Ir pienÄcis laiks, kad VPN vairs nav kÄds eksotisks bÄrdainu sistÄmu administratoru rÄ«ks. LietotÄjiem ir dažÄdi uzdevumi, taÄu fakts ir tÄds, ka ikvienam ir nepiecieÅ”ams VPN.
PaÅ”reizÄjo VPN risinÄjumu problÄma ir tÄ, ka tos ir grÅ«ti pareizi konfigurÄt, tos ir dÄrgi uzturÄt, un tie ir pilni ar apÅ”aubÄmas kvalitÄtes mantoto kodu.
Pirms vairÄkiem gadiem kanÄdieÅ”u informÄcijas droŔības speciÄlists Džeisons A. Donenfelds nolÄma, ka viÅam ar to ir gana, un sÄka strÄdÄt pie . WireGuard tagad tiek gatavots iekļauÅ”anai Linux kodolÄ un pat saÅÄmis atzinÄ«bu no un .
ApgalvotÄs WireGuard priekÅ”rocÄ«bas salÄ«dzinÄjumÄ ar citiem VPN risinÄjumiem:
- Ärti lietojams.
- Izmanto modernu kriptogrÄfiju: Noise protokolu ietvars, Curve25519, ChaCha20, Poly1305, BLAKE2, SipHash24, HKDF u.c.
- Kompakts, lasÄms kods, vieglÄk izmeklÄt ievainojamÄ«bas.
- Augsta veiktspÄja.
- Skaidrs un izstrÄdÄts .
Vai ir atrasta sudraba lode? Vai ir pienÄcis laiks aprakt OpenVPN un IPSec? Es nolÄmu ar to tikt galÄ, un tajÄ paÅ”Ä laikÄ es to darÄ«ju .
Darba principi
DarbÄ«bas principus var aprakstÄ«t Å”Ädi:
- Tiek izveidots WireGuard interfeiss, un tam tiek pieŔķirta privÄtÄ atslÄga un IP adrese. Tiek ielÄdÄti citu vienaudžu iestatÄ«jumi: viÅu publiskÄs atslÄgas, IP adreses utt.
- Visas IP paketes, kas nonÄk WireGuard saskarnÄ, ir iekapsulÄtas UDP un citi vienaudži.
- Klienti iestatÄ«jumos norÄda servera publisko IP adresi. Serveris automÄtiski atpazÄ«st klientu ÄrÄjÄs adreses, kad no tiem tiek saÅemti pareizi autentificÄti dati.
- Serveris var mainÄ«t publisko IP adresi, nepÄrtraucot savu darbu. TajÄ paÅ”Ä laikÄ tas nosÅ«tÄ«s brÄ«dinÄjumu savienotajiem klientiem, un viÅi lidojuma laikÄ atjauninÄs savu konfigurÄciju.
- Tiek izmantots marÅ”rutÄÅ”anas jÄdziens . WireGuard pieÅem un nosÅ«ta paketes, pamatojoties uz vienÄdranga publisko atslÄgu. Kad serveris atÅ”ifrÄ pareizi autentificÄtu paketi, tiek pÄrbaudÄ«ts tÄs src lauks. Ja tas atbilst konfigurÄcijai
allowed-ipsautentificÄts lÄ«dzinieks, paketi saÅem WireGuard interfeiss. NosÅ«tot izejoÅ”o paketi, notiek atbilstoÅ”Ä procedÅ«ra: tiek Åemts paketes lauks dst un, pamatojoties uz to, tiek atlasÄ«ts atbilstoÅ”ais lÄ«dzinieks, pakete tiek parakstÄ«ta ar tÄs atslÄgu, Å”ifrÄta ar partnera atslÄgu un nosÅ«tÄ«ta uz attÄlo galapunktu. .
Visa WireGuard pamata loÄ£ika aizÅem mazÄk nekÄ 4 tÅ«kstoÅ”us koda rindiÅu, savukÄrt OpenVPN un IPSec ir simtiem tÅ«kstoÅ”u rindiÅu. Lai atbalstÄ«tu mÅ«sdienu kriptogrÄfijas algoritmus, tiek ierosinÄts iekļaut jaunu kriptogrÄfijas API Linux kodolÄ . PaÅ”laik notiek diskusija par to, vai tÄ ir laba ideja.
ŠŃŠ¾ŠøŠ·Š²Š¾Š“ŠøŃŠµŠ»ŃŠ½Š¾ŃŃŃ
MaksimÄlÄ veiktspÄjas priekÅ”rocÄ«ba (salÄ«dzinÄjumÄ ar OpenVPN un IPSec) bÅ«s pamanÄma Linux sistÄmÄs, jo WireGuard tur ir ieviests kÄ kodola modulis. TurklÄt tiek atbalstÄ«tas macOS, Android, iOS, FreeBSD un OpenBSD, taÄu tajÄs WireGuard darbojas lietotÄja telpÄ ar visÄm no tÄ izrietoÅ”ajÄm veiktspÄjas sekÄm. Paredzams, ka tuvÄkajÄ nÄkotnÄ tiks pievienots Windows atbalsts.
Etalona rezultÄti ar :
Mana lietoŔanas pieredze
Es neesmu VPN eksperts. Es reiz iestatÄ«ju OpenVPN manuÄli, un tas bija ļoti nogurdinoÅ”i, un es pat neizmÄÄ£inÄju IPSec. Ir pÄrÄk daudz lÄmumu, kas jÄpieÅem, ir ļoti viegli ieÅ”aut sev kÄjÄ. TÄpÄc servera konfigurÄÅ”anai vienmÄr izmantoju gatavus skriptus.
TÄtad, WireGuard, no mana viedokļa, parasti ir ideÄls lietotÄjam. Visi zema lÄ«meÅa lÄmumi tiek pieÅemti specifikÄcijÄ, tÄpÄc tipiskas VPN infrastruktÅ«ras sagatavoÅ”anas process aizÅem tikai dažas minÅ«tes. KonfigurÄcijÄ ir gandrÄ«z neiespÄjami krÄpties.
UzstÄdÄ«Å”anas process oficiÄlajÄ vietnÄ es vÄlÄtos atseviŔķi atzÄ«mÄt izcilo .
Å ifrÄÅ”anas atslÄgas Ä£enerÄ utilÄ«ta wg:
SERVER_PRIVKEY=$( wg genkey )
SERVER_PUBKEY=$( echo $SERVER_PRIVKEY | wg pubkey )
CLIENT_PRIVKEY=$( wg genkey )
CLIENT_PUBKEY=$( echo $CLIENT_PRIVKEY | wg pubkey )TÄlÄk jums ir jÄizveido servera konfigurÄcija /etc/wireguard/wg0.conf ar Å”Ädu saturu:
[Interface]
Address = 10.9.0.1/24
PrivateKey = $SERVER_PRIVKEY
[Peer]
PublicKey = $CLIENT_PUBKEY
AllowedIPs = 10.9.0.2/32un paceliet tuneli ar skriptu wg-quick:
sudo wg-quick up /etc/wireguard/wg0.confSistÄmÄs ar systemd varat to izmantot tÄ vietÄ sudo systemctl start [email protected].
Klienta datorÄ izveidojiet konfigurÄciju /etc/wireguard/wg0.conf:
[Interface]
PrivateKey = $CLIENT_PRIVKEY
Address = 10.9.0.2/24
[Peer]
PublicKey = $SERVER_PUBKEY
AllowedIPs = 0.0.0.0/0
Endpoint = 1.2.3.4:51820 # ŠŠ½ŠµŃŠ½ŠøŠ¹ IP ŃŠµŃŠ²ŠµŃŠ°
PersistentKeepalive = 25 Un paceliet tuneli tÄdÄ paÅ”Ä veidÄ:
sudo wg-quick up /etc/wireguard/wg0.confAtliek tikai konfigurÄt NAT serverÄ«, lai klienti varÄtu piekļūt internetam, un esat pabeidzis!
Å Ä« koda bÄzes lietoÅ”anas vienkÄrŔība un kompaktums tika panÄkts, likvidÄjot atslÄgu izplatÄ«Å”anas funkcionalitÄti. Nav sarežģītas sertifikÄtu sistÄmas un visas Ŕīs korporatÄ«vÄs Å”ausmas; Ä«sÄs Å”ifrÄÅ”anas atslÄgas tiek izplatÄ«tas lÄ«dzÄ«gi kÄ SSH atslÄgas. Bet tas rada problÄmu: WireGuard nebÅ«s tik viegli ieviest dažos esoÅ”ajos tÄ«klos.
Starp trÅ«kumiem ir vÄrts atzÄ«mÄt, ka WireGuard nedarbosies, izmantojot HTTP starpniekserveri, jo kÄ transports ir pieejams tikai UDP protokols. Rodas jautÄjums: vai izdosies apmulsinÄt protokolu? Protams, tas nav VPN tieÅ”ais uzdevums, taÄu, piemÄram, OpenVPN ir veidi, kÄ maskÄties kÄ HTTPS, kas palÄ«dz totalitÄro valstu iedzÄ«votÄjiem pilnvÄrtÄ«gi izmantot internetu.
Atzinumi
RezumÄjot, Å”is ir ļoti interesants un daudzsoloÅ”s projekts, to jau var izmantot personÄ«gajos serveros. KÄda ir peļÅa? Augsta veiktspÄja Linux sistÄmÄs, vienkÄrÅ”a iestatÄ«Å”ana un atbalsts, kompakta un lasÄma kodu bÄze. TomÄr ir pÄragri steigties nodot sarežģītu infrastruktÅ«ru WireGuard, ir vÄrts gaidÄ«t tÄs iekļauÅ”anu Linux kodolÄ.
Lai ietaupÄ«tu savu (un jÅ«su) laiku, es izstrÄdÄju . Ar tÄs palÄ«dzÄ«bu jÅ«s varat iestatÄ«t personÄ«go VPN sev un saviem draugiem, pat neko par to nesaprotot.
Avots: www.habr.com