მას შემდეგ, რაც WireGuard ნაწილი გახდება მომავლის ბირთვი Linux 5.6, გადავწყვიტე მენახა, თუ როგორ გამეზიარებინა ეს VPN ჩემს LTE როუტერი/წვდომის წერტილი Raspberry Pi-ზე.

Оборудование

• Raspberry Pi 3 LTE მოდულით და საჯარო IP მისამართით. აქ იქნება VPN სერვერი (შემდგომში ტექსტში მას ე.წ ზღურბლები)
• ტელეფონი ჩართულია Android, რომელიც ყველა კომუნიკაციისთვის VPN-ს უნდა იყენებდეს
• ლეპტოპი Linux, რომელიც მხოლოდ ქსელში VPN-ს უნდა იყენებდეს

ყველა მოწყობილობას, რომელიც უერთდება VPN-ს, უნდა შეეძლოს ყველა სხვა მოწყობილობასთან დაკავშირება. მაგალითად, ტელეფონს უნდა შეეძლოს ლეპტოპზე ვებ სერვერთან დაკავშირება, თუ ორივე მოწყობილობა VPN ქსელის ნაწილია. თუ დაყენება საკმაოდ მარტივი აღმოჩნდა, მაშინ შეგიძლიათ იფიქროთ დესკტოპის VPN-თან დაკავშირებაზე (Ethernet-ის საშუალებით).

იმის გათვალისწინებით, რომ სადენიანი და უკაბელო კავშირები დროთა განმავლობაში სულ უფრო ნაკლებად უსაფრთხო ხდება (მიზანმიმართული თავდასხმები, KRACK WPA2 კრეკინგ შეტევა и Dragonblood შეტევა WPA3-ზე), სერიოზულად ვფიქრობ გამოყენებაზე WireGuard ყველა ჩემი მოწყობილობისთვის, მიუხედავად იმისა, თუ რა გარემოში მუშაობენ ისინი.

პროგრამული უზრუნველყოფის ინსტალაცია

WireGuard უზრუნველყოფს წინასწარ შედგენილი პაკეტები დისტრიბუციების უმეტესობისთვის Linux, Windows и macOSგანაცხადები Android და iOS-ი აპლიკაციების მაღაზიების საშუალებით მიეწოდება.

უახლესი Fedora მაქვს Linux 31 და ინსტალაციამდე ძალიან მეზარებოდა ინსტრუქციის წაკითხვა. ახლახან ვიპოვე პაკეტები. wireguard-tools, დააინსტალირე ისინი და შემდეგ ვერ გაერკვია რატომ არაფერი მუშაობდა. შემდგომმა გამოძიებამ დაადგინა, რომ პაკეტი არ მაქვს დაინსტალირებული wireguard-dkms (ქსელის დრაივერით), მაგრამ ის არ იყო ჩემი განაწილების საცავში.

ინსტრუქციები რომ წავიკითხო, სწორ ნაბიჯებს გადავდებდი:

$ sudo dnf copr enable jdoss/wireguard
$ sudo dnf install wireguard-dkms wireguard-tools

Raspberry Pi-ზე დაყენებული მაქვს Raspbian Buster დისტრიბუცია, იქ უკვე არის პაკეტი wireguard, დააინსტალირეთ:

$ sudo apt install wireguard

ტელეფონით Android აპლიკაცია დავაინსტალირე WireGuard VPN Google App Store-ის ოფიციალური კატალოგიდან.

გასაღებების მონტაჟი

კვანძების ავტორიზაციისთვის Wireguard VPN კვანძების ავტორიზაციისთვის იყენებს მარტივ კერძო/საჯარო გასაღების სქემას. თქვენ შეგიძლიათ მარტივად შექმნათ VPN გასაღებები შემდეგი ბრძანებით:

$ wg genkey | tee wg-laptop-private.key |  wg pubkey > wg-laptop-public.key
$ wg genkey | tee wg-server-private.key |  wg pubkey > wg-server-public.key
$ wg genkey | tee wg-mobile-private.key |  wg pubkey > wg-mobile-public.key

ეს გვაძლევს სამი გასაღების წყვილს (ექვსი ფაილი). ჩვენ არ მივმართავთ ფაილებს კონფიგურაციაში, მაგრამ დააკოპირეთ შიგთავსი აქ: თითოეული გასაღები არის ერთი ხაზი base64-ში.

კონფიგურაციის ფაილის შექმნა VPN სერვერისთვის (Raspberry Pi)

კონფიგურაცია საკმაოდ მარტივია, მე შევქმენი შემდეგი ფაილი /etc/wireguard/wg0.conf:

[Interface]
Address = 10.200.200.1/24
ListenPort = 51820
PrivateKey = <copy private key from wg-server-private.key>
PostUp   = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o wwan0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o wwan0 -j MASQUERADE

[Peer]
# laptop
PublicKey = <copy public key from wg-laptop-public.key>
AllowedIPs = 10.200.200.2/32

[Peer]
# mobile phone
PublicKey = <copy public key from wg-mobile-public.key>
AllowedIPs = 10.200.200.3/32

ორიოდე შენიშვნა:

• შესაბამის ადგილებში თქვენ უნდა ჩასვათ ხაზები ფაილებიდან გასაღებებით
• ჩემი VPN იყენებს შიდა ზოლს 10.200.200.0/24
• გუნდებისთვის PostUp/PostDown მე მაქვს wwan0 გარე ქსელის ინტერფეისი, შეიძლება გქონდეთ სხვა (მაგალითად, eth0)

VPN ქსელი ადვილად იზრდება შემდეგი ბრძანებით:

$ sudo wg-quick up wg0

ერთი პატარა დეტალი: როგორც DNS სერვერი, რომელიც მე გამოვიყენე dnsmasq დაკავშირებულია ქსელურ ინტერფეისთან br0, მოწყობილობებიც დავამატე wg0 ნებადართული მოწყობილობების სიაში. dnsmasq-ში ეს კეთდება კონფიგურაციის ფაილში ახალი ქსელის ინტერფეისის ხაზის დამატებით /etc/dnsmasq.conf, მაგალითად:

interface=br0
interface=wg0

გარდა ამისა, მე დავამატე iptable წესი, რომ დაუშვას ტრაფიკი UDP მოსმენის პორტში (51280):

$ sudo iptables -I INPUT -p udp --dport 51820 -j ACCEPT

ახლა, როდესაც ყველაფერი მუშაობს, ჩვენ შეგვიძლია დავაყენოთ VPN გვირაბის ავტომატური გაშვება:

$ sudo systemctl enable wg-quick@wg0.service

კლიენტის კონფიგურაცია ლეპტოპზე

შექმენით კონფიგურაციის ფაილი ლეპტოპზე /etc/wireguard/wg0.conf იგივე პარამეტრებით:

[Interface]
Address = 10.200.200.2/24
PrivateKey = <copy private key from wg-laptop-private.key>

[Peer]
PublicKey = <copy public key from wg-server-public.key>
AllowedIPs = 10.200.200.0/24
Endpoint = edgewalker:51820

შენიშვნები:

• edgewalker-ის ნაცვლად, თქვენ უნდა მიუთითოთ საჯარო IP ან VPN სერვერის ჰოსტი
• დაყენებით AllowedIPs on 10.200.200.0/24, ჩვენ ვიყენებთ მხოლოდ VPN შიდა ქსელში შესასვლელად. ტრაფიკი ყველა სხვა IP მისამართებზე/სერვერებზე გაგრძელდება "ნორმალური" ღია არხებით. ის ასევე გამოიყენებს წინასწარ კონფიგურირებულ DNS სერვერს ლეპტოპზე.

ტესტირებისა და ავტომატური გაშვებისთვის ჩვენ ვიყენებთ იგივე ბრძანებებს wg-quick и systemd:

$ sudo wg-quick up wg0
$ sudo systemctl enable wg-quick@wg0.service

კლიენტის დაყენება Android-ტელეფონი

ტელეფონით Android ჩვენ ვქმნით ძალიან მსგავს კონფიგურაციის ფაილს (მოდით, ვუწოდოთ მას mobile.conf):

[Interface]
Address = 10.200.200.3/24
PrivateKey = <copy private key from wg-mobile-private.key>
DNS = 10.200.200.1
        
[Peer]
PublicKey = <copy public key from wg-server-public.key>
AllowedIPs = 0.0.0.0/0
Endpoint = edgewalker:51820

ლეპტოპის კონფიგურაციისგან განსხვავებით, ტელეფონმა უნდა გამოიყენოს ჩვენი VPN სერვერი, როგორც DNS სერვერი (ხაზი DNS), და ასევე გაიარეთ მთელი ტრაფიკი VPN გვირაბით (AllowedIPs = 0.0.0.0/0).

იმის ნაცვლად, რომ დააკოპიროთ ფაილი თქვენს მობილურ მოწყობილობაში, შეგიძლიათ გადაიყვანოთ იგი QR კოდში:

$ sudo apt install qrencode
$ qrencode -t ansiutf8 < mobile.conf

QR კოდი კონსოლზე ASCII ფორმატში გამოიტანება. მისი სკანირება აპლიკაციიდან იქნება შესაძლებელი. Android VPN და ავტომატურად დააკონფიგურიროთ VPN გვირაბი.

გამოყვანის

რეგულირება WireGuard უბრალოდ ჯადოსნურია იმასთან შედარებით OpenVPN.

წყარო: www.habr.com