WireGuard අනාගතයේ විශිෂ්ට VPN ද?

VPN තවදුරටත් රැවුල සහිත පද්ධති පරිපාලකයින්ගේ විදේශීය මෙවලමක් නොවන කාලය පැමිණ තිබේ. පරිශීලකයින්ට විවිධ කාර්යයන් ඇත, නමුත් කාරණය නම් සෑම කෙනෙකුටම VPN අවශ්‍ය වීමයි.

වත්මන් VPN විසඳුම් සමඟ ඇති ගැටළුව නම් ඒවා නිවැරදිව වින්‍යාස කිරීමට අපහසු වීම, නඩත්තු කිරීමට මිල අධික වීම සහ සැක සහිත ගුණාත්මක භාවයේ උරුම කේතයෙන් පිරී තිබීමයි.

වසර කිහිපයකට පෙර කැනේඩියානු තොරතුරු ආරක්ෂණ විශේෂඥ ජේසන් ඒ. ඩොනෙන්ෆෙල්ඩ් තමාට එය ප්‍රමාණවත් බව තීරණය කර වැඩ ආරම්භ කළේය. වයිර්ගාර්ඩ්. WireGuard දැන් Linux කර්නලයට ඇතුළත් කිරීම සඳහා සූදානම් වෙමින් පවතින අතර ප්‍රශංසාව පවා ලැබී ඇත. ලිනස් ටොවල්ඩ්ස් හා ඇතුළත එක්සත් ජනපද සෙනෙට් සභාව.

අනෙකුත් VPN විසඳුම් වලට වඩා WireGuard හි හිමිකම් කියන වාසි:

• භාවිතා කිරීමට පහසුය.
• නවීන ගුප්තකේතනය භාවිතා කරයි: Noise protocol framework, Curve25519, ChaCha20, Poly1305, BLAKE2, SipHash24, HKDF, ආදිය.
• සංයුක්ත, කියවිය හැකි කේතය, දුර්වලතා සඳහා විමර්ශනය කිරීමට පහසුය.
• ඉහළ කාර්ය සාධනය.
• පැහැදිලි සහ විස්තීර්ණ පිරිවිතර.

රිදී උණ්ඩයක් හමු වී තිබේද? OpenVPN සහ IPSec භූමදාන කිරීමට කාලය පැමිණ තිබේද? මම මේ සමඟ කටයුතු කිරීමට තීරණය කළ අතර, ඒ සමඟම මම කළා පුද්ගලික VPN සේවාදායකයක් ස්වයංක්‍රීයව ස්ථාපනය කිරීම සඳහා ස්ක්‍රිප්ට්.

වැඩ කරන මූලධර්ම

මෙහෙයුම් මූලධර්ම පහත පරිදි විස්තර කළ හැකිය:

• WireGuard අතුරු මුහුණතක් සාදනු ලබන අතර පුද්ගලික යතුරක් සහ IP ලිපිනයක් එයට පවරනු ලැබේ. අනෙකුත් සම වයසේ මිතුරන්ගේ සැකසුම් පූරණය කර ඇත: ඔවුන්ගේ පොදු යතුරු, IP ලිපින, ආදිය.
• WireGuard අතුරුමුහුණත වෙත පැමිණෙන සියලුම IP පැකට් UDP සහ ආරක්ෂිතව භාර දෙන ලදී වෙනත් සම වයසේ මිතුරන්.
• සේවාදායකයින් සැකසුම් තුළ සේවාදායකයේ පොදු IP ලිපිනය සඳහන් කරයි. සේවාදායකයා ඔවුන්ගෙන් නිවැරදිව සත්‍යාපනය කරන ලද දත්ත ලැබුණු විට සේවාදායකයාගේ බාහිර ලිපිනයන් ස්වයංක්‍රීයව හඳුනා ගනී.
• සේවාදායකයට එහි කාර්යයට බාධා නොකර පොදු IP ලිපිනය වෙනස් කළ හැකිය. ඒ සමඟම, එය සම්බන්ධිත ගනුදෙනුකරුවන්ට අනතුරු ඇඟවීමක් යවන අතර ඔවුන් පියාසර කරන විට ඔවුන්ගේ වින්‍යාසය යාවත්කාලීන කරනු ඇත.
• මාර්ගගත කිරීමේ සංකල්පය භාවිතා වේ Cryptokey Routing. WireGuard peer ගේ පොදු යතුර මත පදනම්ව පැකට් පිළිගෙන යවයි. සේවාදායකය නිවැරදිව සත්‍යාපනය කළ පැකට්ටුවක් විකේතනය කළ විට, එහි src ක්ෂේත්‍රය පරීක්ෂා කරනු ලැබේ. එය වින්‍යාසයට ගැලපේ නම් allowed-ips Authenticated peer, පැකට්ටුව WireGuard අතුරුමුහුණත මගින් ලැබේ. පිටතට යන පැකට්ටුවක් යැවීමේදී, අනුරූප ක්‍රියා පටිපාටිය සිදු වේ: පැකට්ටුවේ dst ක්ෂේත්‍රය ගෙන, එය මත පදනම්ව, අනුරූප සම වයසේ මිතුරා තෝරාගෙන, පැකට්ටුව එහි යතුර සමඟ අත්සන් කර, සම වයසේ යතුර සමඟ සංකේතනය කර දුරස්ථ අන්තයට යවනු ලැබේ. .

WireGuard හි සියලුම මූලික තාර්කික කේත රේඛා 4 දහසකට වඩා අඩු ප්‍රමාණයක් ගන්නා අතර OpenVPN සහ IPSec රේඛා සිය දහස් ගණනක් ඇත. නවීන ගුප්ත ලේඛන ඇල්ගොරිතම සඳහා සහය දැක්වීම සඳහා, ලිනක්ස් කර්නලය තුළ නව ගුප්ත ලේඛන API ඇතුළත් කිරීමට යෝජනා කෙරේ. සින්ක්. මෙය හොඳ අදහසක් ද යන්න පිළිබඳව මේ වන විට සාකච්ඡාවක් පවතී.

ඵලදායිතාව

WireGuard එහි කර්නල් මොඩියුලයක් ලෙස ක්‍රියාත්මක කර ඇති බැවින් උපරිම කාර්ය සාධන වාසිය (OpenVPN සහ IPSec හා සසඳන විට) Linux පද්ධති මත කැපී පෙනෙනු ඇත. ඊට අමතරව, macOS, Android, iOS, FreeBSD සහ OpenBSD සඳහා සහය දක්වයි, නමුත් ඒවා තුළ WireGuard පරිශීලක අවකාශය තුළ ක්‍රියාත්මක වන්නේ ඊළඟ කාර්ය සාධන ප්‍රතිවිපාක සමඟිනි. නුදුරු අනාගතයේ දී වින්ඩෝස් සහාය එක් කිරීමට බලාපොරොත්තු වේ.

මිණුම් ලකුණ සමඟ ප්රතිඵල නිල වෙබ් අඩවිය:

මගේ භාවිත අත්දැකීම

මම VPN විශේෂඥයෙක් නොවේ. මම වරක් OpenVPN අතින් සකස් කළ අතර එය ඉතා වෙහෙසකර වූ අතර මම IPSec උත්සාහ කළේ නැත. ගැනීමට බොහෝ තීරණ ඇත, ඔබටම පාදයට වෙඩි තැබීම ඉතා පහසුය. එබැවින්, සේවාදායකය වින්‍යාස කිරීම සඳහා මම සැමවිටම සූදානම් කළ ස්ක්‍රිප්ට් භාවිතා කළෙමි.

එබැවින්, WireGuard, මගේ දෘෂ්ටි කෝණයෙන්, සාමාන්යයෙන් පරිශීලකයා සඳහා වඩාත් සුදුසු වේ. සියලුම පහත් මට්ටමේ තීරණ ගනු ලබන්නේ පිරිවිතර තුළ, එබැවින් සාමාන්‍ය VPN යටිතල ව්‍යුහයක් සකස් කිරීමේ ක්‍රියාවලියට ගත වන්නේ මිනිත්තු කිහිපයක් පමණි. වින්‍යාසය තුළ වංචා කිරීම පාහේ කළ නොහැක්කකි.

ස්ථාපන ක්‍රියාවලිය විස්තරාත්මකව විස්තර කර ඇත නිල වෙබ් අඩවියේ, විශිෂ්ටත්වය වෙන වෙනම සටහන් කිරීමට මම කැමතියි OpenWRT සහාය.

සංකේතාංකන යතුරු උපයෝගිතා මගින් ජනනය වේ wg:

SERVER_PRIVKEY=$( wg genkey )
SERVER_PUBKEY=$( echo $SERVER_PRIVKEY | wg pubkey )
CLIENT_PRIVKEY=$( wg genkey )
CLIENT_PUBKEY=$( echo $CLIENT_PRIVKEY | wg pubkey )

ඊළඟට, ඔබ සේවාදායක වින්‍යාසයක් සෑදිය යුතුය /etc/wireguard/wg0.conf පහත අන්තර්ගතය සමඟ:

[Interface]
Address = 10.9.0.1/24
PrivateKey = $SERVER_PRIVKEY
[Peer]
PublicKey = $CLIENT_PUBKEY
AllowedIPs = 10.9.0.2/32

සහ ස්ක්‍රිප්ට් එකකින් උමග ඔසවන්න wg-quick:

sudo wg-quick up /etc/wireguard/wg0.conf

systemd සහිත පද්ධතිවල ඔබට මෙය භාවිතා කළ හැක sudo systemctl start [email protected].

සේවාදායක යන්ත්‍රය මත, වින්‍යාසයක් සාදන්න /etc/wireguard/wg0.conf:

[Interface]
PrivateKey = $CLIENT_PRIVKEY
Address = 10.9.0.2/24
[Peer]
PublicKey = $SERVER_PUBKEY
AllowedIPs = 0.0.0.0/0
Endpoint = 1.2.3.4:51820 # Внешний IP сервера
PersistentKeepalive = 25 

උමඟ එකම ආකාරයකින් ඔසවන්න:

sudo wg-quick up /etc/wireguard/wg0.conf

ගනුදෙනුකරුවන්ට අන්තර්ජාලයට පිවිසිය හැකි වන පරිදි සේවාදායකයේ NAT වින්‍යාස කිරීම පමණක් ඉතිරිව ඇත, ඔබ අවසන්!

මෙම භාවිතයේ පහසුව සහ කේත පදනමේ සංයුක්තතාවය ප්‍රධාන බෙදාහැරීමේ ක්‍රියාකාරීත්වය ඉවත් කිරීමෙන් ලබා ගන්නා ලදී. සංකීර්ණ සහතික පද්ධතියක් නොමැති අතර මේ සියලු ආයතනික භීෂණය; කෙටි සංකේතාංකන යතුරු බොහෝ දුරට SSH යතුරු මෙන් බෙදා හැරේ. නමුත් මෙය ගැටළුවක් මතු කරයි: WireGuard සමහර පවතින ජාල වල ක්රියාත්මක කිරීම එතරම් පහසු නොවනු ඇත.

අවාසි අතර, UDP ප්‍රොටෝකෝලය පමණක් ප්‍රවාහනයක් ලෙස ලබා ගත හැකි බැවින්, WireGuard HTTP ප්‍රොක්සියක් හරහා ක්‍රියා නොකරන බව සඳහන් කිරීම වටී. ප්රශ්නය පැනනගින්නේ: ප්රොටෝකෝලය අපැහැදිලි කිරීමට හැකි වේද? ඇත්ත වශයෙන්ම, මෙය VPN හි සෘජු කාර්යයක් නොවේ, නමුත් OpenVPN සඳහා, උදාහරණයක් ලෙස, HTTPS ලෙස වෙස්වළා ගැනීමට ක්‍රම තිබේ, එය ඒකාධිපති රටවල පදිංචිකරුවන්ට සම්පූර්ණයෙන්ම අන්තර්ජාලය භාවිතා කිරීමට උපකාරී වේ.

සොයා ගැනීම්

සාරාංශගත කිරීම සඳහා, මෙය ඉතා රසවත් හා පොරොන්දු වූ ව්යාපෘතියකි, ඔබට එය දැනටමත් පුද්ගලික සේවාදායකයන් මත භාවිතා කළ හැකිය. ලාභය කුමක්ද? ලිනක්ස් පද්ධතිවල ඉහළ කාර්ය සාධනය, සැකසීමේ පහසුව සහ සහාය, සංයුක්ත සහ කියවිය හැකි කේත පදනම. කෙසේ වෙතත්, සංකීර්ණ යටිතල පහසුකම් WireGuard වෙත මාරු කිරීමට ඉක්මන් වීමට ඉක්මන් වැඩියි; එය Linux කර්නලයට ඇතුළත් කිරීම සඳහා බලා සිටීම වටී.

මගේ (සහ ඔබේ) කාලය ඉතිරි කර ගැනීමට, මම දියුණු කළෙමි WireGuard ස්වයංක්‍රීය ස්ථාපකය. එහි සහාය ඇතිව, ඔබට ඒ ගැන කිසිවක් තේරුම් නොගෙන ඔබ සහ ඔබේ මිතුරන් සඳහා පුද්ගලික VPN සැකසිය හැකිය.

මූලාශ්රය: www.habr.com