WireGuard 때문에 일부가 될 것이다 곧 출시될 Linux 커널 5.6에서 이 VPN을 내 커널과 통합하는 가장 좋은 방법을 알아보기로 결정했습니다. Raspberry Pi의 LTE 라우터/액세스 포인트.

Оборудование

• LTE 모듈과 공용 IP 주소를 갖춘 Raspberry Pi 3. 여기에 VPN 서버가 있습니다(이하 텍스트에서는 이를 호출함). 엣지워커)
• 모든 통신에 VPN을 사용해야 하는 Android 휴대폰
• 네트워크 내에서 VPN만 사용해야 하는 Linux 노트북

VPN에 연결되는 모든 장치는 다른 모든 장치에 연결할 수 있어야 합니다. 예를 들어, 두 장치가 모두 VPN 네트워크의 일부인 경우 전화기는 노트북의 웹 서버에 연결할 수 있어야 합니다. 설정이 매우 간단하다면 (이더넷을 통해) 데스크톱을 VPN에 연결하는 것을 고려해 볼 수 있습니다.

유선 및 무선 연결의 보안이 시간이 지남에 따라 점점 더 취약해지고 있다는 점을 고려하면(표적 공격, KRACK WPA2 크래킹 공격 и WPA3에 대한 Dragonblood 공격), 저는 어떤 환경에 있든 모든 장치에 WireGuard를 사용하는 것을 진지하게 고려하고 있습니다.

소프트웨어 설치

WireGuard가 제공하는 미리 컴파일된 패키지 대부분의 Linux, Windows 및 macOS 배포판에 적용됩니다. Android 및 iOS 앱은 앱 디렉터리를 통해 제공됩니다.

나는 최신 Fedora Linux 31을 가지고 있는데 너무 게을러서 설치하기 전에 설명서를 읽지 못했습니다. 방금 패키지를 찾았습니다. wireguard-tools, 설치했지만 왜 아무것도 작동하지 않는지 알 수 없었습니다. 추가 조사 결과 패키지가 설치되어 있지 않은 것으로 나타났습니다. wireguard-dkms (네트워크 드라이버 사용) 하지만 내 배포 저장소에는 없었습니다.

지침을 읽었다면 올바른 조치를 취했을 것입니다.

$ sudo dnf copr enable jdoss/wireguard
$ sudo dnf install wireguard-dkms wireguard-tools

내 Raspberry Pi에 Raspbian Buster 배포판이 설치되어 있는데 이미 패키지가 있습니다. wireguard, 설치:

$ sudo apt install wireguard

내 Android 휴대폰에 애플리케이션을 설치했습니다. 와이어가드 VPN 공식 Google App Store 카탈로그에서.

키 설치

피어 인증의 경우 Wireguard는 간단한 개인/공개 키 체계를 사용하여 VPN 피어를 인증합니다. 다음 명령을 사용하여 VPN 키를 쉽게 만들 수 있습니다.

$ wg genkey | tee wg-laptop-private.key |  wg pubkey > wg-laptop-public.key
$ wg genkey | tee wg-server-private.key |  wg pubkey > wg-server-public.key
$ wg genkey | tee wg-mobile-private.key |  wg pubkey > wg-mobile-public.key

그러면 세 개의 키 쌍(64개 파일)이 제공됩니다. 구성의 파일을 참조하지 않고 여기에 내용을 복사합니다. 각 키는 baseXNUMX에서 한 줄입니다.

VPN 서버용 구성 파일 생성(Raspberry Pi)

구성은 매우 간단합니다. 다음 파일을 만들었습니다. /etc/wireguard/wg0.conf:

[Interface]
Address = 10.200.200.1/24
ListenPort = 51820
PrivateKey = <copy private key from wg-server-private.key>
PostUp   = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o wwan0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o wwan0 -j MASQUERADE

[Peer]
# laptop
PublicKey = <copy public key from wg-laptop-public.key>
AllowedIPs = 10.200.200.2/32

[Peer]
# mobile phone
PublicKey = <copy public key from wg-mobile-public.key>
AllowedIPs = 10.200.200.3/32

몇 가지 참고 사항:

• 적절한 위치에 키가 있는 파일의 줄을 삽입해야 합니다.
• 내 VPN이 내부 밴드를 사용하고 있습니다. 10.200.200.0/24
• 팀용 PostUp/PostDown 외부 네트워크 인터페이스 wwan0이 있는데 다른 인터페이스(예: eth0)가 있을 수도 있습니다.

VPN 네트워크는 다음 명령을 사용하여 쉽게 생성됩니다.

$ sudo wg-quick up wg0

한 가지 작은 세부 사항: 내가 사용한 DNS 서버로 dnsmasq 네트워크 인터페이스에 연결됨 br0, 장치도 추가했습니다 wg0 허용된 장치 목록으로 이동합니다. dnsmasq에서는 구성 파일에 새 네트워크 인터페이스 줄을 추가하여 이를 수행합니다. /etc/dnsmasq.conf예 :

interface=br0
interface=wg0

또한 UDP 수신 포트(51280)에 대한 트래픽을 허용하는 iptable 규칙을 추가했습니다.

$ sudo iptables -I INPUT -p udp --dport 51820 -j ACCEPT

이제 모든 것이 작동하므로 VPN 터널의 자동 시작을 설정할 수 있습니다.

$ sudo systemctl enable [email protected]

노트북의 클라이언트 구성

노트북에서 구성 파일 만들기 /etc/wireguard/wg0.conf 동일한 설정으로:

[Interface]
Address = 10.200.200.2/24
PrivateKey = <copy private key from wg-laptop-private.key>

[Peer]
PublicKey = <copy public key from wg-server-public.key>
AllowedIPs = 10.200.200.0/24
Endpoint = edgewalker:51820

참고 사항 :

• Edgewalker 대신 공용 IP 또는 VPN 서버 호스트를 지정해야 합니다.
• 설정하여 AllowedIPs 에 10.200.200.0/24, 우리는 VPN을 사용하여 내부 네트워크에 액세스합니다. 다른 모든 IP 주소/서버에 대한 트래픽은 계속해서 "일반" 공개 채널을 통과합니다. 또한 노트북에 미리 구성된 DNS 서버를 사용합니다.

테스트 및 자동 실행을 위해 동일한 명령을 사용합니다. wg-quick и systemd:

$ sudo wg-quick up wg0
$ sudo systemctl enable [email protected]

Android 휴대폰에서 클라이언트 설정

Android 휴대폰의 경우 매우 유사한 구성 파일을 생성합니다. mobile.conf):

[Interface]
Address = 10.200.200.3/24
PrivateKey = <copy private key from wg-mobile-private.key>
DNS = 10.200.200.1
        
[Peer]
PublicKey = <copy public key from wg-server-public.key>
AllowedIPs = 0.0.0.0/0
Endpoint = edgewalker:51820

노트북의 구성과 달리 전화기는 VPN 서버를 DNS 서버로 사용해야 합니다(라인 DNS), VPN 터널(AllowedIPs = 0.0.0.0/0).

파일을 모바일 장치에 복사하는 대신 QR 코드로 변환할 수 있습니다.

$ sudo apt install qrencode
$ qrencode -t ansiutf8 < mobile.conf

QR 코드는 콘솔에 ASCII로 출력됩니다. Android VPN 앱에서 스캔할 수 있으며 자동으로 VPN 터널을 설정합니다.

출력

WireGuard 설정은 OpenVPN에 비해 정말 마술적입니다.

출처 : habr.com