ដោយសារតែ WireGuard នឹងក្លាយជាផ្នែក នៃខឺណែលលីនុច 5.6 នាពេលខាងមុខ ខ្ញុំបានសម្រេចចិត្តមើលពីរបៀបដែលល្អបំផុតក្នុងការរួមបញ្ចូល VPN នេះជាមួយរបស់ខ្ញុំ។ រ៉ោតទ័រ LTE / ចំណុចចូលដំណើរការនៅលើ Raspberry Pi.

ឧបករណ៍

• Raspberry Pi 3 ជាមួយម៉ូឌុល LTE និងអាសយដ្ឋាន IP សាធារណៈ។ វានឹងមានម៉ាស៊ីនមេ VPN នៅទីនេះ (តទៅនេះនៅក្នុងអត្ថបទវាត្រូវបានហៅ អ្នកដើរគែម)
• ទូរស័ព្ទ Android ដែលត្រូវតែប្រើ VPN សម្រាប់ទំនាក់ទំនងទាំងអស់។
• កុំព្យូទ័រយួរដៃលីនុចដែលគួរប្រើតែ VPN នៅក្នុងបណ្តាញ

រាល់ឧបករណ៍ដែលភ្ជាប់ទៅ VPN ត្រូវតែអាចភ្ជាប់ទៅឧបករណ៍ផ្សេងទៀតទាំងអស់។ ឧទាហរណ៍ ទូរសព្ទគួរតែអាចភ្ជាប់ទៅម៉ាស៊ីនមេបណ្តាញនៅលើកុំព្យូទ័រយួរដៃ ប្រសិនបើឧបករណ៍ទាំងពីរជាផ្នែកនៃបណ្តាញ VPN ។ ប្រសិនបើការរៀបចំប្រែទៅជាសាមញ្ញ នោះអ្នកអាចគិតអំពីការភ្ជាប់ផ្ទៃតុទៅ VPN (តាមរយៈអ៊ីសឺរណិត)។

ដោយ​ពិចារណា​ថា​ការ​តភ្ជាប់​តាម​ខ្សែ និង​ឥត​ខ្សែ​កាន់តែ​មាន​សុវត្ថិភាព​កាន់តែ​តិច​ទៅៗ​តាម​ពេលវេលា (ការវាយប្រហារគោលដៅ, ការវាយលុករបស់ KRACK WPA2 и ការវាយប្រហារ Dragonblood ប្រឆាំងនឹង WPA3) ខ្ញុំកំពុងពិចារណាយ៉ាងម៉ត់ចត់ក្នុងការប្រើ WireGuard សម្រាប់ឧបករណ៍ទាំងអស់របស់ខ្ញុំ មិនថាពួកគេស្ថិតនៅក្នុងបរិយាកាសបែបណានោះទេ។

ការដំឡើងកម្មវិធី

WireGuard ផ្តល់ កញ្ចប់ដែលបានចងក្រងជាមុន សម្រាប់ការចែកចាយ Linux, Windows និង macOS ភាគច្រើន។ កម្មវិធី Android និង iOS ត្រូវបានបញ្ជូនតាមថតកម្មវិធី។

ខ្ញុំមាន Fedora Linux 31 ចុងក្រោយបង្អស់ ហើយខ្ញុំខ្ជិលពេកក្នុងការអានសៀវភៅណែនាំមុនពេលដំឡើង។ ទើបតែរកឃើញកញ្ចប់ wireguard-toolsដំឡើងពួកវា ហើយបន្ទាប់មកមិនអាចដឹងថាហេតុអ្វីបានជាគ្មានអ្វីដំណើរការ។ ការស៊ើបអង្កេតបន្ថែមបានបង្ហាញថាខ្ញុំមិនមានកញ្ចប់ដំឡើងទេ។ wireguard-dkms (ជាមួយកម្មវិធីបញ្ជាបណ្តាញ) ប៉ុន្តែវាមិននៅក្នុងឃ្លាំងនៃការចែកចាយរបស់ខ្ញុំទេ។

ប្រសិនបើខ្ញុំបានអានការណែនាំ ខ្ញុំនឹងចាត់វិធានការត្រឹមត្រូវ៖

$ sudo dnf copr enable jdoss/wireguard
$ sudo dnf install wireguard-dkms wireguard-tools

ខ្ញុំមានការចែកចាយ Raspbian Buster ដែលបានដំឡើងនៅលើ Raspberry Pi របស់ខ្ញុំ មានកញ្ចប់រួចហើយនៅទីនោះ wireguard, ដំឡើងវា៖

$ sudo apt install wireguard

នៅលើទូរស័ព្ទ Android របស់ខ្ញុំខ្ញុំបានដំឡើងកម្មវិធី លួសហ្គូអេសភីអេស ពីកាតាឡុក Google App Store ផ្លូវការ។

ការដំឡើងសោ

សម្រាប់ការផ្ទៀងផ្ទាត់ភាពដូចគ្នា Wireguard ប្រើគ្រោងការណ៍សោឯកជន/សាធារណៈសាមញ្ញ ដើម្បីផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវរបស់មិត្តភក្ដិ VPN ។ អ្នកអាចបង្កើតសោ VPN បានយ៉ាងងាយស្រួលដោយប្រើពាក្យបញ្ជាខាងក្រោម៖

$ wg genkey | tee wg-laptop-private.key |  wg pubkey > wg-laptop-public.key
$ wg genkey | tee wg-server-private.key |  wg pubkey > wg-server-public.key
$ wg genkey | tee wg-mobile-private.key |  wg pubkey > wg-mobile-public.key

នេះផ្តល់ឱ្យយើងនូវគូគន្លឹះចំនួនបី (ឯកសារប្រាំមួយ) ។ យើងនឹងមិនសំដៅលើឯកសារនៅក្នុងការកំណត់នោះទេ ប៉ុន្តែចម្លងមាតិកានៅទីនេះ៖ គន្លឹះនីមួយៗគឺមួយបន្ទាត់ក្នុង base64។

ការបង្កើតឯកសារកំណត់រចនាសម្ព័ន្ធសម្រាប់ម៉ាស៊ីនមេ VPN (Raspberry Pi)

ការកំណត់រចនាសម្ព័ន្ធគឺសាមញ្ញណាស់, ខ្ញុំបានបង្កើតឯកសារខាងក្រោម /etc/wireguard/wg0.conf:

[Interface]
Address = 10.200.200.1/24
ListenPort = 51820
PrivateKey = <copy private key from wg-server-private.key>
PostUp   = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o wwan0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o wwan0 -j MASQUERADE

[Peer]
# laptop
PublicKey = <copy public key from wg-laptop-public.key>
AllowedIPs = 10.200.200.2/32

[Peer]
# mobile phone
PublicKey = <copy public key from wg-mobile-public.key>
AllowedIPs = 10.200.200.3/32

កំណត់ចំណាំពីរបី៖

• នៅកន្លែងសមស្របអ្នកត្រូវបញ្ចូលបន្ទាត់ពីឯកសារដោយប្រើគ្រាប់ចុច
• VPN របស់ខ្ញុំកំពុងប្រើក្រុមខាងក្នុង 10.200.200.0/24
• សម្រាប់ក្រុម PostUp/PostDown ខ្ញុំមានចំណុចប្រទាក់បណ្តាញខាងក្រៅ wwan0 អ្នកអាចមានមួយផ្សេងទៀត (ឧទាហរណ៍ eth0)

បណ្តាញ VPN ត្រូវបានលើកឡើងយ៉ាងងាយស្រួលដោយប្រើពាក្យបញ្ជាខាងក្រោម៖

$ sudo wg-quick up wg0

ព័ត៌មានលម្អិតតូចមួយ៖ ជាម៉ាស៊ីនមេ DNS ដែលខ្ញុំបានប្រើ dnsmasq ភ្ជាប់ទៅចំណុចប្រទាក់បណ្តាញ br0ខ្ញុំក៏បានបន្ថែមឧបករណ៍ផងដែរ។ wg0 ទៅបញ្ជីឧបករណ៍ដែលបានអនុញ្ញាត។ នៅក្នុង dnsmasq នេះត្រូវបានធ្វើដោយបន្ថែមបន្ទាត់ចំណុចប្រទាក់បណ្តាញថ្មីទៅឯកសារកំណត់រចនាសម្ព័ន្ធ /etc/dnsmasq.confឧទាហរណ៍:

interface=br0
interface=wg0

លើសពីនេះទៀតខ្ញុំបានបន្ថែមច្បាប់ iptable ដើម្បីអនុញ្ញាតឱ្យចរាចរទៅកាន់ច្រកស្តាប់ UDP (51280):

$ sudo iptables -I INPUT -p udp --dport 51820 -j ACCEPT

ឥឡូវនេះអ្វីៗកំពុងដំណើរការ យើងអាចរៀបចំការបើកដំណើរការដោយស្វ័យប្រវត្តិនៃផ្លូវរូងក្រោមដី VPN៖

$ sudo systemctl enable [email protected]

ការកំណត់រចនាសម្ព័ន្ធអតិថិជននៅលើកុំព្យូទ័រយួរដៃ

បង្កើតឯកសារកំណត់រចនាសម្ព័ន្ធនៅលើកុំព្យូទ័រយួរដៃ /etc/wireguard/wg0.conf ជាមួយនឹងការកំណត់ដូចគ្នា៖

[Interface]
Address = 10.200.200.2/24
PrivateKey = <copy private key from wg-laptop-private.key>

[Peer]
PublicKey = <copy public key from wg-server-public.key>
AllowedIPs = 10.200.200.0/24
Endpoint = edgewalker:51820

ចំណាំ:

• ជំនួសឱ្យ edgewalker អ្នកត្រូវបញ្ជាក់ IP សាធារណៈ ឬម៉ាស៊ីនមេ VPN
• ដោយការកំណត់ AllowedIPs នៅលើ 10.200.200.0/24យើងប្រើតែ VPN ដើម្បីចូលប្រើបណ្តាញខាងក្នុង។ ចរាចរណ៍ទៅកាន់អាសយដ្ឋាន IP/ម៉ាស៊ីនមេផ្សេងទៀតទាំងអស់នឹងបន្តទៅតាមរយៈបណ្តាញបើក "ធម្មតា"។ វាក៏នឹងប្រើម៉ាស៊ីនមេ DNS ដែលបានកំណត់ទុកជាមុននៅលើកុំព្យូទ័រយួរដៃផងដែរ។

សម្រាប់ការធ្វើតេស្ត និងការបើកដំណើរការដោយស្វ័យប្រវត្តិ យើងប្រើពាក្យបញ្ជាដូចគ្នា។ wg-quick и systemd:

$ sudo wg-quick up wg0
$ sudo systemctl enable [email protected]

ដំឡើងម៉ាស៊ីនភ្ញៀវនៅលើទូរស័ព្ទ Android

សម្រាប់ទូរស័ព្ទ Android យើងបង្កើតឯកសារកំណត់រចនាសម្ព័ន្ធស្រដៀងគ្នា (សូមហៅវាថា mobile.conf):

[Interface]
Address = 10.200.200.3/24
PrivateKey = <copy private key from wg-mobile-private.key>
DNS = 10.200.200.1
        
[Peer]
PublicKey = <copy public key from wg-server-public.key>
AllowedIPs = 0.0.0.0/0
Endpoint = edgewalker:51820

មិនដូចការកំណត់នៅលើកុំព្យូទ័រយួរដៃទេ ទូរស័ព្ទត្រូវតែប្រើម៉ាស៊ីនមេ VPN របស់យើងជាម៉ាស៊ីនមេ DNS (បន្ទាត់ DNS) ហើយក៏ឆ្លងកាត់ចរាចរណ៍ទាំងអស់តាមរយៈផ្លូវរូងក្រោមដី VPN (AllowedIPs = 0.0.0.0/0).

ជំនួសឱ្យការចម្លងឯកសារទៅឧបករណ៍ចល័តរបស់អ្នក អ្នកអាចបំប្លែងវាទៅជាកូដ QR៖

$ sudo apt install qrencode
$ qrencode -t ansiutf8 < mobile.conf

លេខកូដ QR នឹងចេញទៅកាន់កុងសូលជា ASCII ។ វាអាចត្រូវបានស្កេនពីកម្មវិធី Android VPN ហើយនឹងដំឡើងផ្លូវរូងក្រោមដី VPN ដោយស្វ័យប្រវត្តិ។

សេចក្តីសន្និដ្ឋាន

ការដំឡើង WireGuard គឺមានលក្ខណៈវេទមន្តបើប្រៀបធៀបទៅនឹង OpenVPN ។

ប្រភព: www.habr.com