🥇WireGuard - VPN נהדר של העתיד?

הגיע הזמן שבו VPN אינו עוד איזה כלי אקזוטי של מנהלי מערכות מזוקנים. למשתמשים יש משימות שונות, אבל העובדה היא שכולם צריכים VPN.

הבעיה עם פתרונות ה-VPN הנוכחיים היא שקשה להגדיר אותם בצורה נכונה, יקר לתחזוקה והם מלאים בקוד מדור קודם באיכות מפוקפקת.

לפני מספר שנים החליט מומחה אבטחת המידע הקנדי ג'ייסון א. דוננפלד שנמאס לו והחל לעבוד על WireGuard. WireGuard נערך כעת להכללה בליבת לינוקס ואף זכה לשבחים לינוס טורוואלדס ו - הסנאט האמריקאי.

היתרונות הנטענים של WireGuard על פני פתרונות VPN אחרים:

קל לשימוש.
משתמש בקריפטוגרפיה מודרנית: מסגרת פרוטוקול רעש, Curve25519, ChaCha20, Poly1305, BLAKE2, SipHash24, HKDF וכו'.
קוד קומפקטי, קריא, קל יותר לחקור נקודות תורפה.
ביצועים גבוהים.
ברור ומשוכלל מפרט.

האם נמצא כדור כסף? האם הגיע הזמן לקבור את OpenVPN ו- IPSec? החלטתי להתמודד עם זה, ובמקביל עשיתי זאת סקריפט להתקנה אוטומטית של שרת VPN אישי.

עקרונות עבודה

ניתן לתאר את עקרונות הפעולה בערך כך:

נוצר ממשק WireGuard ומקצים לו מפתח פרטי וכתובת IP. ההגדרות של עמיתים אחרים נטענות: המפתחות הציבוריים שלהם, כתובות ה-IP וכו'.
כל מנות ה-IP המגיעות לממשק WireGuard מובלעות ב-UDP ו נמסר בבטחה עמיתים אחרים.
לקוחות מציינים את כתובת ה-IP הציבורית של השרת בהגדרות. השרת מזהה אוטומטית את הכתובות החיצוניות של לקוחות כאשר מתקבלים מהם נתונים מאומתים כהלכה.
השרת יכול לשנות את כתובת ה-IP הציבורית מבלי להפריע לעבודתו. במקביל, זה ישלח התראה ללקוחות מחוברים והם יעדכנו את התצורה שלהם תוך כדי תנועה.
נעשה שימוש במושג ניתוב ניתוב מפתח קריפטו. WireGuard מקבל ושולח מנות על סמך המפתח הציבורי של העמית. כאשר השרת מפענח חבילה מאומתת כהלכה, שדה ה-src שלו מסומן. אם זה תואם את התצורה allowed-ips עמית מאומת, החבילה מתקבלת על ידי ממשק WireGuard. בעת שליחת חבילה יוצאת מתרחש הפרוצדורה המקבילה: נלקח שדה ה-dst של החבילה ועל פיו נבחר העמית המתאים, החבילה נחתמת במפתח שלה, מוצפנת במפתח של העמית ונשלחת לנקודת הקצה המרוחקת. .

כל הלוגיקת הליבה של WireGuard תופסת פחות מ-4 שורות קוד, בעוד של-OpenVPN ו-IPSec יש מאות אלפי שורות. כדי לתמוך באלגוריתמים קריפטוגרפיים מודרניים, מוצע לכלול API קריפטוגרפי חדש בליבת לינוקס אבץ. כרגע מתנהל דיון אם זה רעיון טוב.

פרודוקטיביות

יתרון הביצועים המרבי (בהשוואה ל-OpenVPN ו-IPSec) יהיה מורגש במערכות לינוקס, מכיוון ש-WireGuard מיושם כמודול ליבה שם. בנוסף, macOS, Android, iOS, FreeBSD ו-OpenBSD נתמכות, אך בהן WireGuard פועל במרחב המשתמש עם כל ההשלכות הביצועיות הנגזרות מכך. תמיכה ב-Windows צפויה להתווסף בעתיד הקרוב.

תוצאות בנצ'מרק עם אתר רשמי:

חווית השימוש שלי

אני לא מומחה VPN. פעם הקמתי את OpenVPN באופן ידני וזה היה מאוד מייגע, ואפילו לא ניסיתי IPSec. יש יותר מדי החלטות לקבל, קל מאוד לירות לעצמך ברגל. לכן, תמיד השתמשתי בסקריפטים מוכנים כדי להגדיר את השרת.

אז, WireGuard, מנקודת המבט שלי, הוא בדרך כלל אידיאלי עבור המשתמש. כל ההחלטות ברמה נמוכה מתקבלות במפרט, כך שתהליך הכנת תשתית VPN טיפוסית לוקח דקות ספורות בלבד. זה כמעט בלתי אפשרי לרמות בתצורה.

תהליך ההתקנה מתואר בפירוט באתר הרשמי, אני רוצה לציין בנפרד את המצוין תמיכה ב-OpenWRT.

מפתחות הצפנה נוצרים על ידי כלי השירות wg:

SERVER_PRIVKEY=$( wg genkey )
SERVER_PUBKEY=$( echo $SERVER_PRIVKEY | wg pubkey )
CLIENT_PRIVKEY=$( wg genkey )
CLIENT_PUBKEY=$( echo $CLIENT_PRIVKEY | wg pubkey )

לאחר מכן, עליך ליצור תצורת שרת /etc/wireguard/wg0.conf עם התוכן הבא:

[Interface]
Address = 10.9.0.1/24
PrivateKey = $SERVER_PRIVKEY
[Peer]
PublicKey = $CLIENT_PUBKEY
AllowedIPs = 10.9.0.2/32

ולהרים את המנהרה עם תסריט wg-quick:

sudo wg-quick up /etc/wireguard/wg0.conf

במערכות עם systemd אתה יכול להשתמש בזה במקום sudo systemctl start [email protected].

במחשב הלקוח, צור תצורה /etc/wireguard/wg0.conf:

[Interface]
PrivateKey = $CLIENT_PRIVKEY
Address = 10.9.0.2/24
[Peer]
PublicKey = $SERVER_PUBKEY
AllowedIPs = 0.0.0.0/0
Endpoint = 1.2.3.4:51820 # Внешний IP сервера
PersistentKeepalive = 25

ולהרים את המנהרה באותו אופן:

sudo wg-quick up /etc/wireguard/wg0.conf

כל מה שנותר הוא להגדיר את ה-NAT בשרת כך שלקוחות יוכלו לגשת לאינטרנט, וסיימת!

קלות השימוש והקומפקטיות הזו של בסיס הקוד הושגו על ידי ביטול פונקציונליות ההפצה המרכזית. אין מערכת אישורים מורכבת וכל הזוועה הארגונית הזו; מפתחות הצפנה קצרים מופצים בדומה למפתחות SSH. אבל זה מציב בעיה: WireGuard לא יהיה כל כך קל ליישום על כמה רשתות קיימות.

בין החסרונות, ראוי לציין ש-WireGuard לא יעבוד באמצעות פרוקסי HTTP, מכיוון שרק פרוטוקול UDP זמין כתחבורה. נשאלת השאלה: האם ניתן יהיה לטשטש את הפרוטוקול? כמובן שזו לא המשימה הישירה של VPN, אבל עבור OpenVPN, למשל, יש דרכים להתחפש ל-HTTPS, מה שעוזר לתושבי מדינות טוטליטריות להשתמש במלואו באינטרנט.

ממצאים

לסיכום, מדובר בפרויקט מאוד מעניין ומבטיח, אתה כבר יכול להשתמש בו בשרתים אישיים. מה הרווח? ביצועים גבוהים במערכות לינוקס, קלות הגדרה ותמיכה, בסיס קוד קומפקטי וקריא. עם זאת, מוקדם מדי למהר להעביר תשתית מורכבת ל-WireGuard; כדאי לחכות להכללתה בליבת לינוקס.

כדי לחסוך את הזמן שלי (וגם שלך), פיתחתי מתקין WireGuard אוטומטי. בעזרתו, אתה יכול להגדיר VPN אישי עבור עצמך ועבור חבריך מבלי להבין דבר על כך.

מקור: www.habr.com

האם WireGuard הוא ה-VPN הגדול של העתיד?

עקרונות עבודה

פרודוקטיביות

חווית השימוש שלי

ממצאים

הוספת תגובה ביטול תגובה