Wakati umefika ambapo VPN sio zana ya kigeni ya wasimamizi wa mfumo wa ndevu. Watumiaji wana kazi tofauti, lakini ukweli ni kwamba kila mtu anahitaji VPN.
Tatizo la ufumbuzi wa sasa wa VPN ni kwamba ni vigumu kusanidi kwa usahihi, gharama kubwa kudumisha, na zimejaa kanuni za urithi za ubora usio na shaka.
Miaka kadhaa iliyopita, mtaalamu wa usalama wa habari wa Kanada Jason A. Donenfeld aliamua kwamba alikuwa ametosheka na akaanza kuifanyia kazi. . WireGuard sasa inatayarishwa kujumuishwa kwenye kinu cha Linux na hata imepokea sifa kutoka na .
Faida zinazodaiwa za WireGuard juu ya suluhisho zingine za VPN:
- Rahisi kutumia.
- Hutumia usimbaji fiche wa kisasa: Mfumo wa itifaki ya Kelele, Curve25519, ChaCha20, Poly1305, BLAKE2, SipHash24, HKDF, n.k.
- Nambari iliyoshikamana, inayoweza kusomeka, rahisi kuchunguza kwa udhaifu.
- Utendaji wa juu.
- Wazi na kufafanua .
Je! risasi ya fedha imepatikana? Je, ni wakati wa kuzika OpenVPN na IPSec? Niliamua kukabiliana na hili, na wakati huo huo nilifanya .
Kanuni za kufanya kazi
Kanuni za uendeshaji zinaweza kuelezewa kama hii:
- Kiolesura cha WireGuard kimeundwa na ufunguo wa faragha na anwani ya IP kimepewa. Mipangilio ya wenzao wengine imepakiwa: funguo zao za umma, anwani za IP, nk.
- Pakiti zote za IP zinazofika kwenye kiolesura cha WireGuard zimefungwa katika UDP na wenzao wengine.
- Wateja hutaja anwani ya IP ya umma ya seva katika mipangilio. Seva hutambua kiotomati anwani za nje za wateja wakati data iliyothibitishwa kwa usahihi inapokewa kutoka kwao.
- Seva inaweza kubadilisha anwani ya IP ya umma bila kukatiza kazi yake. Wakati huo huo, itatuma tahadhari kwa wateja waliounganishwa na watasasisha usanidi wao kwa kuruka.
- Dhana ya uelekezaji hutumiwa . WireGuard inakubali na kutuma pakiti kulingana na ufunguo wa umma wa wenzao. Wakati seva inasimbua pakiti iliyoidhinishwa kwa usahihi, sehemu yake ya src inakaguliwa. Ikiwa inalingana na usanidi
allowed-ipsrika iliyothibitishwa, pakiti inapokelewa na kiolesura cha WireGuard. Wakati wa kutuma pakiti inayotoka, utaratibu unaolingana hufanyika: uwanja wa dst wa pakiti huchukuliwa na, kwa msingi wake, rika linalolingana huchaguliwa, pakiti imesainiwa na ufunguo wake, iliyosimbwa na ufunguo wa rika na kutumwa kwa mwisho wa mbali. .
Mantiki yote ya msingi ya WireGuard huchukua chini ya mistari elfu 4 ya msimbo, wakati OpenVPN na IPSec zina mamia ya maelfu ya mistari. Ili kusaidia algoriti za kisasa za kriptografia, inapendekezwa kujumuisha API mpya ya kriptografia kwenye kinu cha Linux . Kwa sasa kuna mjadala unaendelea kuhusu kama hili ni wazo zuri.
Uzalishaji
Faida ya juu zaidi ya utendaji (ikilinganishwa na OpenVPN na IPSec) itaonekana kwenye mifumo ya Linux, kwani WireGuard inatekelezwa kama moduli ya kernel huko. Kwa kuongeza, macOS, Android, iOS, FreeBSD na OpenBSD zinatumika, lakini ndani yao WireGuard huendesha nafasi ya mtumiaji na matokeo yote ya utendaji yanayofuata. Usaidizi wa Windows unatarajiwa kuongezwa katika siku za usoni.
Matokeo ya kulinganisha na :
Uzoefu wangu wa matumizi
Mimi si mtaalam wa VPN. Wakati mmoja nilianzisha OpenVPN kwa mikono na ilikuwa ya kuchosha sana, na sikujaribu hata IPSec. Kuna maamuzi mengi sana ya kufanya, ni rahisi sana kujipiga risasi kwenye mguu. Kwa hivyo, kila wakati nilitumia maandishi yaliyotengenezwa tayari kusanidi seva.
Kwa hivyo, WireGuard, kwa mtazamo wangu, kwa ujumla ni bora kwa mtumiaji. Maamuzi yote ya kiwango cha chini yanafanywa katika vipimo, hivyo mchakato wa kuandaa miundombinu ya kawaida ya VPN inachukua dakika chache tu. Karibu haiwezekani kudanganya katika usanidi.
Utaratibu wa uingizaji kwenye wavuti rasmi, ningependa kutambua bora .
Vifunguo vya usimbaji fiche vinatolewa na shirika wg:
SERVER_PRIVKEY=$( wg genkey )
SERVER_PUBKEY=$( echo $SERVER_PRIVKEY | wg pubkey )
CLIENT_PRIVKEY=$( wg genkey )
CLIENT_PUBKEY=$( echo $CLIENT_PRIVKEY | wg pubkey )Ifuatayo, unahitaji kuunda usanidi wa seva /etc/wireguard/wg0.conf na maudhui yafuatayo:
[Interface]
Address = 10.9.0.1/24
PrivateKey = $SERVER_PRIVKEY
[Peer]
PublicKey = $CLIENT_PUBKEY
AllowedIPs = 10.9.0.2/32na kuinua handaki na hati wg-quick:
sudo wg-quick up /etc/wireguard/wg0.confKwenye mifumo iliyo na systemd unaweza kutumia hii badala yake sudo systemctl start [email protected].
Kwenye mashine ya mteja, tengeneza usanidi /etc/wireguard/wg0.conf:
[Interface]
PrivateKey = $CLIENT_PRIVKEY
Address = 10.9.0.2/24
[Peer]
PublicKey = $SERVER_PUBKEY
AllowedIPs = 0.0.0.0/0
Endpoint = 1.2.3.4:51820 # ΠΠ½Π΅ΡΠ½ΠΈΠΉ IP ΡΠ΅ΡΠ²Π΅ΡΠ°
PersistentKeepalive = 25 Na inua handaki kwa njia ile ile:
sudo wg-quick up /etc/wireguard/wg0.confKilichobaki ni kusanidi NAT kwenye seva ili wateja waweze kupata Mtandao, na umemaliza!
Urahisi huu wa utumiaji na ushikamano wa msingi wa msimbo ulipatikana kwa kuondoa utendakazi muhimu wa usambazaji. Hakuna mfumo changamano wa cheti na utisho huu wote wa shirika; funguo fupi za usimbaji fiche zinasambazwa kama funguo za SSH. Lakini hii inaleta shida: WireGuard haitakuwa rahisi sana kutekeleza kwenye baadhi ya mitandao iliyopo.
Miongoni mwa hasara, ni vyema kutambua kwamba WireGuard haitafanya kazi kupitia proksi ya HTTP, kwa kuwa ni itifaki ya UDP pekee inayopatikana kama usafiri. Swali linatokea: itawezekana kubatilisha itifaki? Kwa kweli, hii sio kazi ya moja kwa moja ya VPN, lakini kwa OpenVPN, kwa mfano, kuna njia za kujificha kama HTTPS, ambayo husaidia wakaazi wa nchi za kiimla kutumia mtandao kikamilifu.
Matokeo
Kwa muhtasari, hii ni mradi wa kuvutia sana na wa kuahidi, unaweza tayari kuitumia kwenye seva za kibinafsi. Nini faida? Utendaji wa juu kwenye mifumo ya Linux, urahisi wa kusanidi na usaidizi, msingi wa msimbo wa kompakt na unaosomeka. Walakini, ni mapema sana kuharakisha kuhamisha miundombinu tata kwa WireGuard; inafaa kungojea kujumuishwa kwake kwenye kinu cha Linux.
Ili kuokoa wakati wangu (na wako), niliendeleza . Kwa msaada wake, unaweza kusanidi VPN ya kibinafsi kwako na marafiki zako bila hata kuelewa chochote kuihusu.
Chanzo: mapenzi.com