यम से जारी रहेगा। लैपटॉप पर पूर्व-कॉन्फ़िगर DNS सर्वर का भी उपयोग किया जाएगा।

परीक्षण और स्वचालित लॉन्च के लिए, हम समान कमांड का उपयोग करते हैं wg-quick и systemd:

$ sudo wg-quick up wg0
$ sudo systemctl enable [email protected]

एंड्रॉइड फोन पर क्लाइंट सेट करना

एंड्रॉइड फोन के लिए, हम एक बहुत ही समान कॉन्फ़िगरेशन फ़ाइल बनाते हैं (आइए इसे कॉल करें mobile.conf):

[Interface]
Address = 10.200.200.3/24
PrivateKey = <copy private key from wg-mobile-private.key>
DNS = 10.200.200.1
        
[Peer]
PublicKey = <copy public key from wg-server-public.key>
AllowedIPs = 0.0.0.0/0
Endpoint = edgewalker:51820

लैपटॉप कॉन्फ़िगरेशन के विपरीत, फ़ोन को हमारे वीपीएन सर्वर को अपने डीएनएस सर्वर (स्ट्रिंग) के रूप में उपयोग करना चाहिए DNS), साथ ही सभी ट्रैफ़िक को वीपीएन सुरंग से गुजारें (AllowedIPs = 0.0.0.0/0).

फ़ाइल को अपने मोबाइल डिवाइस पर कॉपी करने के बजाय, आप इसे QR कोड में बदल सकते हैं:

$ sudo apt install qrencode
$ qrencode -t ansiutf8 < mobile.conf

QR कोड ASCII के रूप में कंसोल पर आउटपुट होगा। इसे एंड्रॉइड वीपीएन ऐप से स्कैन किया जा सकता है और स्वचालित रूप से एक वीपीएन टनल सेट किया जा सकता है।

उत्पादन

ओपनवीपीएन की तुलना में वायरगार्ड स्थापित करना जादुई है।

स्रोत: www.habr.com