ນັບຕັ້ງແຕ່ WireGuard ຈະກາຍເປັນສ່ວນຫນຶ່ງ ແກນອະນາຄົດ Linux 5.6, ຂ້ອຍໄດ້ຕັດສິນໃຈເບິ່ງວ່າຈະເຊື່ອມໂຍງ VPN ນີ້ເຂົ້າກັບຂອງຂ້ອຍໄດ້ແນວໃດດີທີ່ສຸດ ເຣົາເຕີ LTE/ຈຸດເຂົ້າເຖິງໃນ Raspberry Pi.

ອຸປະກອນ

• Raspberry Pi 3 ກັບໂມດູນ LTE ແລະທີ່ຢູ່ IP ສາທາລະນະ. ຈະມີເຄື່ອງແມ່ຂ່າຍ VPN ຢູ່ທີ່ນີ້ (ຕໍ່ໄປນີ້ໃນຂໍ້ຄວາມທີ່ມັນຖືກເອີ້ນວ່າ ຄົນຍ່າງແຄມທາງ)
• ໂທລະສັບເປີດຢູ່ Android, ເຊິ່ງຕ້ອງໃຊ້ VPN ສຳລັບການສື່ສານທັງໝົດ
• ແລໍບທັອບ Linux, ເຊິ່ງຄວນໃຊ້ VPN ພາຍໃນເຄືອຂ່າຍເທົ່ານັ້ນ

ທຸກອຸປະກອນທີ່ເຊື່ອມຕໍ່ກັບ VPN ຈະຕ້ອງສາມາດເຊື່ອມຕໍ່ກັບອຸປະກອນອື່ນທັງໝົດໄດ້. ຕົວຢ່າງ, ໂທລະສັບຄວນຈະສາມາດເຊື່ອມຕໍ່ກັບເຄື່ອງແມ່ຂ່າຍເວັບໃນແລັບທັອບໄດ້ຖ້າອຸປະກອນທັງສອງເປັນສ່ວນຫນຶ່ງຂອງເຄືອຂ່າຍ VPN. ຖ້າ​ຫາກ​ວ່າ​ການ​ຕັ້ງ​ຄ່າ​ແມ່ນ​ງ່າຍ​ດາຍ​ທີ່​ຂ້ອນ​ຂ້າງ​, ຫຼັງ​ຈາກ​ນັ້ນ​ທ່ານ​ສາ​ມາດ​ຄິດ​ກ່ຽວ​ກັບ​ການ​ເຊື່ອມ​ຕໍ່ desktop ກັບ VPN (ຜ່ານ Ethernet​)​.

ພິ​ຈາ​ລະ​ນາ​ວ່າ​ການ​ເຊື່ອມ​ຕໍ່​ແບບ​ມີ​ສາຍ​ແລະ​ໄຮ້​ສາຍ​ແມ່ນ​ມີ​ຫນ້ອຍ​ແລະ​ຄວາມ​ປອດ​ໄພ​ຫນ້ອຍ​ໃນ​ໄລ​ຍະ​ເວ​ລາ (ການ​ໂຈມ​ຕີ​ເປົ້າ​ຫມາຍ​, ການໂຈມຕີແຕກ KRACK WPA2 и ການໂຈມຕີເລືອດມັງກອນຕໍ່ກັບ WPA3), ຂ້ອຍກຳລັງພິຈາລະນາຢ່າງຈິງຈັງກ່ຽວກັບການນຳໃຊ້ WireGuard ສຳລັບອຸປະກອນທັງໝົດຂອງຂ້ອຍ, ບໍ່ວ່າພວກມັນຈະເຮັດວຽກຢູ່ໃນສະພາບແວດລ້ອມໃດກໍຕາມ.

ການຕິດຕັ້ງຊອບແວ

WireGuard ສະຫນອງ ຫຸ້ມຫໍ່ precompiled ສຳລັບການແຈກຢາຍສ່ວນໃຫຍ່ Linux, Windows и macOSແອັບພລິເຄຊັນສຳລັບ Android ແລະ iOS ແມ່ນສົ່ງຜ່ານຮ້ານແອັບ.

ຂ້ອຍມີ Fedora ລຸ້ນລ້າສຸດ Linux 31, ແລະກ່ອນທີ່ຈະຕິດຕັ້ງຂ້ອຍຂີ້ຄ້ານເກີນໄປທີ່ຈະອ່ານຄູ່ມື. ຂ້ອຍຫາກໍ່ພົບແພັກເກດຕ່າງໆ. wireguard-tools, ຕິດຕັ້ງພວກມັນ, ແລະຫຼັງຈາກນັ້ນບໍ່ສາມາດຄິດອອກວ່າເປັນຫຍັງບໍ່ມີຫຍັງເຮັດວຽກ. ການສືບສວນເພີ່ມເຕີມເປີດເຜີຍວ່າຂ້ອຍບໍ່ມີຊຸດຕິດຕັ້ງ wireguard-dkms (ກັບໄດເວີເຄືອຂ່າຍ), ແຕ່ມັນບໍ່ໄດ້ຢູ່ໃນບ່ອນເກັບມ້ຽນຂອງການແຈກຢາຍຂອງຂ້ອຍ.

ຖ້າຂ້ອຍໄດ້ອ່ານຄໍາແນະນໍາ, ຂ້ອຍຈະປະຕິບັດຂັ້ນຕອນທີ່ຖືກຕ້ອງ:

$ sudo dnf copr enable jdoss/wireguard
$ sudo dnf install wireguard-dkms wireguard-tools

ຂ້ອຍມີການແຈກຢາຍ Raspbian Buster ຕິດຕັ້ງຢູ່ໃນ Raspberry Pi ຂອງຂ້ອຍ, ມີຊຸດຢູ່ແລ້ວ wireguard, ຕິດ​ຕັ້ງ​ມັນ​:

$ sudo apt install wireguard

ຢູ່ໃນໂທລະສັບ Android ຂ້ອຍໄດ້ຕິດຕັ້ງແອັບພລິເຄຊັນແລ້ວ WireGuard VPN ຈາກແຄັດຕາລັອກ Google App Store ຢ່າງເປັນທາງການ.

ການຕິດຕັ້ງກະແຈ

ເພື່ອກວດສອບຄວາມຖືກຕ້ອງຂອງໂຫນດ Wireguard ໃຊ້ຮູບແບບກະແຈສ່ວນຕົວ/ສາທາລະນະແບບງ່າຍໆເພື່ອກວດສອບຄວາມຖືກຕ້ອງຂອງໂຫນດ VPN. ທ່ານສາມາດສ້າງກະແຈ VPN ໄດ້ງ່າຍດ້ວຍຄຳສັ່ງຕໍ່ໄປນີ້:

$ wg genkey | tee wg-laptop-private.key |  wg pubkey > wg-laptop-public.key
$ wg genkey | tee wg-server-private.key |  wg pubkey > wg-server-public.key
$ wg genkey | tee wg-mobile-private.key |  wg pubkey > wg-mobile-public.key

ນີ້ເຮັດໃຫ້ພວກເຮົາສາມຄູ່ທີ່ສໍາຄັນ (ຫົກໄຟລ໌). ພວກເຮົາຈະບໍ່ອ້າງເຖິງໄຟລ໌ໃນການຕັ້ງຄ່າ, ແຕ່ຄັດລອກເນື້ອໃນຢູ່ທີ່ນີ້: ແຕ່ລະຄີແມ່ນຫນຶ່ງແຖວໃນ base64.

ການສ້າງໄຟລ໌ການຕັ້ງຄ່າສໍາລັບເຄື່ອງແມ່ຂ່າຍ VPN (Raspberry Pi)

ການຕັ້ງຄ່າແມ່ນຂ້ອນຂ້າງງ່າຍດາຍ, ຂ້າພະເຈົ້າໄດ້ສ້າງໄຟລ໌ຕໍ່ໄປນີ້ /etc/wireguard/wg0.conf:

[Interface]
Address = 10.200.200.1/24
ListenPort = 51820
PrivateKey = <copy private key from wg-server-private.key>
PostUp   = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o wwan0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o wwan0 -j MASQUERADE

[Peer]
# laptop
PublicKey = <copy public key from wg-laptop-public.key>
AllowedIPs = 10.200.200.2/32

[Peer]
# mobile phone
PublicKey = <copy public key from wg-mobile-public.key>
AllowedIPs = 10.200.200.3/32

ສອງສາມບັນທຶກ:

• ໃນສະຖານທີ່ທີ່ເຫມາະສົມ, ທ່ານຈໍາເປັນຕ້ອງໃສ່ສາຍຈາກໄຟລ໌ທີ່ມີຄີ
• VPN ຂອງຂ້ອຍກຳລັງໃຊ້ແຖບພາຍໃນ 10.200.200.0/24
• ສໍາລັບທີມງານ PostUp/PostDown ຂ້ອຍມີອິນເຕີເຟດເຄືອຂ່າຍພາຍນອກ wwan0, ເຈົ້າອາດມີອັນອື່ນ (ຕົວຢ່າງ, eth0)

ເຄືອຂ່າຍ VPN ຖືກຍົກຂຶ້ນມາໄດ້ງ່າຍດ້ວຍຄໍາສັ່ງຕໍ່ໄປນີ້:

$ sudo wg-quick up wg0

ຫນຶ່ງໃນລາຍລະອຽດຂະຫນາດນ້ອຍ: ເປັນເຄື່ອງແມ່ຂ່າຍ DNS ທີ່ຂ້ອຍໃຊ້ dnsmasq ຜູກມັດກັບການໂຕ້ຕອບເຄືອຂ່າຍ br0, ຂ້ອຍຍັງໄດ້ເພີ່ມອຸປະກອນ wg0 ບັນຊີລາຍຊື່ຂອງອຸປະກອນທີ່ອະນຸຍາດ. ໃນ dnsmasq ນີ້ແມ່ນເຮັດໄດ້ໂດຍການເພີ່ມເສັ້ນການໂຕ້ຕອບເຄືອຂ່າຍໃຫມ່ໃຫ້ກັບໄຟລ໌ການຕັ້ງຄ່າ /etc/dnsmasq.confຕົວຢ່າງ:

interface=br0
interface=wg0

ນອກຈາກນັ້ນ, ຂ້າພະເຈົ້າໄດ້ເພີ່ມກົດລະບຽບ iptable ເພື່ອອະນຸຍາດໃຫ້ການຈະລາຈອນໄປຫາພອດຟັງ UDP (51280):

$ sudo iptables -I INPUT -p udp --dport 51820 -j ACCEPT

ໃນປັດຈຸບັນທີ່ທຸກສິ່ງທຸກຢ່າງເຮັດວຽກ, ພວກເຮົາສາມາດຕັ້ງຄ່າການເປີດຕົວອັດຕະໂນມັດຂອງອຸໂມງ VPN:

$ sudo systemctl enable wg-quick@wg0.service

ການຕັ້ງຄ່າລູກຄ້າໃນແລັບທັອບ

ສ້າງໄຟລ໌ການຕັ້ງຄ່າໃນແລັບທັອບ /etc/wireguard/wg0.conf ດ້ວຍການຕັ້ງຄ່າດຽວກັນ:

[Interface]
Address = 10.200.200.2/24
PrivateKey = <copy private key from wg-laptop-private.key>

[Peer]
PublicKey = <copy public key from wg-server-public.key>
AllowedIPs = 10.200.200.0/24
Endpoint = edgewalker:51820

ຫມາຍເຫດ:

• ແທນທີ່ຈະ edgewalker ທ່ານຈໍາເປັນຕ້ອງລະບຸ IP ສາທາລະນະຫຼືເຈົ້າພາບເຄື່ອງແມ່ຂ່າຍ VPN
• ໂດຍຕັ້ງ AllowedIPs ສຸດ 10.200.200.0/24, ພວກເຮົາພຽງແຕ່ໃຊ້ VPN ເພື່ອເຂົ້າເຖິງເຄືອຂ່າຍພາຍໃນ. ການຈະລາຈອນໄປຫາທີ່ຢູ່ IP / ເຄື່ອງແມ່ຂ່າຍອື່ນໆທັງຫມົດຈະສືບຕໍ່ຜ່ານຊ່ອງທາງເປີດ "ປົກກະຕິ". ມັນຍັງຈະໃຊ້ເຊີບເວີ DNS ທີ່ໄດ້ກຳນົດຄ່າໄວ້ລ່ວງໜ້າຢູ່ໃນແລັບທັອບ.

ສໍາລັບການທົດສອບແລະການເປີດຕົວອັດຕະໂນມັດພວກເຮົາໃຊ້ຄໍາສັ່ງດຽວກັນ wg-quick и systemd:

$ sudo wg-quick up wg0
$ sudo systemctl enable wg-quick@wg0.service

ກຳລັງຕັ້ງຄ່າລູກຄ້າສຳລັບ Android-ໂທລະສັບ

ສໍາລັບໂທລະສັບ Android ພວກເຮົາສ້າງໄຟລ໌ການຕັ້ງຄ່າທີ່ຄ້າຍຄືກັນຫຼາຍ (ເອີ້ນມັນວ່າ mobile.conf):

[Interface]
Address = 10.200.200.3/24
PrivateKey = <copy private key from wg-mobile-private.key>
DNS = 10.200.200.1
        
[Peer]
PublicKey = <copy public key from wg-server-public.key>
AllowedIPs = 0.0.0.0/0
Endpoint = edgewalker:51820

ບໍ່ຄືກັບການຕັ້ງຄ່າໃນແລັບທັອບ, ໂທລະສັບຈະຕ້ອງໃຊ້ເຄື່ອງແມ່ຂ່າຍ VPN ຂອງພວກເຮົາເປັນເຄື່ອງແມ່ຂ່າຍ DNS (line DNS), ແລະຍັງຜ່ານການຈະລາຈອນທັງຫມົດໂດຍຜ່ານອຸໂມງ VPN (AllowedIPs = 0.0.0.0/0).

ແທນ​ທີ່​ຈະ​ສໍາ​ເນົາ​ໄຟລ​໌​ກັບ​ອຸ​ປະ​ກອນ​ມື​ຖື​ຂອງ​ທ່ານ​, ທ່ານ​ສາ​ມາດ​ປ່ຽນ​ມັນ​ເປັນ​ລະ​ຫັດ QR ໄດ້​:

$ sudo apt install qrencode
$ qrencode -t ansiutf8 < mobile.conf

ລະຫັດ QR ຈະຖືກສົ່ງອອກໄປຍັງຄອນໂຊນເປັນ ASCII. ມັນສາມາດສະແກນໄດ້ຈາກແອັບ. Android VPN ແລະ ຕັ້ງຄ່າອຸໂມງ VPN ໂດຍອັດຕະໂນມັດ.

ສະຫລຸບ

ການປັບ WireGuard ພຽງແຕ່ມະຫັດສະຈັນເມື່ອທຽບກັບ OpenVPN.

ແຫຼ່ງຂໍ້ມູນ: www.habr.com