यसबाट WireGuard भाग बन्नेछ भविष्यको कोर Linux ५.६, मैले यो VPN लाई मेरो VPN सँग कसरी राम्रोसँग एकीकृत गर्ने भनेर हेर्ने निर्णय गरें Raspberry Pi मा LTE राउटर / पहुँच बिन्दु.

उपकरण

• Raspberry Pi 3 LTE मोड्युल र सार्वजनिक IP ठेगानाको साथ। यहाँ एक VPN सर्भर हुनेछ (यसपछि यसलाई भनिन्छ पाठमा edgewalker)
• फोन अन छ Android, जसले सबै सञ्चारको लागि VPN प्रयोग गर्नुपर्छ
• ल्याप्टप Linux, जसले नेटवर्क भित्र मात्र VPN प्रयोग गर्नुपर्छ

VPN मा जडान हुने प्रत्येक यन्त्र अन्य सबै यन्त्रहरूमा जडान गर्न सक्षम हुनुपर्छ। उदाहरणका लागि, यदि दुबै यन्त्रहरू VPN नेटवर्कको भाग हुन् भने फोनले ल्यापटपमा वेब सर्भरमा जडान गर्न सक्षम हुनुपर्दछ। यदि सेटअप एकदम सरल भयो भने, तपाइँ डेस्कटपलाई VPN (इथरनेट मार्फत) जडान गर्ने बारे सोच्न सक्नुहुन्छ।

तार र ताररहित जडानहरू समयसँगै कम र सुरक्षित हुँदै गइरहेका छन् भन्ने कुरालाई ध्यानमा राख्दै (लक्षित आक्रमणहरू, KRACK WPA2 क्र्याकिंग आक्रमण и WPA3 विरुद्ध ड्र्यागनब्लड आक्रमण), म गम्भीरतापूर्वक प्रयोग गर्ने विचार गर्दैछु WireGuard मेरा सबै उपकरणहरूको लागि, तिनीहरू जुनसुकै वातावरणमा चल्छन् भन्ने कुराले फरक पार्दैन।

सफ्टवेयर स्थापना

WireGuard प्रदान गर्दछ पूर्व संकलित प्याकेजहरू धेरैजसो वितरणका लागि Linux, Windows и macOSआवेदनहरू Android र iOS एप स्टोरहरू मार्फत डेलिभर गरिन्छ।

मसँग पछिल्लो फेडोरा छ। Linux ३१, र स्थापना गर्नु अघि म म्यानुअल पढ्न धेरै अल्छी थिएँ। मैले भर्खरै प्याकेजहरू फेला पारे। wireguard-tools, तिनीहरूलाई स्थापना गर्नुहोस्, र त्यसपछि किन केहि काम गरिरहेको छैन भनेर पत्ता लगाउन सकेन। थप अनुसन्धानले पत्ता लगायो कि मसँग प्याकेज स्थापित छैन wireguard-dkms (एक नेटवर्क चालक संग), तर यो मेरो वितरण को भण्डार मा थिएन।

यदि मैले निर्देशनहरू पढेको भए, मैले सही कदम चाल्ने थिएँ:

$ sudo dnf copr enable jdoss/wireguard
$ sudo dnf install wireguard-dkms wireguard-tools

मसँग मेरो रास्पबेरी पाईमा रास्पबियन बस्टर वितरण स्थापित छ, त्यहाँ पहिले नै प्याकेज छ wireguard, स्थापना गर्नुहोस्:

$ sudo apt install wireguard

फोनमा Android मैले एप्लिकेसन इन्स्टल गरें। WireGuard VPN आधिकारिक गुगल एप स्टोर सूचीबाट।

कुञ्जीहरूको स्थापना

नोडहरू प्रमाणित गर्न Wireguard VPN नोडहरू प्रमाणित गर्न एक साधारण निजी/सार्वजनिक कुञ्जी योजना प्रयोग गर्दछ। तपाईं निम्न आदेशको साथ सजिलैसँग VPN कुञ्जीहरू उत्पन्न गर्न सक्नुहुन्छ:

$ wg genkey | tee wg-laptop-private.key |  wg pubkey > wg-laptop-public.key
$ wg genkey | tee wg-server-private.key |  wg pubkey > wg-server-public.key
$ wg genkey | tee wg-mobile-private.key |  wg pubkey > wg-mobile-public.key

यसले हामीलाई तीन कुञ्जी जोडीहरू (छ फाइलहरू) दिन्छ। कन्फिगमा फाइलहरूलाई सन्दर्भ नगरौं, तर यहाँ सामग्रीहरू प्रतिलिपि गर्नुहोस्: प्रत्येक कुञ्जी base64 मा एक लाइन हो।

VPN सर्भरको लागि कन्फिगरेसन फाइल सिर्जना गर्दै (रास्पबेरी पाई)

कन्फिगरेसन एकदम सरल छ, मैले निम्न फाइल सिर्जना गरें /etc/wireguard/wg0.conf:

[Interface]
Address = 10.200.200.1/24
ListenPort = 51820
PrivateKey = <copy private key from wg-server-private.key>
PostUp   = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o wwan0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o wwan0 -j MASQUERADE

[Peer]
# laptop
PublicKey = <copy public key from wg-laptop-public.key>
AllowedIPs = 10.200.200.2/32

[Peer]
# mobile phone
PublicKey = <copy public key from wg-mobile-public.key>
AllowedIPs = 10.200.200.3/32

केहि नोटहरू:

• उपयुक्त ठाउँहरूमा तपाईंले कुञ्जीहरूसँग फाइलहरूबाट लाइनहरू सम्मिलित गर्न आवश्यक छ
• मेरो VPN ले आन्तरिक ब्यान्ड प्रयोग गरिरहेको छ 10.200.200.0/24
• टोलीहरूको लागि PostUp/PostDown मसँग बाह्य नेटवर्क इन्टरफेस wwan0 छ, तपाईंसँग फरक हुन सक्छ (उदाहरणका लागि, eth0)

VPN नेटवर्क सजिलै संग निम्न आदेश संग उठाइएको छ:

$ sudo wg-quick up wg0

एउटा सानो विवरण: मैले प्रयोग गरेको DNS सर्भरको रूपमा dnsmasq नेटवर्क इन्टरफेससँग जोडिएको छ br0, मैले यन्त्रहरू पनि थपें wg0 अनुमति दिइएको उपकरणहरूको सूचीमा। dnsmasq मा यो कन्फिगरेसन फाइलमा नयाँ नेटवर्क इन्टरफेस लाइन थपेर गरिन्छ /etc/dnsmasq.conf, उदाहरणका लागि:

interface=br0
interface=wg0

थप रूपमा, मैले UDP सुन्ने पोर्ट (51280) मा ट्राफिकलाई अनुमति दिनको लागि iptable नियम थपेको छु:

$ sudo iptables -I INPUT -p udp --dport 51820 -j ACCEPT

अब जब सबै काम गरिरहेको छ, हामी VPN टनेलको स्वचालित सुरुवात सेट अप गर्न सक्छौं:

$ sudo systemctl enable wg-quick@wg0.service

ल्यापटपमा ग्राहक कन्फिगरेसन

ल्यापटपमा कन्फिगरेसन फाइल सिर्जना गर्नुहोस् /etc/wireguard/wg0.conf समान सेटिङहरूसँग:

[Interface]
Address = 10.200.200.2/24
PrivateKey = <copy private key from wg-laptop-private.key>

[Peer]
PublicKey = <copy public key from wg-server-public.key>
AllowedIPs = 10.200.200.0/24
Endpoint = edgewalker:51820

टिप्पणीहरू:

• Edgewalker को सट्टा तपाईंले सार्वजनिक IP वा VPN सर्भर होस्ट निर्दिष्ट गर्न आवश्यक छ
• स्थापना गरिसकेका छन् AllowedIPs मा 10.200.200.0/24, हामी केवल आन्तरिक नेटवर्क पहुँच गर्न VPN प्रयोग गर्छौं। अन्य सबै आईपी ठेगानाहरू/सर्भरहरूमा ट्राफिक "सामान्य" खुला च्यानलहरू मार्फत जारी रहनेछ। यसले ल्यापटपमा पूर्व कन्फिगर गरिएको DNS सर्भर पनि प्रयोग गर्नेछ।

परीक्षण र स्वचालित सुरुवातको लागि हामी समान आदेशहरू प्रयोग गर्दछौं wg-quick и systemd:

$ sudo wg-quick up wg0
$ sudo systemctl enable wg-quick@wg0.service

ग्राहक सेटअप गर्दै Android-फोन

फोनको लागि Android हामी एकदमै समान कन्फिगरेसन फाइल सिर्जना गर्छौं (यसलाई कल गरौं mobile.conf):

[Interface]
Address = 10.200.200.3/24
PrivateKey = <copy private key from wg-mobile-private.key>
DNS = 10.200.200.1
        
[Peer]
PublicKey = <copy public key from wg-server-public.key>
AllowedIPs = 0.0.0.0/0
Endpoint = edgewalker:51820

ल्यापटपको कन्फिगरेसनको विपरीत, फोनले हाम्रो VPN सर्भरलाई DNS सर्भरको रूपमा प्रयोग गर्नुपर्छ (लाइन DNS), र VPN सुरुङ मार्फत सबै ट्राफिक पास गर्नुहोस् (AllowedIPs = 0.0.0.0/0).

आफ्नो मोबाइल उपकरणमा फाइल प्रतिलिपि गर्नुको सट्टा, तपाइँ यसलाई QR कोडमा रूपान्तरण गर्न सक्नुहुन्छ:

$ sudo apt install qrencode
$ qrencode -t ansiutf8 < mobile.conf

QR कोड ASCII को रूपमा कन्सोलमा आउटपुट हुनेछ। यसलाई एपबाट स्क्यान गर्न सकिन्छ। Android VPN र स्वचालित रूपमा VPN टनेल कन्फिगर गर्नुहोस्।

निष्कर्षमा

समायोजन WireGuard तुलनात्मक रूपमा केवल जादुई OpenVPN.

स्रोत: www.habr.com