ເນື່ອງຈາກວ່າ WireGuard ຈະກາຍເປັນສ່ວນຫນຶ່ງ ຂອງ Linux kernel 5.6 ທີ່ຈະມາເຖິງ, ຂ້າພະເຈົ້າໄດ້ຕັດສິນໃຈເບິ່ງວິທີການທີ່ດີທີ່ສຸດໃນການລວມ VPN ນີ້ກັບຂອງຂ້ອຍ. ເຣົາເຕີ LTE/ຈຸດເຂົ້າເຖິງໃນ Raspberry Pi.

ອຸປະກອນ

• Raspberry Pi 3 ກັບໂມດູນ LTE ແລະທີ່ຢູ່ IP ສາທາລະນະ. ຈະມີເຄື່ອງແມ່ຂ່າຍ VPN ຢູ່ທີ່ນີ້ (ຕໍ່ໄປນີ້ໃນຂໍ້ຄວາມທີ່ມັນຖືກເອີ້ນວ່າ ຄົນຍ່າງແຄມທາງ)
• ໂທລະສັບ Android ທີ່ຕ້ອງໃຊ້ VPN ສໍາລັບການສື່ສານທັງຫມົດ
• ແລັບທັອບ Linux ທີ່ຄວນໃຊ້ VPN ພາຍໃນເຄືອຂ່າຍເທົ່ານັ້ນ

ທຸກອຸປະກອນທີ່ເຊື່ອມຕໍ່ກັບ VPN ຈະຕ້ອງສາມາດເຊື່ອມຕໍ່ກັບອຸປະກອນອື່ນທັງໝົດໄດ້. ຕົວຢ່າງ, ໂທລະສັບຄວນຈະສາມາດເຊື່ອມຕໍ່ກັບເຄື່ອງແມ່ຂ່າຍເວັບໃນແລັບທັອບໄດ້ຖ້າອຸປະກອນທັງສອງເປັນສ່ວນຫນຶ່ງຂອງເຄືອຂ່າຍ VPN. ຖ້າ​ຫາກ​ວ່າ​ການ​ຕັ້ງ​ຄ່າ​ແມ່ນ​ງ່າຍ​ດາຍ​ທີ່​ຂ້ອນ​ຂ້າງ​, ຫຼັງ​ຈາກ​ນັ້ນ​ທ່ານ​ສາ​ມາດ​ຄິດ​ກ່ຽວ​ກັບ​ການ​ເຊື່ອມ​ຕໍ່ desktop ກັບ VPN (ຜ່ານ Ethernet​)​.

ພິ​ຈາ​ລະ​ນາ​ວ່າ​ການ​ເຊື່ອມ​ຕໍ່​ແບບ​ມີ​ສາຍ​ແລະ​ໄຮ້​ສາຍ​ແມ່ນ​ມີ​ຫນ້ອຍ​ແລະ​ຄວາມ​ປອດ​ໄພ​ຫນ້ອຍ​ໃນ​ໄລ​ຍະ​ເວ​ລາ (ການ​ໂຈມ​ຕີ​ເປົ້າ​ຫມາຍ​, ການໂຈມຕີແຕກ KRACK WPA2 и ການໂຈມຕີເລືອດມັງກອນຕໍ່ກັບ WPA3), ຂ້ອຍກໍາລັງພິຈາລະນາຢ່າງຈິງຈັງກັບການໃຊ້ WireGuard ສໍາລັບອຸປະກອນຂອງຂ້ອຍທັງຫມົດ, ບໍ່ວ່າພວກເຂົາຢູ່ໃນສະພາບແວດລ້ອມໃດກໍ່ຕາມ.

ການຕິດຕັ້ງຊອບແວ

WireGuard ໃຫ້ ຫຸ້ມຫໍ່ precompiled ສໍາລັບການແຈກຢາຍ Linux, Windows ແລະ macOS ສ່ວນໃຫຍ່. ແອັບ Android ແລະ iOS ຖືກສົ່ງຜ່ານລາຍການຂອງແອັບ.

ຂ້ອຍມີ Fedora Linux 31 ຫຼ້າສຸດ, ແລະຂ້ອຍຂີ້ຄ້ານເກີນໄປທີ່ຈະອ່ານຄູ່ມືກ່ອນທີ່ຈະຕິດຕັ້ງ. ຫາກໍພົບຊຸດຕ່າງໆ wireguard-tools, ຕິດຕັ້ງພວກມັນ, ແລະຫຼັງຈາກນັ້ນບໍ່ສາມາດຄິດອອກວ່າເປັນຫຍັງບໍ່ມີຫຍັງເຮັດວຽກ. ການສືບສວນເພີ່ມເຕີມເປີດເຜີຍວ່າຂ້ອຍບໍ່ມີຊຸດຕິດຕັ້ງ wireguard-dkms (ກັບໄດເວີເຄືອຂ່າຍ), ແຕ່ມັນບໍ່ໄດ້ຢູ່ໃນບ່ອນເກັບມ້ຽນຂອງການແຈກຢາຍຂອງຂ້ອຍ.

ຖ້າຂ້ອຍໄດ້ອ່ານຄໍາແນະນໍາ, ຂ້ອຍຈະປະຕິບັດຂັ້ນຕອນທີ່ຖືກຕ້ອງ:

$ sudo dnf copr enable jdoss/wireguard
$ sudo dnf install wireguard-dkms wireguard-tools

ຂ້ອຍມີການແຈກຢາຍ Raspbian Buster ຕິດຕັ້ງຢູ່ໃນ Raspberry Pi ຂອງຂ້ອຍ, ມີຊຸດຢູ່ແລ້ວ wireguard, ຕິດ​ຕັ້ງ​ມັນ​:

$ sudo apt install wireguard

ໃນໂທລະສັບ Android ຂອງຂ້ອຍຂ້ອຍຕິດຕັ້ງແອັບພລິເຄຊັນ WireGuardVPN ຈາກແຄັດຕາລັອກ Google App Store ຢ່າງເປັນທາງການ.

ການຕິດຕັ້ງກະແຈ

ສຳລັບການພິສູດຢືນຢັນແບບໝູ່ເພື່ອນ, Wireguard ໃຊ້ລະບົບກະແຈສ່ວນຕົວ/ສາທາລະນະແບບງ່າຍດາຍເພື່ອພິສູດຢືນຢັນເພື່ອນຮ່ວມ VPN. ທ່ານສາມາດສ້າງລະຫັດ VPN ໄດ້ຢ່າງງ່າຍດາຍໂດຍໃຊ້ຄໍາສັ່ງຕໍ່ໄປນີ້:

$ wg genkey | tee wg-laptop-private.key |  wg pubkey > wg-laptop-public.key
$ wg genkey | tee wg-server-private.key |  wg pubkey > wg-server-public.key
$ wg genkey | tee wg-mobile-private.key |  wg pubkey > wg-mobile-public.key

ນີ້ເຮັດໃຫ້ພວກເຮົາສາມຄູ່ທີ່ສໍາຄັນ (ຫົກໄຟລ໌). ພວກເຮົາຈະບໍ່ອ້າງເຖິງໄຟລ໌ໃນການຕັ້ງຄ່າ, ແຕ່ຄັດລອກເນື້ອໃນຢູ່ທີ່ນີ້: ແຕ່ລະຄີແມ່ນຫນຶ່ງແຖວໃນ base64.

ການສ້າງໄຟລ໌ການຕັ້ງຄ່າສໍາລັບເຄື່ອງແມ່ຂ່າຍ VPN (Raspberry Pi)

ການຕັ້ງຄ່າແມ່ນຂ້ອນຂ້າງງ່າຍດາຍ, ຂ້າພະເຈົ້າໄດ້ສ້າງໄຟລ໌ຕໍ່ໄປນີ້ /etc/wireguard/wg0.conf:

[Interface]
Address = 10.200.200.1/24
ListenPort = 51820
PrivateKey = <copy private key from wg-server-private.key>
PostUp   = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o wwan0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o wwan0 -j MASQUERADE

[Peer]
# laptop
PublicKey = <copy public key from wg-laptop-public.key>
AllowedIPs = 10.200.200.2/32

[Peer]
# mobile phone
PublicKey = <copy public key from wg-mobile-public.key>
AllowedIPs = 10.200.200.3/32

ສອງສາມບັນທຶກ:

• ໃນສະຖານທີ່ທີ່ເຫມາະສົມ, ທ່ານຈໍາເປັນຕ້ອງໃສ່ສາຍຈາກໄຟລ໌ທີ່ມີຄີ
• VPN ຂອງຂ້ອຍກຳລັງໃຊ້ແຖບພາຍໃນ 10.200.200.0/24
• ສໍາລັບທີມງານ PostUp/PostDown ຂ້ອຍມີອິນເຕີເຟດເຄືອຂ່າຍພາຍນອກ wwan0, ເຈົ້າອາດມີອັນອື່ນ (ຕົວຢ່າງ, eth0)

ເຄືອຂ່າຍ VPN ຖືກຍົກຂຶ້ນມາໄດ້ງ່າຍດ້ວຍຄໍາສັ່ງຕໍ່ໄປນີ້:

$ sudo wg-quick up wg0

ຫນຶ່ງໃນລາຍລະອຽດຂະຫນາດນ້ອຍ: ເປັນເຄື່ອງແມ່ຂ່າຍ DNS ທີ່ຂ້ອຍໃຊ້ dnsmasq ຜູກມັດກັບການໂຕ້ຕອບເຄືອຂ່າຍ br0, ຂ້ອຍຍັງໄດ້ເພີ່ມອຸປະກອນ wg0 ບັນຊີລາຍຊື່ຂອງອຸປະກອນທີ່ອະນຸຍາດ. ໃນ dnsmasq ນີ້ແມ່ນເຮັດໄດ້ໂດຍການເພີ່ມເສັ້ນການໂຕ້ຕອບເຄືອຂ່າຍໃຫມ່ໃຫ້ກັບໄຟລ໌ການຕັ້ງຄ່າ /etc/dnsmasq.confຕົວຢ່າງ:

interface=br0
interface=wg0

ນອກຈາກນັ້ນ, ຂ້າພະເຈົ້າໄດ້ເພີ່ມກົດລະບຽບ iptable ເພື່ອອະນຸຍາດໃຫ້ການຈະລາຈອນໄປຫາພອດຟັງ UDP (51280):

$ sudo iptables -I INPUT -p udp --dport 51820 -j ACCEPT

ໃນປັດຈຸບັນທີ່ທຸກສິ່ງທຸກຢ່າງເຮັດວຽກ, ພວກເຮົາສາມາດຕັ້ງຄ່າການເປີດຕົວອັດຕະໂນມັດຂອງອຸໂມງ VPN:

$ sudo systemctl enable [email protected]

ການຕັ້ງຄ່າລູກຄ້າໃນແລັບທັອບ

ສ້າງໄຟລ໌ການຕັ້ງຄ່າໃນແລັບທັອບ /etc/wireguard/wg0.conf ດ້ວຍການຕັ້ງຄ່າດຽວກັນ:

[Interface]
Address = 10.200.200.2/24
PrivateKey = <copy private key from wg-laptop-private.key>

[Peer]
PublicKey = <copy public key from wg-server-public.key>
AllowedIPs = 10.200.200.0/24
Endpoint = edgewalker:51820

ຫມາຍເຫດ:

• ແທນທີ່ຈະ edgewalker ທ່ານຈໍາເປັນຕ້ອງລະບຸ IP ສາທາລະນະຫຼືເຈົ້າພາບເຄື່ອງແມ່ຂ່າຍ VPN
• ໂດຍຕັ້ງ AllowedIPs ສຸດ 10.200.200.0/24, ພວກເຮົາພຽງແຕ່ໃຊ້ VPN ເພື່ອເຂົ້າເຖິງເຄືອຂ່າຍພາຍໃນ. ການຈະລາຈອນໄປຫາທີ່ຢູ່ IP / ເຄື່ອງແມ່ຂ່າຍອື່ນໆທັງຫມົດຈະສືບຕໍ່ຜ່ານຊ່ອງທາງເປີດ "ປົກກະຕິ". ມັນຍັງຈະໃຊ້ເຊີບເວີ DNS ທີ່ໄດ້ກຳນົດຄ່າໄວ້ລ່ວງໜ້າຢູ່ໃນແລັບທັອບ.

ສໍາລັບການທົດສອບແລະການເປີດຕົວອັດຕະໂນມັດພວກເຮົາໃຊ້ຄໍາສັ່ງດຽວກັນ wg-quick и systemd:

$ sudo wg-quick up wg0
$ sudo systemctl enable [email protected]

ການ​ຕັ້ງ​ຄ່າ​ລູກ​ຄ້າ​ຢູ່​ໃນ​ໂທລະ​ສັບ Android​

ສໍາລັບໂທລະສັບ Android ພວກເຮົາສ້າງໄຟລ໌ການຕັ້ງຄ່າທີ່ຄ້າຍຄືກັນຫຼາຍ (ໃຫ້ໂທຫາມັນ mobile.conf):

[Interface]
Address = 10.200.200.3/24
PrivateKey = <copy private key from wg-mobile-private.key>
DNS = 10.200.200.1
        
[Peer]
PublicKey = <copy public key from wg-server-public.key>
AllowedIPs = 0.0.0.0/0
Endpoint = edgewalker:51820

ບໍ່ຄືກັບການຕັ້ງຄ່າໃນແລັບທັອບ, ໂທລະສັບຈະຕ້ອງໃຊ້ເຄື່ອງແມ່ຂ່າຍ VPN ຂອງພວກເຮົາເປັນເຄື່ອງແມ່ຂ່າຍ DNS (line DNS), ແລະຍັງຜ່ານການຈະລາຈອນທັງຫມົດໂດຍຜ່ານອຸໂມງ VPN (AllowedIPs = 0.0.0.0/0).

ແທນ​ທີ່​ຈະ​ສໍາ​ເນົາ​ໄຟລ​໌​ກັບ​ອຸ​ປະ​ກອນ​ມື​ຖື​ຂອງ​ທ່ານ​, ທ່ານ​ສາ​ມາດ​ປ່ຽນ​ມັນ​ເປັນ​ລະ​ຫັດ QR ໄດ້​:

$ sudo apt install qrencode
$ qrencode -t ansiutf8 < mobile.conf

ລະຫັດ QR ຈະອອກໄປຫາ console ເປັນ ASCII. ມັນສາມາດສະແກນໄດ້ຈາກແອັບ Android VPN ແລະຈະຕັ້ງອຸໂມງ VPN ໂດຍອັດຕະໂນມັດ.

ສະຫລຸບ

ການຕັ້ງຄ່າ WireGuard ເປັນເລື່ອງແປກທີ່ທຽບກັບ OpenVPN.

ແຫຼ່ງຂໍ້ມູນ: www.habr.com