Tonga ny fotoana izay tsy fitaovana hafahafa amin'ny mpitantana rafitra volombava intsony ny VPN. Ny mpampiasa dia manana asa samihafa, fa ny zava-misy dia mila VPN ny tsirairay.
Ny olana amin'ny vahaolana VPN amin'izao fotoana izao dia sarotra ny manamboatra azy ireo araka ny tokony ho izy, lafo ny fikojakojana ary feno kaody lova misy kalitao mampiahiahy.
Taona maro lasa izay, Jason A. Donenfeld, manam-pahaizana momba ny fiarovana ny fampahalalam-baovao Kanadiana, dia nanapa-kevitra fa efa ampy izany ary nanomboka niasa . Ny WireGuard dia efa voaomana ho fampidirana ao amin'ny kernel Linux ary nahazo fiderana mihitsy aza ary ao .
Nambara fa tombony amin'ny WireGuard amin'ny vahaolana VPN hafa:
- Mora ampiasaina.
- Mampiasa kriptografika maoderina: rafitra protocole noise, Curve25519, ChaCha20, Poly1305, BLAKE2, SipHash24, HKDF, sns.
- Kaody matevina, mora vakina, mora kokoa ny manadihady momba ny vulnerability.
- Fahombiazana avo lenta.
- Mazava sy be pitsiny .
Nisy bala volafotsy hita? Fotoana handevenana ny OpenVPN sy IPSec ve izao? Nanapa-kevitra ny hiatrika izany aho, ary tamin'izany fotoana izany dia nanao izany aho .
Fitsipika miasa
Ny fitsipiky ny asa dia azo faritana toy izao:
- Ny interface WireGuard dia noforonina ary nomena fanalahidy manokana sy adiresy IP. Ny firafitry ny namana hafa dia feno: ny fanalahidin'ny daholobe, ny adiresy IP, sns.
- Ny fonosana IP rehetra tonga ao amin'ny interface WireGuard dia voarakitra ao amin'ny UDP ary namana hafa.
- Ny mpanjifa dia mamaritra ny adiresy IP ho an'ny daholobe an'ny mpizara ao amin'ny sehatra. Ny mpizara dia manaiky ho azy ny adiresin'ny mpanjifa ivelany rehefa voaray avy amin'izy ireo ny angona voamarina tsara.
- Ny mpizara dia afaka manova ny adiresy IP ho an'ny daholobe nefa tsy manapaka ny asany. Amin'izay fotoana izay ihany koa dia handefa fampandrenesana ho an'ireo mpanjifa mifandray izy ireo ary hanavao ny fanamafisam-peo amin'ny sidina.
- Ny foto-kevitry ny routing no ampiasaina . WireGuard dia manaiky sy mandefa fonosana mifototra amin'ny fanalahidin'ny daholobe. Rehefa mamadika fonosana voamarina tsara ny mpizara, dia voamarina ny saha src azy. Raha mifanaraka amin'ny config
allowed-ipsauthenticated peer, ny fonosana dia noraisin'ny WireGuard interface. Rehefa mandefa fonosana mivoaka dia mitranga ny fomba fiasa mifanaraka amin'izany: alaina ny saha dst amin'ny fonosana ary, mifototra amin'izany, nofantenana ny peer mifanaraka aminy, sonia miaraka amin'ny fanalahidiny ny fonosana, nasiana encryption miaraka amin'ny fanalahidin'ny peer ary alefa any amin'ny faran'ny lavitra. .
Ny lojika fototra an'ny WireGuard rehetra dia mitondra kaody latsaky ny 4 arivo, raha ny OpenVPN sy IPSec kosa dia manana andalana an'hetsiny. Mba hanohanana ny algorithm kriptografika maoderina, dia soso-kevitra ny hampiditra API kriptografika vaovao ao amin'ny kernel Linux . Mandeha ny resaka amin’izao fotoana izao momba ny mety ho hevitra tsara.
vokatra
Ny tombony ambony indrindra amin'ny fampisehoana (raha ampitahaina amin'ny OpenVPN sy IPSec) dia ho tsikaritra amin'ny rafitra Linux, satria ny WireGuard dia ampiharina ho modely kernel ao. Ho fanampin'izany, ny macOS, Android, iOS, FreeBSD ary OpenBSD dia tohanana, fa ao anatin'izany ny WireGuard dia mandeha amin'ny mpampiasa toerana miaraka amin'ny vokatra rehetra manaraka. Ny fanohanan'ny Windows dia andrasana hampiana ato ho ato.
Valiny benchmark miaraka amin'ny :
Ny traikefako amin'ny fampiasana
Tsy manam-pahaizana momba ny VPN aho. Indray mandeha aho dia nanangana OpenVPN tamin'ny tanana ary tena nandreraka, ary tsy nanandrana IPSec akory aho. Be loatra ny fanapahan-kevitra tokony horaisina, tena mora ny mitifitra ny tenanao amin'ny tongotra. Noho izany dia nampiasa script efa vita foana aho mba handrindrana ny server.
Noho izany, WireGuard, raha ny fahitako azy, dia tsara indrindra ho an'ny mpampiasa. Ny fanapahan-kevitra amin'ny ambaratonga ambany rehetra dia raisina amin'ny famaritana, noho izany dia minitra vitsy monja ny fizotran'ny fanomanana fotodrafitrasa VPN mahazatra. Saika tsy azo atao ny mamitaka amin'ny fanamafisana.
Dingana fametrahana amin'ny tranokala ofisialy, tiako ny manamarika manokana ny tena tsara .
Ny fanalahidin'ny encryption dia novokarin'ny utility wg:
SERVER_PRIVKEY=$( wg genkey )
SERVER_PUBKEY=$( echo $SERVER_PRIVKEY | wg pubkey )
CLIENT_PRIVKEY=$( wg genkey )
CLIENT_PUBKEY=$( echo $CLIENT_PRIVKEY | wg pubkey )Manaraka, mila mamorona config server ianao /etc/wireguard/wg0.conf miaraka amin'ireto votoaty manaraka ireto:
[Interface]
Address = 10.9.0.1/24
PrivateKey = $SERVER_PRIVKEY
[Peer]
PublicKey = $CLIENT_PUBKEY
AllowedIPs = 10.9.0.2/32ary atsangano ny tonelina miaraka amin'ny script wg-quick:
sudo wg-quick up /etc/wireguard/wg0.confAmin'ny rafitra misy systemd dia azonao ampiasaina izany sudo systemctl start [email protected].
Ao amin'ny milina mpanjifa, mamorona config /etc/wireguard/wg0.conf:
[Interface]
PrivateKey = $CLIENT_PRIVKEY
Address = 10.9.0.2/24
[Peer]
PublicKey = $SERVER_PUBKEY
AllowedIPs = 0.0.0.0/0
Endpoint = 1.2.3.4:51820 # Внешний IP сервера
PersistentKeepalive = 25 Ary atsangano toy izany koa ny tonelina:
sudo wg-quick up /etc/wireguard/wg0.confNy hany sisa tavela dia ny manamboatra NAT amin'ny mpizara mba hahafahan'ny mpanjifa miditra amin'ny Internet, ary vita ianao!
Ity fanamorana ny fampiasana sy ny fahatomombanan'ny fototry ny kaody ity dia tratra tamin'ny fanafoanana ny fiasa fizarana fototra. Tsy misy rafitra fanamarinana sarotra sy ireo horohoron'ny orinasa rehetra; Ny fanalahidin'ny fanafenana fohy dia zaraina toy ny fanalahidy SSH. Saingy miteraka olana izany: tsy ho mora ny fampiharana ny WireGuard amin'ny tambajotra efa misy.
Anisan'ireo tsy fahampiana, tsara ny manamarika fa tsy hiasa amin'ny alàlan'ny proxy HTTP ny WireGuard, satria ny protocol UDP ihany no azo ampiasaina ho fitaterana. Mipoitra ny fanontaniana: azo atao ve ny manaloka ny protocol? Mazava ho azy fa tsy asa mivantana amin'ny VPN izany, fa ho an'ny OpenVPN, ohatra, dia misy fomba hanafenana ny tenany ho HTTPS, izay manampy ny mponina any amin'ny firenena tsy refesi-mandidy hampiasa tanteraka ny Internet.
hitany
Raha fintinina, ity dia tetikasa tena mahaliana sy mampanantena, efa azonao ampiasaina amin'ny lohamilina manokana. Inona no tombony azo? Fahombiazana avo lenta amin'ny rafitra Linux, fanamorana ny fametrahana sy fanohanana, fototra kaody mirindra sy azo vakina. Na izany aza, aloha loatra ny hamindra fotodrafitrasa sarotra amin'ny WireGuard; mendrika ny miandry ny fampidirana azy ao amin'ny kernel Linux.
Mba hamonjy ny fotoanako (sy ny anao), dia namolavola aho . Miaraka amin'ny fanampiany dia afaka manangana VPN manokana ho anao sy ny namanao ianao nefa tsy mahazo na inona na inona momba izany.
Source: www.habr.com