რადგან WireGuard ნაწილი გახდება Linux-ის მომავალი ბირთვიდან 5.6, გადავწყვიტე მენახა, როგორ გავაერთიანოთ ეს VPN ჩემს LTE როუტერი/წვდომის წერტილი Raspberry Pi-ზე.

Оборудование

• Raspberry Pi 3 LTE მოდულით და საჯარო IP მისამართით. აქ იქნება VPN სერვერი (შემდგომში ტექსტში მას ე.წ ზღურბლები)
• Android ტელეფონი, რომელიც უნდა გამოიყენოს VPN ყველა კომუნიკაციისთვის
• Linux ლეპტოპი, რომელიც უნდა გამოიყენოს მხოლოდ VPN ქსელში

ყველა მოწყობილობას, რომელიც უერთდება VPN-ს, უნდა შეეძლოს ყველა სხვა მოწყობილობასთან დაკავშირება. მაგალითად, ტელეფონს უნდა შეეძლოს ლეპტოპზე ვებ სერვერთან დაკავშირება, თუ ორივე მოწყობილობა VPN ქსელის ნაწილია. თუ დაყენება საკმაოდ მარტივი აღმოჩნდა, მაშინ შეგიძლიათ იფიქროთ დესკტოპის VPN-თან დაკავშირებაზე (Ethernet-ის საშუალებით).

იმის გათვალისწინებით, რომ სადენიანი და უკაბელო კავშირები დროთა განმავლობაში სულ უფრო ნაკლებად უსაფრთხო ხდება (მიზანმიმართული თავდასხმები, KRACK WPA2 კრეკინგ შეტევა и Dragonblood შეტევა WPA3-ზე), მე სერიოზულად განვიხილავ WireGuard-ის გამოყენებას ჩემი ყველა მოწყობილობისთვის, არ აქვს მნიშვნელობა რა გარემოში არიან ისინი.

პროგრამული უზრუნველყოფის ინსტალაცია

WireGuard გთავაზობთ წინასწარ შედგენილი პაკეტები Linux, Windows და macOS დისტრიბუციების უმეტესობისთვის. Android და iOS აპლიკაციები მიწოდებულია აპლიკაციების დირექტორიების მეშვეობით.

მე მაქვს უახლესი Fedora Linux 31 და ძალიან მეზარებოდა სახელმძღვანელოს წაკითხვა დაყენებამდე. ახლახან ვიპოვე პაკეტები wireguard-tools, დააინსტალირე ისინი და შემდეგ ვერ გაერკვია რატომ არაფერი მუშაობდა. შემდგომმა გამოძიებამ დაადგინა, რომ პაკეტი არ მაქვს დაინსტალირებული wireguard-dkms (ქსელის დრაივერით), მაგრამ ის არ იყო ჩემი განაწილების საცავში.

ინსტრუქციები რომ წავიკითხო, სწორ ნაბიჯებს გადავდებდი:

$ sudo dnf copr enable jdoss/wireguard
$ sudo dnf install wireguard-dkms wireguard-tools

Raspberry Pi-ზე დაყენებული მაქვს Raspbian Buster დისტრიბუცია, იქ უკვე არის პაკეტი wireguard, დააინსტალირეთ:

$ sudo apt install wireguard

ჩემს Android ტელეფონზე დავაყენე აპლიკაცია WireGuardVPN Google App Store-ის ოფიციალური კატალოგიდან.

გასაღებების მონტაჟი

თანატოლების ავთენტიფიკაციისთვის, Wireguard იყენებს მარტივ კერძო/საჯარო გასაღების სქემას VPN თანატოლების ავთენტიფიკაციისთვის. თქვენ შეგიძლიათ მარტივად შექმნათ VPN გასაღებები შემდეგი ბრძანების გამოყენებით:

$ wg genkey | tee wg-laptop-private.key |  wg pubkey > wg-laptop-public.key
$ wg genkey | tee wg-server-private.key |  wg pubkey > wg-server-public.key
$ wg genkey | tee wg-mobile-private.key |  wg pubkey > wg-mobile-public.key

ეს გვაძლევს სამი გასაღების წყვილს (ექვსი ფაილი). ჩვენ არ მივმართავთ ფაილებს კონფიგურაციაში, მაგრამ დააკოპირეთ შიგთავსი აქ: თითოეული გასაღები არის ერთი ხაზი base64-ში.

კონფიგურაციის ფაილის შექმნა VPN სერვერისთვის (Raspberry Pi)

კონფიგურაცია საკმაოდ მარტივია, მე შევქმენი შემდეგი ფაილი /etc/wireguard/wg0.conf:

[Interface]
Address = 10.200.200.1/24
ListenPort = 51820
PrivateKey = <copy private key from wg-server-private.key>
PostUp   = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o wwan0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o wwan0 -j MASQUERADE

[Peer]
# laptop
PublicKey = <copy public key from wg-laptop-public.key>
AllowedIPs = 10.200.200.2/32

[Peer]
# mobile phone
PublicKey = <copy public key from wg-mobile-public.key>
AllowedIPs = 10.200.200.3/32

ორიოდე შენიშვნა:

• შესაბამის ადგილებში თქვენ უნდა ჩასვათ ხაზები ფაილებიდან გასაღებებით
• ჩემი VPN იყენებს შიდა ზოლს 10.200.200.0/24
• გუნდებისთვის PostUp/PostDown მე მაქვს wwan0 გარე ქსელის ინტერფეისი, შეიძლება გქონდეთ სხვა (მაგალითად, eth0)

VPN ქსელი ადვილად იზრდება შემდეგი ბრძანებით:

$ sudo wg-quick up wg0

ერთი პატარა დეტალი: როგორც DNS სერვერი, რომელიც მე გამოვიყენე dnsmasq დაკავშირებულია ქსელურ ინტერფეისთან br0, მოწყობილობებიც დავამატე wg0 ნებადართული მოწყობილობების სიაში. dnsmasq-ში ეს კეთდება კონფიგურაციის ფაილში ახალი ქსელის ინტერფეისის ხაზის დამატებით /etc/dnsmasq.conf, მაგალითად:

interface=br0
interface=wg0

გარდა ამისა, მე დავამატე iptable წესი, რომ დაუშვას ტრაფიკი UDP მოსმენის პორტში (51280):

$ sudo iptables -I INPUT -p udp --dport 51820 -j ACCEPT

ახლა, როდესაც ყველაფერი მუშაობს, ჩვენ შეგვიძლია დავაყენოთ VPN გვირაბის ავტომატური გაშვება:

$ sudo systemctl enable [email protected]

კლიენტის კონფიგურაცია ლეპტოპზე

შექმენით კონფიგურაციის ფაილი ლეპტოპზე /etc/wireguard/wg0.conf იგივე პარამეტრებით:

[Interface]
Address = 10.200.200.2/24
PrivateKey = <copy private key from wg-laptop-private.key>

[Peer]
PublicKey = <copy public key from wg-server-public.key>
AllowedIPs = 10.200.200.0/24
Endpoint = edgewalker:51820

შენიშვნები:

• edgewalker-ის ნაცვლად, თქვენ უნდა მიუთითოთ საჯარო IP ან VPN სერვერის ჰოსტი
• დაყენებით AllowedIPs on 10.200.200.0/24, ჩვენ ვიყენებთ მხოლოდ VPN შიდა ქსელში შესასვლელად. ტრაფიკი ყველა სხვა IP მისამართებზე/სერვერებზე გაგრძელდება "ნორმალური" ღია არხებით. ის ასევე გამოიყენებს წინასწარ კონფიგურირებულ DNS სერვერს ლეპტოპზე.

ტესტირებისა და ავტომატური გაშვებისთვის ჩვენ ვიყენებთ იგივე ბრძანებებს wg-quick и systemd:

$ sudo wg-quick up wg0
$ sudo systemctl enable [email protected]

კლიენტის დაყენება Android ტელეფონზე

Android ტელეფონისთვის ჩვენ ვქმნით ძალიან მსგავს კონფიგურაციის ფაილს (მოდით დავარქვათ mobile.conf):

[Interface]
Address = 10.200.200.3/24
PrivateKey = <copy private key from wg-mobile-private.key>
DNS = 10.200.200.1
        
[Peer]
PublicKey = <copy public key from wg-server-public.key>
AllowedIPs = 0.0.0.0/0
Endpoint = edgewalker:51820

ლეპტოპის კონფიგურაციისგან განსხვავებით, ტელეფონმა უნდა გამოიყენოს ჩვენი VPN სერვერი, როგორც DNS სერვერი (ხაზი DNS), და ასევე გაიარეთ მთელი ტრაფიკი VPN გვირაბით (AllowedIPs = 0.0.0.0/0).

იმის ნაცვლად, რომ დააკოპიროთ ფაილი თქვენს მობილურ მოწყობილობაში, შეგიძლიათ გადაიყვანოთ იგი QR კოდში:

$ sudo apt install qrencode
$ qrencode -t ansiutf8 < mobile.conf

QR კოდი გამოვა კონსოლში, როგორც ASCII. მისი სკანირება შესაძლებელია Android VPN აპიდან და ავტომატურად დააყენებს VPN გვირაბს.

გამოყვანის

WireGuard-ის დაყენება უბრალოდ ჯადოსნურია OpenVPN-თან შედარებით.

წყარო: www.habr.com