किनभने WireGuard भाग बन्नेछ आगामी लिनक्स कर्नेल 5.6 को, मैले यो VPN लाई कसरी एकीकृत गर्ने भनेर हेर्ने निर्णय गरें। Raspberry Pi मा LTE राउटर / पहुँच बिन्दु.

उपकरण

• Raspberry Pi 3 LTE मोड्युल र सार्वजनिक IP ठेगानाको साथ। यहाँ एक VPN सर्भर हुनेछ (यसपछि यसलाई भनिन्छ पाठमा edgewalker)
• एउटा एन्ड्रोइड फोन जसले सबै सञ्चारका लागि VPN प्रयोग गर्नुपर्छ
• Linux ल्यापटप जसले नेटवर्क भित्र VPN मात्र प्रयोग गर्नुपर्छ

VPN मा जडान हुने प्रत्येक यन्त्र अन्य सबै यन्त्रहरूमा जडान गर्न सक्षम हुनुपर्छ। उदाहरणका लागि, यदि दुबै यन्त्रहरू VPN नेटवर्कको भाग हुन् भने फोनले ल्यापटपमा वेब सर्भरमा जडान गर्न सक्षम हुनुपर्दछ। यदि सेटअप एकदम सरल भयो भने, तपाइँ डेस्कटपलाई VPN (इथरनेट मार्फत) जडान गर्ने बारे सोच्न सक्नुहुन्छ।

तार र ताररहित जडानहरू समयसँगै कम र सुरक्षित हुँदै गइरहेका छन् भन्ने कुरालाई ध्यानमा राख्दै (लक्षित आक्रमणहरू, KRACK WPA2 क्र्याकिंग आक्रमण и WPA3 विरुद्ध ड्र्यागनब्लड आक्रमण), म मेरो सबै यन्त्रहरूको लागि WireGuard प्रयोग गर्ने बारे गम्भीर रूपमा विचार गरिरहेको छु, तिनीहरू जुनसुकै वातावरणमा भए पनि।

सफ्टवेयर स्थापना

WireGuard प्रदान गर्दछ पूर्व संकलित प्याकेजहरू धेरै जसो लिनक्स, विन्डोज र macOS वितरणको लागि। एन्ड्रोइड र आईओएस एपहरू एप डाइरेक्टरीहरू मार्फत डेलिभर गरिन्छ।

मसँग नवीनतम फेडोरा लिनक्स 31 छ, र म स्थापना गर्नु अघि म्यानुअल पढ्न धेरै अल्छी थिएँ। भर्खरै प्याकेजहरू फेला पारे wireguard-tools, तिनीहरूलाई स्थापना गर्नुहोस्, र त्यसपछि किन केहि काम गरिरहेको छैन भनेर पत्ता लगाउन सकेन। थप अनुसन्धानले पत्ता लगायो कि मसँग प्याकेज स्थापित छैन wireguard-dkms (एक नेटवर्क चालक संग), तर यो मेरो वितरण को भण्डार मा थिएन।

यदि मैले निर्देशनहरू पढेको भए, मैले सही कदम चाल्ने थिएँ:

$ sudo dnf copr enable jdoss/wireguard
$ sudo dnf install wireguard-dkms wireguard-tools

मसँग मेरो रास्पबेरी पाईमा रास्पबियन बस्टर वितरण स्थापित छ, त्यहाँ पहिले नै प्याकेज छ wireguard, स्थापना गर्नुहोस्:

$ sudo apt install wireguard

मेरो एन्ड्रोइड फोनमा मैले अनुप्रयोग स्थापना गरें WireGuardVPN आधिकारिक गुगल एप स्टोर सूचीबाट।

कुञ्जीहरूको स्थापना

साथी प्रमाणीकरणका लागि, Wireguard ले VPN साथीहरूलाई प्रमाणीकरण गर्न एक साधारण निजी/सार्वजनिक कुञ्जी योजना प्रयोग गर्दछ। तपाइँ निम्न आदेश प्रयोग गरेर सजिलै VPN कुञ्जीहरू सिर्जना गर्न सक्नुहुन्छ:

$ wg genkey | tee wg-laptop-private.key |  wg pubkey > wg-laptop-public.key
$ wg genkey | tee wg-server-private.key |  wg pubkey > wg-server-public.key
$ wg genkey | tee wg-mobile-private.key |  wg pubkey > wg-mobile-public.key

यसले हामीलाई तीन कुञ्जी जोडीहरू (छ फाइलहरू) दिन्छ। कन्फिगमा फाइलहरूलाई सन्दर्भ नगरौं, तर यहाँ सामग्रीहरू प्रतिलिपि गर्नुहोस्: प्रत्येक कुञ्जी base64 मा एक लाइन हो।

VPN सर्भरको लागि कन्फिगरेसन फाइल सिर्जना गर्दै (रास्पबेरी पाई)

कन्फिगरेसन एकदम सरल छ, मैले निम्न फाइल सिर्जना गरें /etc/wireguard/wg0.conf:

[Interface]
Address = 10.200.200.1/24
ListenPort = 51820
PrivateKey = <copy private key from wg-server-private.key>
PostUp   = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o wwan0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o wwan0 -j MASQUERADE

[Peer]
# laptop
PublicKey = <copy public key from wg-laptop-public.key>
AllowedIPs = 10.200.200.2/32

[Peer]
# mobile phone
PublicKey = <copy public key from wg-mobile-public.key>
AllowedIPs = 10.200.200.3/32

केहि नोटहरू:

• उपयुक्त ठाउँहरूमा तपाईंले कुञ्जीहरूसँग फाइलहरूबाट लाइनहरू सम्मिलित गर्न आवश्यक छ
• मेरो VPN ले आन्तरिक ब्यान्ड प्रयोग गरिरहेको छ 10.200.200.0/24
• टोलीहरूको लागि PostUp/PostDown मसँग बाह्य नेटवर्क इन्टरफेस wwan0 छ, तपाईंसँग फरक हुन सक्छ (उदाहरणका लागि, eth0)

VPN नेटवर्क सजिलै संग निम्न आदेश संग उठाइएको छ:

$ sudo wg-quick up wg0

एउटा सानो विवरण: मैले प्रयोग गरेको DNS सर्भरको रूपमा dnsmasq नेटवर्क इन्टरफेससँग जोडिएको छ br0, मैले यन्त्रहरू पनि थपें wg0 अनुमति दिइएको उपकरणहरूको सूचीमा। dnsmasq मा यो कन्फिगरेसन फाइलमा नयाँ नेटवर्क इन्टरफेस लाइन थपेर गरिन्छ /etc/dnsmasq.conf, उदाहरणका लागि:

interface=br0
interface=wg0

थप रूपमा, मैले UDP सुन्ने पोर्ट (51280) मा ट्राफिकलाई अनुमति दिनको लागि iptable नियम थपेको छु:

$ sudo iptables -I INPUT -p udp --dport 51820 -j ACCEPT

अब जब सबै काम गरिरहेको छ, हामी VPN टनेलको स्वचालित सुरुवात सेट अप गर्न सक्छौं:

$ sudo systemctl enable [email protected]

ल्यापटपमा ग्राहक कन्फिगरेसन

ल्यापटपमा कन्फिगरेसन फाइल सिर्जना गर्नुहोस् /etc/wireguard/wg0.conf समान सेटिङहरूसँग:

[Interface]
Address = 10.200.200.2/24
PrivateKey = <copy private key from wg-laptop-private.key>

[Peer]
PublicKey = <copy public key from wg-server-public.key>
AllowedIPs = 10.200.200.0/24
Endpoint = edgewalker:51820

टिप्पणीहरू:

• Edgewalker को सट्टा तपाईंले सार्वजनिक IP वा VPN सर्भर होस्ट निर्दिष्ट गर्न आवश्यक छ
• स्थापना गरिसकेका छन् AllowedIPs मा 10.200.200.0/24, हामी केवल आन्तरिक नेटवर्क पहुँच गर्न VPN प्रयोग गर्छौं। अन्य सबै आईपी ठेगानाहरू/सर्भरहरूमा ट्राफिक "सामान्य" खुला च्यानलहरू मार्फत जारी रहनेछ। यसले ल्यापटपमा पूर्व कन्फिगर गरिएको DNS सर्भर पनि प्रयोग गर्नेछ।

परीक्षण र स्वचालित सुरुवातको लागि हामी समान आदेशहरू प्रयोग गर्दछौं wg-quick и systemd:

$ sudo wg-quick up wg0
$ sudo systemctl enable [email protected]

एन्ड्रोइड फोनमा ग्राहक सेटअप गर्दै

एन्ड्रोइड फोनको लागि हामी धेरै समान कन्फिगरेसन फाइल सिर्जना गर्छौं (यसलाई कल गरौं mobile.conf):

[Interface]
Address = 10.200.200.3/24
PrivateKey = <copy private key from wg-mobile-private.key>
DNS = 10.200.200.1
        
[Peer]
PublicKey = <copy public key from wg-server-public.key>
AllowedIPs = 0.0.0.0/0
Endpoint = edgewalker:51820

ल्यापटपको कन्फिगरेसनको विपरीत, फोनले हाम्रो VPN सर्भरलाई DNS सर्भरको रूपमा प्रयोग गर्नुपर्छ (लाइन DNS), र VPN सुरुङ मार्फत सबै ट्राफिक पास गर्नुहोस् (AllowedIPs = 0.0.0.0/0).

आफ्नो मोबाइल उपकरणमा फाइल प्रतिलिपि गर्नुको सट्टा, तपाइँ यसलाई QR कोडमा रूपान्तरण गर्न सक्नुहुन्छ:

$ sudo apt install qrencode
$ qrencode -t ansiutf8 < mobile.conf

QR कोड ASCII को रूपमा कन्सोलमा आउटपुट हुनेछ। यसलाई एन्ड्रोइड VPN एपबाट स्क्यान गर्न सकिन्छ र स्वचालित रूपमा VPN सुरुङ सेटअप हुनेछ।

निष्कर्षमा

OpenVPN को तुलनामा WireGuard सेट अप गर्नु केवल जादुई छ।

स्रोत: www.habr.com