के WireGuard भविष्यको महान VPN हो?

समय आएको छ जब VPN अब दाह्री प्रणाली प्रशासकहरूको केहि विदेशी उपकरण छैन। प्रयोगकर्ताहरूसँग विभिन्न कार्यहरू छन्, तर तथ्य यो हो कि सबैलाई VPN चाहिन्छ।

हालको VPN समाधानहरूको समस्या यो हो कि तिनीहरू सही तरिकाले कन्फिगर गर्न गाह्रो छ, मर्मत गर्न महँगो छ, र शंकास्पद गुणस्तरको लिगेसी कोडले भरिएको छ।

धेरै वर्ष पहिले, क्यानाडाली सूचना सुरक्षा विशेषज्ञ जेसन ए डोनेनफेल्डले निर्णय गरे कि उनीसँग पर्याप्त छ र काम गर्न थाले। WireGuard। WireGuard अब लिनक्स कर्नेल मा समावेश को लागी तयार छ र प्रशंसा पनि प्राप्त गरेको छ। लिनस टोरवाल्ड्स र भित्र अमेरिकी सिनेट.

अन्य VPN समाधानहरूमा WireGuard को दावी गरिएका फाइदाहरू:

• प्रयोग गर्न सजिलो।
• आधुनिक क्रिप्टोग्राफी प्रयोग गर्दछ: शोर प्रोटोकल फ्रेमवर्क, Curve25519, ChaCha20, Poly1305, BLAKE2, SipHash24, HKDF, आदि।
• संकुचित, पढ्न योग्य कोड, कमजोरीहरूको लागि जाँच गर्न सजिलो।
• उच्च प्रदर्शन।
• स्पष्ट र विस्तृत विशिष्टता.

चाँदीको गोली भेटियो ? के यो OpenVPN र IPSec गाड्ने समय हो? मैले यससँग सम्झौता गर्ने निर्णय गरे, र एकै समयमा मैले गरे स्वचालित रूपमा व्यक्तिगत VPN सर्भर स्थापनाको लागि लिपि.

कार्य सिद्धान्तहरू

सञ्चालन सिद्धान्तहरू यसरी वर्णन गर्न सकिन्छ:

• एउटा WireGuard इन्टरफेस सिर्जना गरिएको छ र यसलाई निजी कुञ्जी र IP ठेगाना तोकिएको छ। अन्य साथीहरूको सेटिङहरू लोड हुन्छन्: तिनीहरूको सार्वजनिक कुञ्जीहरू, IP ठेगानाहरू, आदि।
• WireGuard इन्टरफेसमा आइपुगेका सबै आईपी प्याकेटहरू UDP मा समेटिएका छन् र सुरक्षित रूपमा वितरण गरियो अन्य साथीहरू।
• ग्राहकहरूले सेटिङ्हरूमा सर्भरको सार्वजनिक IP ठेगाना निर्दिष्ट गर्छन्। सर्भरले स्वचालित रूपमा ग्राहकहरूको बाह्य ठेगानाहरू पहिचान गर्दछ जब तिनीहरूबाट सही रूपमा प्रमाणीकरण गरिएको डाटा प्राप्त हुन्छ।
• सर्भरले आफ्नो काममा अवरोध नगरी सार्वजनिक आईपी ठेगाना परिवर्तन गर्न सक्छ। एकै समयमा, यसले जडान भएका ग्राहकहरूलाई अलर्ट पठाउनेछ र तिनीहरूले उडानमा आफ्नो कन्फिगरेसन अपडेट गर्नेछन्।
• रूटिङ को अवधारणा प्रयोग गरिन्छ क्रिप्टोकी रूटिङ। WireGuard ले साथीको सार्वजनिक कुञ्जीमा आधारित प्याकेटहरू स्वीकार गर्दछ र पठाउँछ। जब सर्भरले सही रूपमा प्रमाणीकरण गरिएको प्याकेट डिक्रिप्ट गर्छ, यसको src फिल्ड जाँच गरिन्छ। यदि यो कन्फिगरेसनसँग मेल खान्छ allowed-ips प्रमाणीकृत साथी, प्याकेट WireGuard इन्टरफेस द्वारा प्राप्त भएको छ। बाहिर जाने प्याकेट पठाउँदा, सम्बन्धित प्रक्रिया हुन्छ: प्याकेटको dst फिल्ड लिइन्छ र, यसको आधारमा, सम्बन्धित पियर चयन गरिन्छ, प्याकेट यसको कुञ्जीसँग हस्ताक्षर गरिएको छ, साथीको कुञ्जीसँग इन्क्रिप्ट गरिएको छ र रिमोट एन्डपोइन्टमा पठाइन्छ। ।

सबै WireGuard को मूल तर्कले 4 हजार भन्दा कम लाइनहरू कोड लिन्छ, जबकि OpenVPN र IPSec सँग सयौं हजार लाइनहरू छन्। आधुनिक क्रिप्टोग्राफिक एल्गोरिदमहरूलाई समर्थन गर्न, यो लिनक्स कर्नेलमा नयाँ क्रिप्टोग्राफिक API समावेश गर्न प्रस्ताव गरिएको छ। जिंक। यो राम्रो विचार हो कि होइन भन्ने बारेमा अहिले बहस चलिरहेको छ।

उत्पादकता

अधिकतम कार्यसम्पादन लाभ (OpenVPN र IPSec को तुलनामा) लिनक्स प्रणालीहरूमा उल्लेखनीय हुनेछ, किनकि WireGuard त्यहाँ कर्नेल मोड्युलको रूपमा लागू गरिएको छ। थप रूपमा, macOS, Android, iOS, FreeBSD र OpenBSD समर्थित छन्, तर तिनीहरूमा WireGuard सबै आगामी कार्यसम्पादन परिणामहरूको साथ प्रयोगकर्तास्पेसमा चल्छ। विन्डोज समर्थन निकट भविष्यमा थपिने अपेक्षा गरिएको छ।

बेन्चमार्क परिणाम संग आधिकारिक साइट:

मेरो प्रयोग अनुभव

म VPN विशेषज्ञ होइन। मैले एक पटक OpenVPN म्यानुअल रूपमा सेटअप गरें र यो धेरै कठिन थियो, र मैले IPSec प्रयास पनि गरिन। त्यहाँ धेरै निर्णयहरू छन्, आफैलाई खुट्टामा गोली हान्न धेरै सजिलो छ। त्यसकारण, मैले सर्भर कन्फिगर गर्न सधैं तयार-निर्मित स्क्रिप्टहरू प्रयोग गरें।

त्यसोभए, WireGuard, मेरो दृष्टिकोणबाट, सामान्यतया प्रयोगकर्ताको लागि आदर्श हो। सबै निम्न-स्तर निर्णयहरू विनिर्देशमा बनाइन्छ, त्यसैले सामान्य VPN पूर्वाधार तयार गर्ने प्रक्रियाले केही मिनेट मात्र लिन्छ। कन्फिगरेसनमा धोखा दिन लगभग असम्भव छ।

स्थापना प्रक्रिया विस्तृत रूपमा वर्णन गरिएको छ आधिकारिक वेबसाइटमा, म छुट्टै उत्कृष्ट नोट गर्न चाहन्छु OpenWRT समर्थन.

इन्क्रिप्शन कुञ्जीहरू उपयोगिताद्वारा उत्पन्न हुन्छन् wg:

SERVER_PRIVKEY=$( wg genkey )
SERVER_PUBKEY=$( echo $SERVER_PRIVKEY | wg pubkey )
CLIENT_PRIVKEY=$( wg genkey )
CLIENT_PUBKEY=$( echo $CLIENT_PRIVKEY | wg pubkey )

अर्को, तपाईंले सर्भर कन्फिगरेसन सिर्जना गर्न आवश्यक छ /etc/wireguard/wg0.conf निम्न सामग्री संग:

[Interface]
Address = 10.9.0.1/24
PrivateKey = $SERVER_PRIVKEY
[Peer]
PublicKey = $CLIENT_PUBKEY
AllowedIPs = 10.9.0.2/32

र स्क्रिप्टको साथ सुरुङ उठाउनुहोस् wg-quick:

sudo wg-quick up /etc/wireguard/wg0.conf

Systemd सँग प्रणालीहरूमा तपाइँ यसको सट्टा प्रयोग गर्न सक्नुहुन्छ sudo systemctl start [email protected].

ग्राहक मेसिनमा, कन्फिगरेसन सिर्जना गर्नुहोस् /etc/wireguard/wg0.conf:

[Interface]
PrivateKey = $CLIENT_PRIVKEY
Address = 10.9.0.2/24
[Peer]
PublicKey = $SERVER_PUBKEY
AllowedIPs = 0.0.0.0/0
Endpoint = 1.2.3.4:51820 # Внешний IP сервера
PersistentKeepalive = 25 

र त्यसै गरी सुरुङ उठाउनुहोस्:

sudo wg-quick up /etc/wireguard/wg0.conf

सबै बाँकी छ कि सर्भरमा NAT कन्फिगर गर्नु हो ताकि क्लाइन्टहरूले इन्टरनेट पहुँच गर्न सकून्, र तपाईंले सक्नुभयो!

प्रयोगको यो सजिलो र कोड आधारको कम्प्याक्टनेस कुञ्जी वितरण कार्यक्षमता हटाएर हासिल गरिएको थियो। त्यहाँ कुनै जटिल प्रमाणपत्र प्रणाली छैन र यो सबै कर्पोरेट डरलाग्दो छ; छोटो एन्क्रिप्शन कुञ्जीहरू SSH कुञ्जीहरू जस्तै वितरण गरिन्छ। तर यसले समस्या खडा गर्छ: WireGuard केही अवस्थित नेटवर्कहरूमा लागू गर्न यति सजिलो हुनेछैन।

बेफाइदाहरू मध्ये, यो नोट गर्न लायक छ कि WireGuard HTTP प्रोक्सी मार्फत काम गर्दैन, किनकि UDP प्रोटोकल मात्र यातायातको रूपमा उपलब्ध छ। प्रश्न उठ्छ: के यो प्रोटोकल अस्पष्ट गर्न सम्भव छ? निस्सन्देह, यो VPN को प्रत्यक्ष कार्य होइन, तर OpenVPN को लागी, उदाहरण को लागी, HTTPS को रूप मा भेष गर्ने तरिकाहरु छन्, जसले अधिनायकवादी देशहरुका बासिन्दाहरूलाई पूर्ण रूपमा इन्टरनेट प्रयोग गर्न मद्दत गर्दछ।

निष्कर्ष

संक्षेपमा, यो एक धेरै चाखलाग्दो र आशाजनक परियोजना हो, तपाइँ यसलाई पहिले नै व्यक्तिगत सर्भरहरूमा प्रयोग गर्न सक्नुहुन्छ। नाफा के छ? लिनक्स प्रणालीहरूमा उच्च प्रदर्शन, सेटअप र समर्थनको सजिलो, कम्प्याक्ट र पढ्न योग्य कोड आधार। यद्यपि, WireGuard मा जटिल पूर्वाधार हस्तान्तरण गर्न हतार गर्न धेरै चाँडो छ; यो लिनक्स कर्नेलमा यसको समावेशको लागि पर्खनु लायक छ।

मेरो (र तपाईंको) समय बचत गर्न, मैले विकास गरें WireGuard स्वचालित स्थापनाकर्ता। यसको मद्दतले, तपाईंले आफ्नो र आफ्ना साथीहरूको लागि व्यक्तिगत VPN सेटअप गर्न सक्नुहुन्छ यसको बारेमा केही पनि नबुझेको।

स्रोत: www.habr.com