בגלל WireGuard יהפוך לחלק של ליבת לינוקס 5.6 הקרובה, החלטתי לראות איך הכי טוב לשלב את ה-VPN הזה עם שלי נתב/נקודת גישה LTE ב-Raspberry Pi.

Оборудование

• Raspberry Pi 3 עם מודול LTE וכתובת IP ציבורית. יהיה כאן שרת VPN (להלן בטקסט הוא נקרא ווקר קצה)
• טלפון אנדרואיד שחייב להשתמש ב-VPN עבור כל התקשורת
• מחשב נייד לינוקס שאמור להשתמש רק ב-VPN בתוך הרשת

כל מכשיר שמתחבר ל-VPN חייב להיות מסוגל להתחבר לכל שאר המכשירים. לדוגמה, טלפון אמור להיות מסוגל להתחבר לשרת אינטרנט במחשב נייד אם שני המכשירים הם חלק מרשת VPN. אם ההגדרה מתבררת כפשוטה למדי, אז אתה יכול לחשוב על חיבור שולחן העבודה ל-VPN (באמצעות Ethernet).

בהתחשב בכך שחיבורים קוויים ואלחוטיים הופכים לפחות ופחות מאובטחים עם הזמן (התקפות ממוקדות, מתקפת פיצוח KRACK WPA2 и התקפת Dragonblood נגד WPA3), אני שוקל ברצינות להשתמש ב-WireGuard עבור כל המכשירים שלי, לא משנה באיזו סביבה הם נמצאים.

התקנת תוכנה

WireGuard מספק חבילות מהודרות מראש עבור רוב ההפצות של Linux, Windows ו-macOS. אפליקציות אנדרואיד ו-iOS מועברות דרך ספריות אפליקציות.

יש לי את ה-Fedora Linux 31 העדכני ביותר, והתעצלתי לקרוא את המדריך לפני ההתקנה. רק מצאתי את החבילות wireguard-tools, התקינו אותם, ואז לא הצלחתי להבין מדוע שום דבר לא עובד. חקירה נוספת העלתה שאין לי את החבילה מותקנת wireguard-dkms (עם מנהל התקן רשת), אבל זה לא היה במאגר של ההפצה שלי.

אם הייתי קורא את ההוראות, הייתי נוקט בצעדים הנכונים:

$ sudo dnf copr enable jdoss/wireguard
$ sudo dnf install wireguard-dkms wireguard-tools

יש לי את הפצת Raspbian Buster מותקנת על Raspberry Pi שלי, יש שם כבר חבילה wireguard, התקן את זה:

$ sudo apt install wireguard

בטלפון האנדרואיד שלי התקנתי את האפליקציה WireGuardVPN מהקטלוג הרשמי של Google App Store.

התקנת מפתחות

עבור אימות עמיתים, Wireguard משתמש בסכימת מפתח פרטי/ציבורי פשוטה כדי לאמת עמיתים ל-VPN. אתה יכול ליצור מפתחות VPN בקלות באמצעות הפקודה הבאה:

$ wg genkey | tee wg-laptop-private.key |  wg pubkey > wg-laptop-public.key
$ wg genkey | tee wg-server-private.key |  wg pubkey > wg-server-public.key
$ wg genkey | tee wg-mobile-private.key |  wg pubkey > wg-mobile-public.key

זה נותן לנו שלושה זוגות מפתח (שישה קבצים). לא נתייחס לקבצים בתצורה, אלא נעתיק את התוכן לכאן: כל מפתח הוא שורה אחת ב-base64.

יצירת קובץ תצורה עבור שרת ה-VPN (Raspberry Pi)

התצורה די פשוטה, יצרתי את הקובץ הבא /etc/wireguard/wg0.conf:

[Interface]
Address = 10.200.200.1/24
ListenPort = 51820
PrivateKey = <copy private key from wg-server-private.key>
PostUp   = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o wwan0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o wwan0 -j MASQUERADE

[Peer]
# laptop
PublicKey = <copy public key from wg-laptop-public.key>
AllowedIPs = 10.200.200.2/32

[Peer]
# mobile phone
PublicKey = <copy public key from wg-mobile-public.key>
AllowedIPs = 10.200.200.3/32

כמה הערות:

• במקומות המתאימים צריך להכניס שורות מהקבצים עם המקשים
• ה-VPN שלי משתמש בפס פנימי 10.200.200.0/24
• עבור צוותים PostUp/PostDown יש לי את ממשק הרשת החיצוני wwan0, ייתכן שיש לך ממשק אחר (לדוגמה, eth0)

רשת ה-VPN מוגשת בקלות עם הפקודה הבאה:

$ sudo wg-quick up wg0

פרט אחד קטן: בתור שרת ה-DNS שהשתמשתי בו dnsmasq קשור לממשק רשת br0, הוספתי גם מכשירים wg0 לרשימת המכשירים המותרים. ב-dnsmasq זה נעשה על ידי הוספת שורת ממשק רשת חדשה לקובץ התצורה /etc/dnsmasq.conf, לדוגמה:

interface=br0
interface=wg0

בנוסף, הוספתי כלל iptable כדי לאפשר תעבורה ליציאת ההאזנה של UDP (51280):

$ sudo iptables -I INPUT -p udp --dport 51820 -j ACCEPT

עכשיו כשהכל עובד, אנחנו יכולים להגדיר את ההשקה האוטומטית של מנהרת ה-VPN:

$ sudo systemctl enable [email protected]

תצורת לקוח במחשב נייד

צור קובץ תצורה במחשב נייד /etc/wireguard/wg0.conf עם אותן הגדרות:

[Interface]
Address = 10.200.200.2/24
PrivateKey = <copy private key from wg-laptop-private.key>

[Peer]
PublicKey = <copy public key from wg-server-public.key>
AllowedIPs = 10.200.200.0/24
Endpoint = edgewalker:51820

הערות:

• במקום edgewalker עליך לציין את מארח ה-IP הציבורי או ה-VPN
• על פי הגדרה AllowedIPs על 10.200.200.0/24, אנו משתמשים רק ב-VPN כדי לגשת לרשת הפנימית. התנועה לכל כתובות/שרתי ה-IP האחרות תמשיך לעבור בערוצים פתוחים "רגילים". זה גם ישתמש בשרת ה-DNS שהוגדר מראש במחשב הנייד.

לבדיקה והשקה אוטומטית אנו משתמשים באותן פקודות wg-quick и systemd:

$ sudo wg-quick up wg0
$ sudo systemctl enable [email protected]

הגדרת לקוח בטלפון אנדרואיד

עבור טלפון אנדרואיד אנו יוצרים קובץ תצורה דומה מאוד (בוא נקרא לזה mobile.conf):

[Interface]
Address = 10.200.200.3/24
PrivateKey = <copy private key from wg-mobile-private.key>
DNS = 10.200.200.1
        
[Peer]
PublicKey = <copy public key from wg-server-public.key>
AllowedIPs = 0.0.0.0/0
Endpoint = edgewalker:51820

בניגוד לתצורה במחשב הנייד, הטלפון חייב להשתמש בשרת ה-VPN שלנו כשרת ה-DNS (קו DNS), וגם להעביר את כל התעבורה דרך מנהרת ה-VPN (AllowedIPs = 0.0.0.0/0).

במקום להעתיק את הקובץ למכשיר הנייד שלך, אתה יכול להמיר אותו לקוד QR:

$ sudo apt install qrencode
$ qrencode -t ansiutf8 < mobile.conf

קוד ה-QR ייצא לקונסולה כ-ASCII. ניתן לסרוק אותו מאפליקציית ה-VPN של אנדרואיד והוא יגדיר אוטומטית מנהרת VPN.

פלט

הגדרת WireGuard היא פשוט קסומה בהשוואה ל-OpenVPN.

מקור: www.habr.com