ចាប់តាំងពី WireGuard នឹងក្លាយជាផ្នែក ស្នូលនាពេលអនាគត Linux 5.6 ខ្ញុំបានសម្រេចចិត្តមើលពីរបៀបល្អបំផុតដើម្បីរួមបញ្ចូល VPN នេះជាមួយរបស់ខ្ញុំ រ៉ោតទ័រ LTE / ចំណុចចូលដំណើរការនៅលើ Raspberry Pi.

ឧបករណ៍

• Raspberry Pi 3 ជាមួយម៉ូឌុល LTE និងអាសយដ្ឋាន IP សាធារណៈ។ វានឹងមានម៉ាស៊ីនមេ VPN នៅទីនេះ (តទៅនេះនៅក្នុងអត្ថបទវាត្រូវបានហៅ អ្នកដើរគែម)
• ទូរស័ព្ទបើក Androidដែលត្រូវតែប្រើ VPN សម្រាប់ការទំនាក់ទំនងទាំងអស់
• កុំព្យូទ័រយួរដៃ Linuxដែលគួរតែប្រើ VPN នៅក្នុងបណ្តាញតែប៉ុណ្ណោះ

រាល់ឧបករណ៍ដែលភ្ជាប់ទៅ VPN ត្រូវតែអាចភ្ជាប់ទៅឧបករណ៍ផ្សេងទៀតទាំងអស់។ ឧទាហរណ៍ ទូរសព្ទគួរតែអាចភ្ជាប់ទៅម៉ាស៊ីនមេបណ្តាញនៅលើកុំព្យូទ័រយួរដៃ ប្រសិនបើឧបករណ៍ទាំងពីរជាផ្នែកនៃបណ្តាញ VPN ។ ប្រសិនបើការរៀបចំប្រែទៅជាសាមញ្ញ នោះអ្នកអាចគិតអំពីការភ្ជាប់ផ្ទៃតុទៅ VPN (តាមរយៈអ៊ីសឺរណិត)។

ដោយ​ពិចារណា​ថា​ការ​តភ្ជាប់​តាម​ខ្សែ និង​ឥត​ខ្សែ​កាន់តែ​មាន​សុវត្ថិភាព​កាន់តែ​តិច​ទៅៗ​តាម​ពេលវេលា (ការវាយប្រហារគោលដៅ, ការវាយលុករបស់ KRACK WPA2 и ការវាយប្រហារ Dragonblood ប្រឆាំងនឹង WPA3) ខ្ញុំកំពុងពិចារណាយ៉ាងម៉ត់ចត់អំពីការប្រើប្រាស់ WireGuard សម្រាប់ឧបករណ៍របស់ខ្ញុំទាំងអស់ មិនថាពួកវាដំណើរការនៅក្នុងបរិស្ថានបែបណានោះទេ។

ការដំឡើងកម្មវិធី

WireGuard ផ្តល់ជូន កញ្ចប់ដែលបានចងក្រងជាមុន សម្រាប់ការចែកចាយភាគច្រើន Linux, Windows и macOSកម្មវិធីសម្រាប់ Android និង iOS ត្រូវបានចែកចាយតាមរយៈហាងកម្មវិធី។

ខ្ញុំមាន Fedora ចុងក្រោយបំផុត Linux ៣១ ហើយមុនពេលដំឡើង ខ្ញុំខ្ជិលពេកក្នុងការអានសៀវភៅណែនាំ។ ខ្ញុំទើបតែរកឃើញកញ្ចប់។ wireguard-toolsដំឡើងពួកវា ហើយបន្ទាប់មកមិនអាចដឹងថាហេតុអ្វីបានជាគ្មានអ្វីដំណើរការ។ ការស៊ើបអង្កេតបន្ថែមបានបង្ហាញថាខ្ញុំមិនមានកញ្ចប់ដំឡើងទេ។ wireguard-dkms (ជាមួយកម្មវិធីបញ្ជាបណ្តាញ) ប៉ុន្តែវាមិននៅក្នុងឃ្លាំងនៃការចែកចាយរបស់ខ្ញុំទេ។

ប្រសិនបើខ្ញុំបានអានការណែនាំ ខ្ញុំនឹងចាត់វិធានការត្រឹមត្រូវ៖

$ sudo dnf copr enable jdoss/wireguard
$ sudo dnf install wireguard-dkms wireguard-tools

ខ្ញុំមានការចែកចាយ Raspbian Buster ដែលបានដំឡើងនៅលើ Raspberry Pi របស់ខ្ញុំ មានកញ្ចប់រួចហើយនៅទីនោះ wireguard, ដំឡើងវា៖

$ sudo apt install wireguard

នៅលើទូរស័ព្ទ Android ខ្ញុំបានដំឡើងកម្មវិធី WireGuard VPN ពីកាតាឡុក Google App Store ផ្លូវការ។

ការដំឡើងសោ

ដើម្បីផ្ទៀងផ្ទាត់ណូត Wireguard ប្រើប្រាស់គ្រោងការណ៍សោឯកជន/សាធារណៈសាមញ្ញមួយ ដើម្បីផ្ទៀងផ្ទាត់ណូត VPN។ អ្នកអាចបង្កើតសោ VPN បានយ៉ាងងាយស្រួលជាមួយពាក្យបញ្ជាដូចខាងក្រោម៖

$ wg genkey | tee wg-laptop-private.key |  wg pubkey > wg-laptop-public.key
$ wg genkey | tee wg-server-private.key |  wg pubkey > wg-server-public.key
$ wg genkey | tee wg-mobile-private.key |  wg pubkey > wg-mobile-public.key

នេះផ្តល់ឱ្យយើងនូវគូគន្លឹះចំនួនបី (ឯកសារប្រាំមួយ) ។ យើងនឹងមិនសំដៅលើឯកសារនៅក្នុងការកំណត់នោះទេ ប៉ុន្តែចម្លងមាតិកានៅទីនេះ៖ គន្លឹះនីមួយៗគឺមួយបន្ទាត់ក្នុង base64។

ការបង្កើតឯកសារកំណត់រចនាសម្ព័ន្ធសម្រាប់ម៉ាស៊ីនមេ VPN (Raspberry Pi)

ការកំណត់រចនាសម្ព័ន្ធគឺសាមញ្ញណាស់, ខ្ញុំបានបង្កើតឯកសារខាងក្រោម /etc/wireguard/wg0.conf:

[Interface]
Address = 10.200.200.1/24
ListenPort = 51820
PrivateKey = <copy private key from wg-server-private.key>
PostUp   = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o wwan0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o wwan0 -j MASQUERADE

[Peer]
# laptop
PublicKey = <copy public key from wg-laptop-public.key>
AllowedIPs = 10.200.200.2/32

[Peer]
# mobile phone
PublicKey = <copy public key from wg-mobile-public.key>
AllowedIPs = 10.200.200.3/32

កំណត់ចំណាំពីរបី៖

• នៅកន្លែងសមស្របអ្នកត្រូវបញ្ចូលបន្ទាត់ពីឯកសារដោយប្រើគ្រាប់ចុច
• VPN របស់ខ្ញុំកំពុងប្រើក្រុមខាងក្នុង 10.200.200.0/24
• សម្រាប់ក្រុម PostUp/PostDown ខ្ញុំមានចំណុចប្រទាក់បណ្តាញខាងក្រៅ wwan0 អ្នកអាចមានមួយផ្សេងទៀត (ឧទាហរណ៍ eth0)

បណ្តាញ VPN ត្រូវបានលើកឡើងយ៉ាងងាយស្រួលដោយប្រើពាក្យបញ្ជាខាងក្រោម៖

$ sudo wg-quick up wg0

ព័ត៌មានលម្អិតតូចមួយ៖ ជាម៉ាស៊ីនមេ DNS ដែលខ្ញុំបានប្រើ dnsmasq ភ្ជាប់ទៅចំណុចប្រទាក់បណ្តាញ br0ខ្ញុំក៏បានបន្ថែមឧបករណ៍ផងដែរ។ wg0 ទៅបញ្ជីឧបករណ៍ដែលបានអនុញ្ញាត។ នៅក្នុង dnsmasq នេះត្រូវបានធ្វើដោយបន្ថែមបន្ទាត់ចំណុចប្រទាក់បណ្តាញថ្មីទៅឯកសារកំណត់រចនាសម្ព័ន្ធ /etc/dnsmasq.confឧទាហរណ៍:

interface=br0
interface=wg0

លើសពីនេះទៀតខ្ញុំបានបន្ថែមច្បាប់ iptable ដើម្បីអនុញ្ញាតឱ្យចរាចរទៅកាន់ច្រកស្តាប់ UDP (51280):

$ sudo iptables -I INPUT -p udp --dport 51820 -j ACCEPT

ឥឡូវនេះអ្វីៗកំពុងដំណើរការ យើងអាចរៀបចំការបើកដំណើរការដោយស្វ័យប្រវត្តិនៃផ្លូវរូងក្រោមដី VPN៖

$ sudo systemctl enable wg-quick@wg0.service

ការកំណត់រចនាសម្ព័ន្ធអតិថិជននៅលើកុំព្យូទ័រយួរដៃ

បង្កើតឯកសារកំណត់រចនាសម្ព័ន្ធនៅលើកុំព្យូទ័រយួរដៃ /etc/wireguard/wg0.conf ជាមួយនឹងការកំណត់ដូចគ្នា៖

[Interface]
Address = 10.200.200.2/24
PrivateKey = <copy private key from wg-laptop-private.key>

[Peer]
PublicKey = <copy public key from wg-server-public.key>
AllowedIPs = 10.200.200.0/24
Endpoint = edgewalker:51820

ចំណាំ:

• ជំនួសឱ្យ edgewalker អ្នកត្រូវបញ្ជាក់ IP សាធារណៈ ឬម៉ាស៊ីនមេ VPN
• ដោយការកំណត់ AllowedIPs នៅលើ 10.200.200.0/24យើងប្រើតែ VPN ដើម្បីចូលប្រើបណ្តាញខាងក្នុង។ ចរាចរណ៍ទៅកាន់អាសយដ្ឋាន IP/ម៉ាស៊ីនមេផ្សេងទៀតទាំងអស់នឹងបន្តទៅតាមរយៈបណ្តាញបើក "ធម្មតា"។ វាក៏នឹងប្រើម៉ាស៊ីនមេ DNS ដែលបានកំណត់ទុកជាមុននៅលើកុំព្យូទ័រយួរដៃផងដែរ។

សម្រាប់ការធ្វើតេស្ត និងការបើកដំណើរការដោយស្វ័យប្រវត្តិ យើងប្រើពាក្យបញ្ជាដូចគ្នា។ wg-quick и systemd:

$ sudo wg-quick up wg0
$ sudo systemctl enable wg-quick@wg0.service

កំពុងរៀបចំអតិថិជនសម្រាប់ Android-ទូរស័ព្ទ

សម្រាប់ទូរស័ព្ទ Android យើងបង្កើតឯកសារកំណត់រចនាសម្ព័ន្ធស្រដៀងគ្នាខ្លាំងណាស់ (សូមហៅវាថា mobile.conf):

[Interface]
Address = 10.200.200.3/24
PrivateKey = <copy private key from wg-mobile-private.key>
DNS = 10.200.200.1
        
[Peer]
PublicKey = <copy public key from wg-server-public.key>
AllowedIPs = 0.0.0.0/0
Endpoint = edgewalker:51820

មិនដូចការកំណត់នៅលើកុំព្យូទ័រយួរដៃទេ ទូរស័ព្ទត្រូវតែប្រើម៉ាស៊ីនមេ VPN របស់យើងជាម៉ាស៊ីនមេ DNS (បន្ទាត់ DNS) ហើយក៏ឆ្លងកាត់ចរាចរណ៍ទាំងអស់តាមរយៈផ្លូវរូងក្រោមដី VPN (AllowedIPs = 0.0.0.0/0).

ជំនួសឱ្យការចម្លងឯកសារទៅឧបករណ៍ចល័តរបស់អ្នក អ្នកអាចបំប្លែងវាទៅជាកូដ QR៖

$ sudo apt install qrencode
$ qrencode -t ansiutf8 < mobile.conf

កូដ QR នឹងត្រូវបានបញ្ចេញទៅកាន់កុងសូលជា ASCII។ វាអាចត្រូវបានស្កេនពីកម្មវិធី។ Android VPN ហើយកំណត់រចនាសម្ព័ន្ធផ្លូវរូងក្រោមដី VPN ដោយស្វ័យប្រវត្តិ។

សេចក្តីសន្និដ្ឋាន

ការលៃតម្រូវ WireGuard គ្រាន់តែវេទមន្តបើប្រៀបធៀបទៅនឹង OpenVPN.

ប្រភព: www.habr.com