🥇WireGuard - VPN ທີ່ຍິ່ງໃຫຍ່ໃນອະນາຄົດບໍ?

ເວລາໄດ້ມາເຖິງເມື່ອ VPN ບໍ່ແມ່ນເຄື່ອງມືທີ່ແປກປະຫຼາດຂອງຜູ້ບໍລິຫານລະບົບຈັບຫນວດອີກຕໍ່ໄປ. ຜູ້ໃຊ້ມີວຽກງານທີ່ແຕກຕ່າງກັນ, ແຕ່ຄວາມຈິງແລ້ວແມ່ນວ່າທຸກຄົນຕ້ອງການ VPN.

ບັນຫາກັບການແກ້ໄຂ VPN ໃນປະຈຸບັນແມ່ນວ່າພວກເຂົາມີຄວາມຫຍຸ້ງຍາກໃນການຕັ້ງຄ່າຢ່າງຖືກຕ້ອງ, ລາຄາແພງທີ່ຈະຮັກສາ, ແລະເຕັມໄປດ້ວຍລະຫັດມໍລະດົກຂອງຄຸນນະພາບທີ່ຫນ້າສົງໄສ.

ເມື່ອຫຼາຍປີກ່ອນ, ຜູ້ຊ່ຽວຊານດ້ານຄວາມປອດໄພຂໍ້ມູນຂ່າວສານຂອງການາດາ Jason A. Donenfeld ໄດ້ຕັດສິນໃຈວ່າລາວມີພຽງພໍແລະເລີ່ມເຮັດວຽກ. WireGuard. ດຽວນີ້ WireGuard ໄດ້ຖືກກະກຽມສໍາລັບການລວມຢູ່ໃນ Linux kernel ແລະຍັງໄດ້ຮັບການຍ້ອງຍໍຈາກ Linus Torvalds ແລະໃນ ສະພາສູງສະຫະລັດ.

ຂໍ້ໄດ້ປຽບທີ່ອ້າງສິດຂອງ WireGuard ຫຼາຍກວ່າວິທີແກ້ໄຂ VPN ອື່ນໆ:

ງ່າຍທີ່ຈະນໍາໃຊ້.
ໃຊ້ການເຂົ້າລະຫັດລັບທີ່ທັນສະໄຫມ: Noise protocol framework, Curve25519, ChaCha20, Poly1305, BLAKE2, SipHash24, HKDF, ແລະອື່ນໆ.
ກະທັດຮັດ, ລະຫັດທີ່ສາມາດອ່ານໄດ້, ງ່າຍຕໍ່ການກວດສອບຊ່ອງໂຫວ່.
ປະສິດທິພາບສູງ.
ຈະແຈ້ງ ແລະ ລະອຽດ ສະເພາະ.

ພົບເຫັນລູກປືນເງິນບໍ? ມັນແມ່ນເວລາທີ່ຈະຝັງ OpenVPN ແລະ IPSec ບໍ? ຂ້າພະເຈົ້າໄດ້ຕັດສິນໃຈຈັດການກັບເລື່ອງນີ້, ແລະໃນເວລາດຽວກັນຂ້າພະເຈົ້າໄດ້ເຮັດ script ສໍາລັບການຕິດຕັ້ງເຄື່ອງແມ່ຂ່າຍ VPN ສ່ວນບຸກຄົນໂດຍອັດຕະໂນມັດ.

ຫຼັກການເຮັດວຽກ

ຫຼັກການຂອງການປະຕິບັດງານສາມາດຖືກອະທິບາຍບາງສິ່ງບາງຢ່າງເຊັ່ນນີ້:

ການໂຕ້ຕອບ WireGuard ຖືກສ້າງຂື້ນແລະລະຫັດສ່ວນຕົວແລະທີ່ຢູ່ IP ຖືກມອບຫມາຍໃຫ້ມັນ. ການຕັ້ງຄ່າຂອງມິດສະຫາຍອື່ນໆແມ່ນການໂຫຼດ: ກະແຈສາທາລະນະຂອງເຂົາເຈົ້າ, ທີ່ຢູ່ IP, ແລະອື່ນໆ.
ທຸກແພັກເກັດ IP ທີ່ມາຮອດອິນເຕີເຟດ WireGuard ຖືກຫຸ້ມຢູ່ໃນ UDP ແລະ ຈັດສົ່ງຢ່າງປອດໄພ ມິດສະຫາຍອື່ນໆ.
ລູກຄ້າລະບຸທີ່ຢູ່ IP ສາທາລະນະຂອງເຄື່ອງແມ່ຂ່າຍໃນການຕັ້ງຄ່າ. ເຊີບເວີຮັບຮູ້ທີ່ຢູ່ພາຍນອກຂອງລູກຄ້າໂດຍອັດຕະໂນມັດເມື່ອໄດ້ຮັບຂໍ້ມູນທີ່ຖືກຕ້ອງຈາກພວກມັນ.
ເຄື່ອງແມ່ຂ່າຍສາມາດປ່ຽນທີ່ຢູ່ IP ສາທາລະນະໂດຍບໍ່ມີການຂັດຂວາງການເຮັດວຽກຂອງມັນ. ໃນເວລາດຽວກັນ, ມັນຈະສົ່ງການແຈ້ງເຕືອນໃຫ້ກັບລູກຄ້າທີ່ເຊື່ອມຕໍ່ແລະພວກເຂົາຈະປັບປຸງການຕັ້ງຄ່າຂອງພວກເຂົາໃນທັນທີ.
ແນວຄວາມຄິດຂອງເສັ້ນທາງແມ່ນຖືກນໍາໃຊ້ ເສັ້ນທາງ Cryptokey. WireGuard ຍອມຮັບ ແລະສົ່ງແພັກເກັດໂດຍອີງໃສ່ລະຫັດສາທາລະນະຂອງໝູ່ເພື່ອນ. ເມື່ອເຊີບເວີຖອດລະຫັດແພັກເກັດທີ່ຖືກຢືນຢັນຢ່າງຖືກຕ້ອງ, ຊ່ອງຂໍ້ມູນ src ຂອງມັນຖືກກວດສອບ. ຖ້າມັນກົງກັບການຕັ້ງຄ່າ allowed-ips authenticated peer, packet ແມ່ນໄດ້ຮັບໂດຍການໂຕ້ຕອບ WireGuard. ເມື່ອສົ່ງແພັກເກັດທີ່ສົ່ງອອກ, ຂັ້ນຕອນທີ່ສອດຄ້ອງກັນເກີດຂື້ນ: ພາກສະຫນາມ dst ຂອງແພັກເກັດຖືກປະຕິບັດແລະ, ອີງຕາມມັນ, ຄູ່ທີ່ສອດຄ້ອງກັນຖືກເລືອກ, ແພັກເກັດຖືກເຊັນດ້ວຍລະຫັດຂອງມັນ, ເຂົ້າລະຫັດດ້ວຍກະແຈຂອງເພື່ອນແລະຖືກສົ່ງໄປຫາຈຸດສິ້ນສຸດຫ່າງໄກສອກຫຼີກ. .

ເຫດຜົນຫຼັກຂອງ WireGuard ທັງໝົດມີລະຫັດໜ້ອຍກວ່າ 4 ພັນເສັ້ນ, ໃນຂະນະທີ່ OpenVPN ແລະ IPSec ມີຫຼາຍຮ້ອຍພັນສາຍ. ເພື່ອສະຫນັບສະຫນູນລະບົບການເຂົ້າລະຫັດລັບທີ່ທັນສະໄຫມ, ມັນໄດ້ຖືກສະເຫນີໃຫ້ປະກອບມີ API cryptographic ໃຫມ່ໃນ Linux kernel ສັງກະສີ. ໃນປັດຈຸບັນມີການສົນທະນາກ່ຽວກັບວ່ານີ້ແມ່ນຄວາມຄິດທີ່ດີຫຼືບໍ່.

ຜະລິດຕະພັນ

ປະໂຫຍດປະສິດທິພາບສູງສຸດ (ເມື່ອປຽບທຽບກັບ OpenVPN ແລະ IPSec) ຈະເຫັນໄດ້ຊັດເຈນໃນລະບົບ Linux, ນັບຕັ້ງແຕ່ WireGuard ຖືກປະຕິບັດເປັນໂມດູນ kernel ຢູ່ທີ່ນັ້ນ. ນອກຈາກນັ້ນ, macOS, Android, iOS, FreeBSD ແລະ OpenBSD ໄດ້ຮັບການສະຫນັບສະຫນູນ, ແຕ່ໃນພວກມັນ WireGuard ເຮັດວຽກຢູ່ໃນພື້ນທີ່ຜູ້ໃຊ້ທີ່ມີຜົນສະທ້ອນຕໍ່ການປະຕິບັດທັງຫມົດ. ການຮອງຮັບ Windows ຄາດວ່າຈະເພີ່ມໃນອະນາຄົດອັນໃກ້ນີ້.

ຜົນໄດ້ຮັບ Benchmark ກັບ ເວັບໄຊຢ່າງເປັນທາງການ:

ປະສົບການການນໍາໃຊ້ຂອງຂ້ອຍ

ຂ້ອຍບໍ່ແມ່ນຜູ້ຊ່ຽວຊານ VPN. ເມື່ອຂ້ອຍຕັ້ງ OpenVPN ດ້ວຍຕົນເອງແລະມັນຫນ້າເບື່ອຫຼາຍ, ແລະຂ້ອຍບໍ່ໄດ້ລອງ IPSec. ມີການຕັດສິນໃຈຫຼາຍເກີນໄປທີ່ຈະເຮັດ, ມັນງ່າຍຫຼາຍທີ່ຈະຍິງຕົວເອງໃສ່ຕີນ. ດັ່ງນັ້ນ, ຂ້ອຍສະເຫມີໃຊ້ສະຄິບທີ່ກຽມພ້ອມເພື່ອຕັ້ງຄ່າເຄື່ອງແມ່ຂ່າຍ.

ດັ່ງນັ້ນ, WireGuard, ຈາກທັດສະນະຂອງຂ້ອຍ, ໂດຍທົ່ວໄປແມ່ນເຫມາະສົມສໍາລັບຜູ້ໃຊ້. ການຕັດສິນໃຈໃນລະດັບຕ່ໍາທັງຫມົດແມ່ນດໍາເນີນຢູ່ໃນຂໍ້ກໍານົດ, ດັ່ງນັ້ນຂະບວນການກະກຽມໂຄງສ້າງພື້ນຖານ VPN ປົກກະຕິໃຊ້ເວລາພຽງແຕ່ສອງສາມນາທີ. ມັນເກືອບເປັນໄປບໍ່ໄດ້ທີ່ຈະໂກງໃນການຕັ້ງຄ່າ.

ຂະບວນການຕິດຕັ້ງ ອະທິບາຍລະອຽດ ຢູ່ໃນເວັບໄຊທ໌ທາງການ, ຂ້າພະເຈົ້າຢາກຈະສັງເກດເຫັນແຍກຕ່າງຫາກທີ່ດີເລີດ ສະຫນັບສະຫນູນ OpenWRT.

ລະຫັດການເຂົ້າລະຫັດແມ່ນສ້າງຂຶ້ນໂດຍຜົນປະໂຫຍດ wg:

SERVER_PRIVKEY=$( wg genkey )
SERVER_PUBKEY=$( echo $SERVER_PRIVKEY | wg pubkey )
CLIENT_PRIVKEY=$( wg genkey )
CLIENT_PUBKEY=$( echo $CLIENT_PRIVKEY | wg pubkey )

ຕໍ່ໄປ, ທ່ານຈໍາເປັນຕ້ອງສ້າງການຕັ້ງຄ່າເຄື່ອງແມ່ຂ່າຍ /etc/wireguard/wg0.conf ໂດຍມີເນື້ອໃນດັ່ງຕໍ່ໄປນີ້:

[Interface]
Address = 10.9.0.1/24
PrivateKey = $SERVER_PRIVKEY
[Peer]
PublicKey = $CLIENT_PUBKEY
AllowedIPs = 10.9.0.2/32

ແລະຍົກອຸໂມງຂຶ້ນດ້ວຍຕົວໜັງສື wg-quick:

sudo wg-quick up /etc/wireguard/wg0.conf

ໃນລະບົບທີ່ມີ systemd ທ່ານສາມາດນໍາໃຊ້ອັນນີ້ແທນ sudo systemctl start [email protected].

ໃນເຄື່ອງລູກຄ້າ, ສ້າງ config /etc/wireguard/wg0.conf:

[Interface]
PrivateKey = $CLIENT_PRIVKEY
Address = 10.9.0.2/24
[Peer]
PublicKey = $SERVER_PUBKEY
AllowedIPs = 0.0.0.0/0
Endpoint = 1.2.3.4:51820 # Внешний IP сервера
PersistentKeepalive = 25

ແລະຍົກອຸໂມງຂຶ້ນດ້ວຍວິທີດຽວກັນ:

sudo wg-quick up /etc/wireguard/wg0.conf

ທັງຫມົດທີ່ຍັງເຫຼືອແມ່ນເພື່ອ configure NAT ໃນເຄື່ອງແມ່ຂ່າຍເພື່ອໃຫ້ລູກຄ້າສາມາດເຂົ້າເຖິງອິນເຕີເນັດ, ແລະທ່ານສໍາເລັດ!

ຄວາມງ່າຍດາຍຂອງການນໍາໃຊ້ແລະຄວາມຫນາແຫນ້ນຂອງພື້ນຖານລະຫັດນີ້ແມ່ນບັນລຸໄດ້ໂດຍການກໍາຈັດຫນ້າທີ່ການແຈກຢາຍທີ່ສໍາຄັນ. ບໍ່ມີລະບົບໃບຢັ້ງຢືນທີ່ຊັບຊ້ອນ ແລະທຸກສິ່ງທີ່ເປັນຕາຢ້ານຂອງບໍລິສັດນີ້; ກະແຈການເຂົ້າລະຫັດສັ້ນຖືກແຈກຢາຍຫຼາຍຄືກັບກະແຈ SSH. ແຕ່ນີ້ເຮັດໃຫ້ເກີດບັນຫາ: WireGuard ຈະບໍ່ງ່າຍທີ່ຈະປະຕິບັດໃນບາງເຄືອຂ່າຍທີ່ມີຢູ່ແລ້ວ.

ໃນບັນດາຂໍ້ເສຍ, ມັນເປັນມູນຄ່າທີ່ສັງເກດວ່າ WireGuard ຈະບໍ່ເຮັດວຽກຜ່ານ HTTP proxy, ເພາະວ່າມີພຽງແຕ່ໂປໂຕຄອນ UDP ເທົ່ານັ້ນທີ່ມີການຂົນສົ່ງ. ຄໍາຖາມທີ່ເກີດຂື້ນ: ມັນເປັນໄປໄດ້ທີ່ຈະເຮັດໃຫ້ຄວາມສັບສົນຂອງໂປໂຕຄອນບໍ? ແນ່ນອນ, ນີ້ບໍ່ແມ່ນວຽກງານໂດຍກົງຂອງ VPN, ແຕ່ສໍາລັບ OpenVPN, ສໍາລັບຕົວຢ່າງ, ມີວິທີທີ່ຈະປອມຕົວເປັນ HTTPS, ເຊິ່ງຊ່ວຍໃຫ້ຜູ້ຢູ່ອາໄສຂອງບັນດາປະເທດທີ່ມີສິດເສລີພາບໃນການໃຊ້ອິນເຕີເນັດຢ່າງເຕັມສ່ວນ.

ການຄົ້ນພົບ

ເພື່ອສະຫຼຸບ, ນີ້ແມ່ນໂຄງການທີ່ຫນ້າສົນໃຈຫຼາຍແລະດີ, ທ່ານສາມາດນໍາໃຊ້ມັນຢູ່ໃນເຄື່ອງແມ່ຂ່າຍສ່ວນບຸກຄົນ. ກໍາໄລແມ່ນຫຍັງ? ປະສິດທິພາບສູງໃນລະບົບ Linux, ຄວາມງ່າຍໃນການຕິດຕັ້ງ ແລະການສະຫນັບສະຫນູນ, ພື້ນຖານລະຫັດທີ່ຫນາແຫນ້ນ ແລະສາມາດອ່ານໄດ້. ຢ່າງໃດກໍ່ຕາມ, ມັນໄວເກີນໄປທີ່ຈະຟ້າວທີ່ຈະໂອນໂຄງສ້າງພື້ນຖານທີ່ສັບສົນໃຫ້ກັບ WireGuard; ມັນຄຸ້ມຄ່າທີ່ຈະລໍຖ້າການລວມຢູ່ໃນ Linux kernel.

ເພື່ອຊ່ວຍປະຢັດເວລາຂອງຂ້ອຍ (ແລະຂອງເຈົ້າ), ຂ້ອຍໄດ້ພັດທະນາ WireGuard ຕິດຕັ້ງອັດຕະໂນມັດ. ດ້ວຍການຊ່ວຍເຫຼືອຂອງມັນ, ທ່ານສາມາດຕັ້ງຄ່າ VPN ສ່ວນຕົວສໍາລັບຕົວທ່ານເອງແລະຫມູ່ເພື່ອນຂອງທ່ານໂດຍບໍ່ມີການເຂົ້າໃຈຫຍັງກ່ຽວກັບມັນ.

ແຫຼ່ງຂໍ້ມູນ: www.habr.com

WireGuard ເປັນ VPN ທີ່ຍິ່ງໃຫຍ່ຂອງອະນາຄົດບໍ?

ຫຼັກການເຮັດວຽກ

ຜະລິດຕະພັນ

ປະສົບການການນໍາໃຊ້ຂອງຂ້ອຍ

ການຄົ້ນພົບ

ເພີ່ມຄວາມຄິດເຫັນ Отменитьответ