이후 WireGuard 일부가 될 것이다 미래 핵심 Linux 5.6 버전에서 저는 이 VPN을 제 시스템과 가장 잘 통합하는 방법을 알아보기로 했습니다. Raspberry Pi의 LTE 라우터/액세스 포인트.

Оборудование

• LTE 모듈과 공용 IP 주소를 갖춘 Raspberry Pi 3. 여기에 VPN 서버가 있습니다(이하 텍스트에서는 이를 호출함). 엣지워커)
• 전화 Android모든 통신에 VPN을 사용해야 합니다.
• 노트북 Linux네트워크 내에서만 VPN을 사용해야 합니다.

VPN에 연결되는 모든 장치는 다른 모든 장치에 연결할 수 있어야 합니다. 예를 들어, 두 장치가 모두 VPN 네트워크의 일부인 경우 전화기는 노트북의 웹 서버에 연결할 수 있어야 합니다. 설정이 매우 간단하다면 (이더넷을 통해) 데스크톱을 VPN에 연결하는 것을 고려해 볼 수 있습니다.

유선 및 무선 연결의 보안이 시간이 지남에 따라 점점 더 취약해지고 있다는 점을 고려하면(표적 공격, KRACK WPA2 크래킹 공격 и WPA3에 대한 Dragonblood 공격), 저는 진지하게 사용을 고려하고 있습니다. WireGuard 내 모든 기기에서, 어떤 환경에서 실행되든 상관없이.

소프트웨어 설치

WireGuard 제공 미리 컴파일된 패키지 대부분의 배포판의 경우 Linux, Windows и macOS지원서 Android iOS 앱은 앱 스토어를 통해 배포됩니다.

저는 최신 Fedora를 사용하고 있습니다. Linux 31번이고, 설치하기 전에 설명서를 읽기 귀찮아서 그냥 패키지들을 찾았어요. wireguard-tools, 설치했지만 왜 아무것도 작동하지 않는지 알 수 없었습니다. 추가 조사 결과 패키지가 설치되어 있지 않은 것으로 나타났습니다. wireguard-dkms (네트워크 드라이버 사용) 하지만 내 배포 저장소에는 없었습니다.

지침을 읽었다면 올바른 조치를 취했을 것입니다.

$ sudo dnf copr enable jdoss/wireguard
$ sudo dnf install wireguard-dkms wireguard-tools

내 Raspberry Pi에 Raspbian Buster 배포판이 설치되어 있는데 이미 패키지가 있습니다. wireguard, 설치:

$ sudo apt install wireguard

전화로 Android 저는 애플리케이션을 설치했습니다. WireGuard VPN 공식 Google App Store 카탈로그에서.

키 설치

노드를 인증하기 위해 Wireguard VPN 노드 인증에는 간단한 개인/공개 키 체계를 사용합니다. 다음 명령어를 사용하여 VPN 키를 쉽게 생성할 수 있습니다.

$ wg genkey | tee wg-laptop-private.key |  wg pubkey > wg-laptop-public.key
$ wg genkey | tee wg-server-private.key |  wg pubkey > wg-server-public.key
$ wg genkey | tee wg-mobile-private.key |  wg pubkey > wg-mobile-public.key

그러면 세 개의 키 쌍(64개 파일)이 제공됩니다. 구성의 파일을 참조하지 않고 여기에 내용을 복사합니다. 각 키는 baseXNUMX에서 한 줄입니다.

VPN 서버용 구성 파일 생성(Raspberry Pi)

구성은 매우 간단합니다. 다음 파일을 만들었습니다. /etc/wireguard/wg0.conf:

[Interface]
Address = 10.200.200.1/24
ListenPort = 51820
PrivateKey = <copy private key from wg-server-private.key>
PostUp   = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o wwan0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o wwan0 -j MASQUERADE

[Peer]
# laptop
PublicKey = <copy public key from wg-laptop-public.key>
AllowedIPs = 10.200.200.2/32

[Peer]
# mobile phone
PublicKey = <copy public key from wg-mobile-public.key>
AllowedIPs = 10.200.200.3/32

몇 가지 참고 사항:

• 적절한 위치에 키가 있는 파일의 줄을 삽입해야 합니다.
• 내 VPN이 내부 밴드를 사용하고 있습니다. 10.200.200.0/24
• 팀용 PostUp/PostDown 외부 네트워크 인터페이스 wwan0이 있는데 다른 인터페이스(예: eth0)가 있을 수도 있습니다.

VPN 네트워크는 다음 명령을 사용하여 쉽게 생성됩니다.

$ sudo wg-quick up wg0

한 가지 작은 세부 사항: 내가 사용한 DNS 서버로 dnsmasq 네트워크 인터페이스에 연결됨 br0, 장치도 추가했습니다 wg0 허용된 장치 목록으로 이동합니다. dnsmasq에서는 구성 파일에 새 네트워크 인터페이스 줄을 추가하여 이를 수행합니다. /etc/dnsmasq.conf예 :

interface=br0
interface=wg0

또한 UDP 수신 포트(51280)에 대한 트래픽을 허용하는 iptable 규칙을 추가했습니다.

$ sudo iptables -I INPUT -p udp --dport 51820 -j ACCEPT

이제 모든 것이 작동하므로 VPN 터널의 자동 시작을 설정할 수 있습니다.

$ sudo systemctl enable wg-quick@wg0.service

노트북의 클라이언트 구성

노트북에서 구성 파일 만들기 /etc/wireguard/wg0.conf 동일한 설정으로:

[Interface]
Address = 10.200.200.2/24
PrivateKey = <copy private key from wg-laptop-private.key>

[Peer]
PublicKey = <copy public key from wg-server-public.key>
AllowedIPs = 10.200.200.0/24
Endpoint = edgewalker:51820

참고 사항 :

• Edgewalker 대신 공용 IP 또는 VPN 서버 호스트를 지정해야 합니다.
• 설정하여 AllowedIPs 에 10.200.200.0/24, 우리는 VPN을 사용하여 내부 네트워크에 액세스합니다. 다른 모든 IP 주소/서버에 대한 트래픽은 계속해서 "일반" 공개 채널을 통과합니다. 또한 노트북에 미리 구성된 DNS 서버를 사용합니다.

테스트 및 자동 실행을 위해 동일한 명령을 사용합니다. wg-quick и systemd:

$ sudo wg-quick up wg0
$ sudo systemctl enable wg-quick@wg0.service

클라이언트 설정 Android-핸드폰

전화 Android 우리는 이와 매우 유사한 설정 파일(가칭)을 생성합니다. mobile.conf):

[Interface]
Address = 10.200.200.3/24
PrivateKey = <copy private key from wg-mobile-private.key>
DNS = 10.200.200.1
        
[Peer]
PublicKey = <copy public key from wg-server-public.key>
AllowedIPs = 0.0.0.0/0
Endpoint = edgewalker:51820

노트북의 구성과 달리 전화기는 VPN 서버를 DNS 서버로 사용해야 합니다(라인 DNS), VPN 터널(AllowedIPs = 0.0.0.0/0).

파일을 모바일 장치에 복사하는 대신 QR 코드로 변환할 수 있습니다.

$ sudo apt install qrencode
$ qrencode -t ansiutf8 < mobile.conf

QR 코드는 ASCII 형식으로 콘솔에 출력됩니다. 앱에서 스캔할 수 있습니다. Android VPN을 사용하고 VPN 터널을 자동으로 구성합니다.

출력

조정 WireGuard 비교할 수 없을 정도로 마법 같다 OpenVPN.

출처 : habr.com