ProHoster > Vai WireGuard ir lieliskais nÄkotnes VPN?
Vai WireGuard ir lieliskais nÄkotnes VPN?
Ir pienÄcis laiks, kad VPN vairs nav kÄds eksotisks bÄrdainu sistÄmu administratoru rÄ«ks. LietotÄjiem ir dažÄdi uzdevumi, taÄu fakts ir tÄds, ka ikvienam ir nepiecieÅ”ams VPN.
PaÅ”reizÄjo VPN risinÄjumu problÄma ir tÄ, ka tos ir grÅ«ti pareizi konfigurÄt, tos ir dÄrgi uzturÄt, un tie ir pilni ar apÅ”aubÄmas kvalitÄtes mantoto kodu.
Pirms vairÄkiem gadiem kanÄdieÅ”u informÄcijas droŔības speciÄlists Džeisons A. Donenfelds nolÄma, ka viÅam ar to ir gana, un sÄka strÄdÄt pie WireGuard. WireGuard tagad tiek gatavots iekļauÅ”anai Linux kodolÄ un pat saÅÄmis atzinÄ«bu no Linuss Torvalds un ASV SenÄts.
ApgalvotÄs WireGuard priekÅ”rocÄ«bas salÄ«dzinÄjumÄ ar citiem VPN risinÄjumiem:
Ärti lietojams.
Izmanto modernu kriptogrÄfiju: Noise protokolu ietvars, Curve25519, ChaCha20, Poly1305, BLAKE2, SipHash24, HKDF u.c.
Tiek izveidots WireGuard interfeiss, un tam tiek pieŔķirta privÄtÄ atslÄga un IP adrese. Tiek ielÄdÄti citu vienaudžu iestatÄ«jumi: viÅu publiskÄs atslÄgas, IP adreses utt.
Visas IP paketes, kas nonÄk WireGuard saskarnÄ, ir iekapsulÄtas UDP un piegÄdÄts droÅ”i citi vienaudži.
Klienti iestatÄ«jumos norÄda servera publisko IP adresi. Serveris automÄtiski atpazÄ«st klientu ÄrÄjÄs adreses, kad no tiem tiek saÅemti pareizi autentificÄti dati.
Serveris var mainÄ«t publisko IP adresi, nepÄrtraucot savu darbu. TajÄ paÅ”Ä laikÄ tas nosÅ«tÄ«s brÄ«dinÄjumu savienotajiem klientiem, un viÅi lidojuma laikÄ atjauninÄs savu konfigurÄciju.
Tiek izmantots marÅ”rutÄÅ”anas jÄdziens KriptoatslÄgas marÅ”rutÄÅ”ana. WireGuard pieÅem un nosÅ«ta paketes, pamatojoties uz vienÄdranga publisko atslÄgu. Kad serveris atÅ”ifrÄ pareizi autentificÄtu paketi, tiek pÄrbaudÄ«ts tÄs src lauks. Ja tas atbilst konfigurÄcijai allowed-ips autentificÄts lÄ«dzinieks, paketi saÅem WireGuard interfeiss. NosÅ«tot izejoÅ”o paketi, notiek atbilstoÅ”Ä procedÅ«ra: tiek Åemts paketes lauks dst un, pamatojoties uz to, tiek atlasÄ«ts atbilstoÅ”ais lÄ«dzinieks, pakete tiek parakstÄ«ta ar tÄs atslÄgu, Å”ifrÄta ar partnera atslÄgu un nosÅ«tÄ«ta uz attÄlo galapunktu. .
Visa WireGuard pamata loÄ£ika aizÅem mazÄk nekÄ 4 tÅ«kstoÅ”us koda rindiÅu, savukÄrt OpenVPN un IPSec ir simtiem tÅ«kstoÅ”u rindiÅu. Lai atbalstÄ«tu mÅ«sdienu kriptogrÄfijas algoritmus, tiek ierosinÄts iekļaut jaunu kriptogrÄfijas API Linux kodolÄ Cinks. PaÅ”laik notiek diskusija par to, vai tÄ ir laba ideja.
ŠŃŠ¾ŠøŠ·Š²Š¾Š“ŠøŃŠµŠ»ŃŠ½Š¾ŃŃŃ
MaksimÄlÄ veiktspÄjas priekÅ”rocÄ«ba (salÄ«dzinÄjumÄ ar OpenVPN un IPSec) bÅ«s pamanÄma Linux sistÄmÄs, jo WireGuard tur ir ieviests kÄ kodola modulis. TurklÄt tiek atbalstÄ«tas macOS, Android, iOS, FreeBSD un OpenBSD, taÄu tajÄs WireGuard darbojas lietotÄja telpÄ ar visÄm no tÄ izrietoÅ”ajÄm veiktspÄjas sekÄm. Paredzams, ka tuvÄkajÄ nÄkotnÄ tiks pievienots Windows atbalsts.
Es neesmu VPN eksperts. Es reiz iestatÄ«ju OpenVPN manuÄli, un tas bija ļoti nogurdinoÅ”i, un es pat neizmÄÄ£inÄju IPSec. Ir pÄrÄk daudz lÄmumu, kas jÄpieÅem, ir ļoti viegli ieÅ”aut sev kÄjÄ. TÄpÄc servera konfigurÄÅ”anai vienmÄr izmantoju gatavus skriptus.
TÄtad, WireGuard, no mana viedokļa, parasti ir ideÄls lietotÄjam. Visi zema lÄ«meÅa lÄmumi tiek pieÅemti specifikÄcijÄ, tÄpÄc tipiskas VPN infrastruktÅ«ras sagatavoÅ”anas process aizÅem tikai dažas minÅ«tes. KonfigurÄcijÄ ir gandrÄ«z neiespÄjami krÄpties.
Atliek tikai konfigurÄt NAT serverÄ«, lai klienti varÄtu piekļūt internetam, un esat pabeidzis!
Å Ä« koda bÄzes lietoÅ”anas vienkÄrŔība un kompaktums tika panÄkts, likvidÄjot atslÄgu izplatÄ«Å”anas funkcionalitÄti. Nav sarežģītas sertifikÄtu sistÄmas un visas Ŕīs korporatÄ«vÄs Å”ausmas; Ä«sÄs Å”ifrÄÅ”anas atslÄgas tiek izplatÄ«tas lÄ«dzÄ«gi kÄ SSH atslÄgas. Bet tas rada problÄmu: WireGuard nebÅ«s tik viegli ieviest dažos esoÅ”ajos tÄ«klos.
Starp trÅ«kumiem ir vÄrts atzÄ«mÄt, ka WireGuard nedarbosies, izmantojot HTTP starpniekserveri, jo kÄ transports ir pieejams tikai UDP protokols. Rodas jautÄjums: vai izdosies apmulsinÄt protokolu? Protams, tas nav VPN tieÅ”ais uzdevums, taÄu, piemÄram, OpenVPN ir veidi, kÄ maskÄties kÄ HTTPS, kas palÄ«dz totalitÄro valstu iedzÄ«votÄjiem pilnvÄrtÄ«gi izmantot internetu.
Atzinumi
RezumÄjot, Å”is ir ļoti interesants un daudzsoloÅ”s projekts, to jau var izmantot personÄ«gajos serveros. KÄda ir peļÅa? Augsta veiktspÄja Linux sistÄmÄs, vienkÄrÅ”a iestatÄ«Å”ana un atbalsts, kompakta un lasÄma kodu bÄze. TomÄr ir pÄragri steigties nodot sarežģītu infrastruktÅ«ru WireGuard, ir vÄrts gaidÄ«t tÄs iekļauÅ”anu Linux kodolÄ.
Lai ietaupÄ«tu savu (un jÅ«su) laiku, es izstrÄdÄju WireGuard automÄtiskais instalÄtÄjs. Ar tÄs palÄ«dzÄ«bu jÅ«s varat iestatÄ«t personÄ«go VPN sev un saviem draugiem, pat neko par to nesaprotot.