Дали WireGuard е одличната VPN на иднината?

Дојде време кога VPN повеќе не е некоја егзотична алатка на брадестите системски администратори. Корисниците имаат различни задачи, но факт е дека на сите им треба VPN.

Проблемот со тековните VPN решенија е што тие се тешки за правилно конфигурирање, скапи за одржување и полни со наследен код со сомнителен квалитет.

Пред неколку години, канадскиот специјалист за информациска безбедност Џејсон А. Доненфелд одлучи дека му е доста од тоа и почна да работи на WireGuard. WireGuard сега се подготвува за вклучување во кернелот на Linux и дури доби пофалби од Линус Торвалдс и Сенатот на САД.

Тврдени предности на WireGuard во однос на другите VPN решенија:

• Лесен за користење.
• Користи модерна криптографија: рамка за протокол за бучава, Curve25519, ChaCha20, Poly1305, BLAKE2, SipHash24, HKDF итн.
• Компактен, читлив код, полесен за истражување за ранливости.
• Високи перформанси.
• Јасно и детално спецификација.

Дали е пронајден сребрен куршум? Дали е време да се закопаат OpenVPN и IPSec? Решив да се занимавам со ова, а во исто време и го направив тоа скрипта за автоматско инсталирање на личен VPN сервер.

Принципи на работа

Принципите на работа може да се опишат вака:

• Создаден е интерфејс WireGuard и на него се доделени приватен клуч и IP адреса. Поставките на другите врсници се вчитани: нивните јавни клучеви, IP адреси итн.
• Сите IP пакети кои пристигнуваат на интерфејсот WireGuard се инкапсулирани во UDP и испорачан безбедно други врсници.
• Клиентите ја одредуваат јавната IP адреса на серверот во поставките. Серверот автоматски ги препознава надворешните адреси на клиентите кога од нив се примаат правилно автентицирани податоци.
• Серверот може да ја промени јавната IP адреса без да ја прекине неговата работа. Во исто време, ќе испрати предупредување до поврзаните клиенти и тие ќе ја ажурираат својата конфигурација во лет.
• Се користи концептот на рутирање Рутирање на криптоклучи. WireGuard прифаќа и испраќа пакети врз основа на јавниот клуч на врсниците. Кога серверот дешифрира правилно автентификуван пакет, неговото поле src се проверува. Ако одговара на конфигурацијата allowed-ips автентициран peer, пакетот е примен од интерфејсот WireGuard. При испраќање на појдовен пакет се случува соодветната процедура: се зема dst полето на пакетот и врз основа на него се избира соодветниот peer, пакетот се потпишува со неговиот клуч, се шифрира со клучот на врсникот и се испраќа до оддалечената крајна точка. .

Целата основна логика на WireGuard зафаќа помалку од 4 илјади линии код, додека OpenVPN и IPSec имаат стотици илјади линии. За поддршка на современи криптографски алгоритми, се предлага да се вклучи нов криптографски API во кернелот на Linux цинк. Во моментов се води дискусија за тоа дали ова е добра идеја.

Перформанси

Максималната предност во изведбата (во споредба со OpenVPN и IPSec) ќе биде забележлива на Linux системите, бидејќи WireGuard таму е имплементиран како модул на јадрото. Дополнително, поддржани се macOS, Android, iOS, FreeBSD и OpenBSD, но во нив WireGuard работи во корисничкиот простор со сите последователни последици од перформансите. Поддршката за Windows се очекува да биде додадена во блиска иднина.

Репер резултати со официјална страница:

Моето искуство со користење

Јас не сум експерт за VPN. Еднаш рачно го поставив OpenVPN и беше многу досадно, па дури и не пробав IPSec. Премногу одлуки треба да се донесат, многу е лесно да си пукаш во нога. Затоа, секогаш користев готови скрипти за да го конфигурирам серверот.

Значи, WireGuard, од моја гледна точка, генерално е идеален за корисникот. Сите одлуки на ниско ниво се донесени во спецификацијата, така што процесот на подготовка на типична VPN инфраструктура трае само неколку минути. Речиси е невозможно да се измами во конфигурацијата.

Процес на инсталација детално опишани на официјалната веб-страница, би сакал посебно да ги забележам одличните Поддршка за OpenWRT.

Копчињата за шифрирање се генерирани од алатката wg:

SERVER_PRIVKEY=$( wg genkey )
SERVER_PUBKEY=$( echo $SERVER_PRIVKEY | wg pubkey )
CLIENT_PRIVKEY=$( wg genkey )
CLIENT_PUBKEY=$( echo $CLIENT_PRIVKEY | wg pubkey )

Следно, треба да креирате конфигурација на серверот /etc/wireguard/wg0.conf со следнава содржина:

[Interface]
Address = 10.9.0.1/24
PrivateKey = $SERVER_PRIVKEY
[Peer]
PublicKey = $CLIENT_PUBKEY
AllowedIPs = 10.9.0.2/32

и подигнете го тунелот со скрипта wg-quick:

sudo wg-quick up /etc/wireguard/wg0.conf

На системи со systemd можете да го користите ова наместо sudo systemctl start [email protected].

На машината за клиент, креирајте конфигурација /etc/wireguard/wg0.conf:

[Interface]
PrivateKey = $CLIENT_PRIVKEY
Address = 10.9.0.2/24
[Peer]
PublicKey = $SERVER_PUBKEY
AllowedIPs = 0.0.0.0/0
Endpoint = 1.2.3.4:51820 # Внешний IP сервера
PersistentKeepalive = 25 

И подигнете го тунелот на ист начин:

sudo wg-quick up /etc/wireguard/wg0.conf

Останува само да го конфигурирате NAT на серверот за клиентите да можат да пристапат на Интернет, и готово!

Оваа леснотија на користење и компактност на основата на кодот беа постигнати со елиминирање на функционалноста за дистрибуција на клучеви. Не постои сложен систем за сертификати и целиот овој корпоративен хорор; кратките клучеви за шифрирање се дистрибуираат слично како клучевите SSH. Но, ова претставува проблем: WireGuard нема да биде толку лесно да се имплементира на некои постоечки мрежи.

Меѓу недостатоците, вреди да се напомене дека WireGuard нема да работи преку прокси HTTP, бидејќи само протоколот UDP е достапен како транспорт. Се поставува прашањето: дали ќе биде можно да се замагли протоколот? Се разбира, ова не е директна задача на VPN, но за OpenVPN, на пример, постојат начини да се маскира во HTTPS, што им помага на жителите на тоталитарните земји целосно да го користат Интернетот.

Наоди

Да резимираме, ова е многу интересен и ветувачки проект, веќе можете да го користите на лични сервери. Која е добивката? Високи перформанси на Linux системи, леснотија на поставување и поддршка, компактна и читлива база на кодови. Сепак, премногу е рано да се брза да се пренесе сложена инфраструктура на WireGuard; вреди да се чека нејзиното вклучување во кернелот на Linux.

За да го заштедам моето (и вашето) време, развив Автоматски инсталатер WireGuard. Со негова помош, можете да поставите личен VPN за себе и за вашите пријатели, дури и без да разберете ништо за тоа.

Извор: www.habr.com