وہ وقت آ گیا ہے جب VPN داڑھی والے سسٹم ایڈمنسٹریٹرز کا کوئی غیر ملکی ٹول نہیں رہا ہے۔ صارفین کے پاس مختلف کام ہوتے ہیں، لیکن حقیقت یہ ہے کہ ہر ایک کو وی پی این کی ضرورت ہوتی ہے۔
موجودہ VPN حل کے ساتھ مسئلہ یہ ہے کہ وہ صحیح طریقے سے ترتیب دینا مشکل ہیں، برقرار رکھنا مہنگا ہے، اور قابل اعتراض معیار کے میراثی کوڈ سے بھرا ہوا ہے۔
کئی سال پہلے، کینیڈا کے انفارمیشن سیکیورٹی کے ماہر جیسن اے ڈونن فیلڈ نے فیصلہ کیا کہ اس کے پاس کافی ہے اور اس پر کام کرنا شروع کیا۔ . وائر گارڈ کو اب لینکس کرنل میں شامل کرنے کے لیے تیار کیا جا رہا ہے اور یہاں تک کہ اس کی تعریف بھی ہوئی ہے۔ اور .
دیگر VPN حلوں پر WireGuard کے دعوی کردہ فوائد:
- استعمال میں آسان.
- جدید خفیہ نگاری کا استعمال کرتا ہے: شور پروٹوکول فریم ورک، Curve25519، ChaCha20، Poly1305، BLAKE2، SipHash24، HKDF، وغیرہ۔
- کومپیکٹ، پڑھنے کے قابل کوڈ، کمزوریوں کی تفتیش کرنا آسان ہے۔
- اعلی کارکردگی.
- واضح اور وسیع .
کیا چاندی کی گولی ملی ہے؟ کیا یہ OpenVPN اور IPSec کو دفن کرنے کا وقت ہے؟ میں نے اس سے نمٹنے کا فیصلہ کیا، اور اسی وقت میں نے کیا۔ .
کام کے اصول
آپریشن کے اصولوں کو تقریباً اس طرح بیان کیا جا سکتا ہے:
- ایک WireGuard انٹرفیس بنایا جاتا ہے اور اسے ایک نجی کلید اور IP ایڈریس تفویض کیا جاتا ہے۔ دوسرے ساتھیوں کی سیٹنگیں لوڈ ہوتی ہیں: ان کی پبلک کیز، آئی پی ایڈریسز وغیرہ۔
- وائر گارڈ انٹرفیس پر پہنچنے والے تمام آئی پی پیکٹ UDP میں سمیٹے ہوئے ہیں اور دوسرے ساتھی.
- کلائنٹ ترتیبات میں سرور کا عوامی IP پتہ بتاتے ہیں۔ سرور خود بخود کلائنٹس کے بیرونی پتوں کو پہچان لیتا ہے جب ان سے درست طریقے سے تصدیق شدہ ڈیٹا موصول ہوتا ہے۔
- سرور اپنے کام میں خلل ڈالے بغیر عوامی IP ایڈریس کو تبدیل کر سکتا ہے۔ ایک ہی وقت میں، یہ منسلک کلائنٹس کو ایک الرٹ بھیجے گا اور وہ پرواز پر اپنی ترتیب کو اپ ڈیٹ کریں گے۔
- روٹنگ کا تصور استعمال کیا جاتا ہے۔ . WireGuard ہم مرتبہ کی عوامی کلید کی بنیاد پر پیکٹ کو قبول اور بھیجتا ہے۔ جب سرور درست طریقے سے تصدیق شدہ پیکٹ کو ڈیکرپٹ کرتا ہے، تو اس کی src فیلڈ کو چیک کیا جاتا ہے۔ اگر یہ ترتیب سے میل کھاتا ہے۔
allowed-ipsتصدیق شدہ ہم مرتبہ، پیکٹ وائر گارڈ انٹرفیس کے ذریعے موصول ہوتا ہے۔ باہر جانے والا پیکٹ بھیجتے وقت، متعلقہ طریقہ کار ہوتا ہے: پیکٹ کا dst فیلڈ لیا جاتا ہے اور اس کی بنیاد پر متعلقہ پیئر کو منتخب کیا جاتا ہے، پیکٹ پر اس کی کلید کے ساتھ دستخط کیے جاتے ہیں، ساتھی کی کلید کے ساتھ انکرپٹ کیے جاتے ہیں اور ریموٹ اینڈ پوائنٹ پر بھیجا جاتا ہے۔ .
WireGuard کی تمام بنیادی منطق کوڈ کی 4 ہزار لائنوں سے کم لیتی ہے، جبکہ OpenVPN اور IPSec میں سیکڑوں ہزاروں لائنیں ہیں۔ جدید کرپٹوگرافک الگورتھم کو سپورٹ کرنے کے لیے، یہ تجویز ہے کہ لینکس کرنل میں ایک نیا کرپٹوگرافک API شامل کیا جائے۔ . فی الحال اس بارے میں بحث جاری ہے کہ آیا یہ ایک اچھا خیال ہے۔
کارکردگی
زیادہ سے زیادہ کارکردگی کا فائدہ (اوپن وی پی این اور آئی پی ایس سی کے مقابلے) لینکس سسٹمز پر نمایاں ہوگا، کیونکہ وہاں وائر گارڈ کو کرنل ماڈیول کے طور پر لاگو کیا گیا ہے۔ اس کے علاوہ، میک او ایس، اینڈرائیڈ، آئی او ایس، فری بی ایس ڈی اور اوپن بی ایس ڈی کو سپورٹ کیا جاتا ہے، لیکن ان میں وائر گارڈ کارکردگی کے تمام نتائج کے ساتھ یوزر اسپیس میں چلتا ہے۔ مستقبل قریب میں ونڈوز سپورٹ کے شامل ہونے کی توقع ہے۔
کے ساتھ بینچ مارک کے نتائج :
میرا استعمال کا تجربہ
میں VPN ماہر نہیں ہوں۔ میں نے ایک بار اوپن وی پی این کو دستی طور پر ترتیب دیا تھا اور یہ بہت تکلیف دہ تھا، اور میں نے IPSec کو بھی نہیں آزمایا۔ بہت سارے فیصلے کرنے ہیں، خود کو پاؤں میں گولی مارنا بہت آسان ہے۔ لہذا، میں نے سرور کو ترتیب دینے کے لیے ہمیشہ ریڈی میڈ اسکرپٹس کا استعمال کیا۔
لہذا، WireGuard، میرے نقطہ نظر سے، عام طور پر صارف کے لیے مثالی ہے۔ تمام نچلی سطح کے فیصلے تصریح میں کیے جاتے ہیں، اس لیے عام VPN انفراسٹرکچر کی تیاری کے عمل میں صرف چند منٹ لگتے ہیں۔ ترتیب میں دھوکہ دینا تقریباً ناممکن ہے۔
تنصیب کا عمل۔ سرکاری ویب سائٹ پر، میں الگ سے بہترین کو نوٹ کرنا چاہوں گا۔ .
خفیہ کاری کی چابیاں افادیت کے ذریعہ تیار کی جاتی ہیں۔ wg:
SERVER_PRIVKEY=$( wg genkey )
SERVER_PUBKEY=$( echo $SERVER_PRIVKEY | wg pubkey )
CLIENT_PRIVKEY=$( wg genkey )
CLIENT_PUBKEY=$( echo $CLIENT_PRIVKEY | wg pubkey )اگلا، آپ کو سرور کی تشکیل بنانے کی ضرورت ہے۔ /etc/wireguard/wg0.conf مندرجہ ذیل مواد کے ساتھ:
[Interface]
Address = 10.9.0.1/24
PrivateKey = $SERVER_PRIVKEY
[Peer]
PublicKey = $CLIENT_PUBKEY
AllowedIPs = 10.9.0.2/32اور اسکرپٹ کے ساتھ سرنگ کو بلند کریں۔ wg-quick:
sudo wg-quick up /etc/wireguard/wg0.confsystemd والے سسٹمز پر آپ اس کے بجائے اسے استعمال کر سکتے ہیں۔ sudo systemctl start [email protected].
کلائنٹ مشین پر، ایک تشکیل بنائیں /etc/wireguard/wg0.conf:
[Interface]
PrivateKey = $CLIENT_PRIVKEY
Address = 10.9.0.2/24
[Peer]
PublicKey = $SERVER_PUBKEY
AllowedIPs = 0.0.0.0/0
Endpoint = 1.2.3.4:51820 # Внешний IP сервера
PersistentKeepalive = 25 اور سرنگ کو اسی طرح اٹھائیں:
sudo wg-quick up /etc/wireguard/wg0.confباقی صرف NAT کو سرور پر کنفیگر کرنا ہے تاکہ کلائنٹ انٹرنیٹ تک رسائی حاصل کر سکیں، اور آپ کا کام ہو گیا!
استعمال میں یہ آسانی اور کوڈ بیس کی جامعیت کلیدی تقسیم کی فعالیت کو ختم کرکے حاصل کی گئی۔ کوئی پیچیدہ سرٹیفکیٹ سسٹم نہیں ہے اور یہ تمام کارپوریٹ ہارر؛ مختصر انکرپشن کیز SSH کیز کی طرح تقسیم کی جاتی ہیں۔ لیکن اس سے ایک مسئلہ پیدا ہوتا ہے: WireGuard کو کچھ موجودہ نیٹ ورکس پر لاگو کرنا اتنا آسان نہیں ہوگا۔
نقصانات میں سے، یہ قابل توجہ ہے کہ وائر گارڈ HTTP پراکسی کے ذریعے کام نہیں کرے گا، کیونکہ صرف UDP پروٹوکول ہی ٹرانسپورٹ کے طور پر دستیاب ہے۔ سوال یہ پیدا ہوتا ہے کہ کیا پروٹوکول کو مبہم کرنا ممکن ہوگا؟ بلاشبہ، یہ کسی VPN کا براہ راست کام نہیں ہے، لیکن OpenVPN کے لیے، مثال کے طور پر، HTTPS کا روپ دھارنے کے طریقے موجود ہیں، جو مطلق العنان ممالک کے باشندوں کو مکمل طور پر انٹرنیٹ استعمال کرنے میں مدد کرتے ہیں۔
نتائج
خلاصہ یہ ہے کہ یہ ایک بہت ہی دلچسپ اور امید افزا پروجیکٹ ہے، آپ اسے پہلے ہی ذاتی سرورز پر استعمال کر سکتے ہیں۔ منافع کیا ہے؟ لینکس سسٹمز پر اعلیٰ کارکردگی، سیٹ اپ اور سپورٹ میں آسانی، کمپیکٹ اور پڑھنے کے قابل کوڈ بیس۔ تاہم، ایک پیچیدہ انفراسٹرکچر کو WireGuard میں منتقل کرنے کے لیے جلدی کرنا بہت جلد ہے؛ یہ لینکس کرنل میں اس کے شامل ہونے کا انتظار کرنے کے قابل ہے۔
اپنا (اور آپ کا) وقت بچانے کے لیے، میں نے ترقی کی۔ . اس کی مدد سے، آپ اس کے بارے میں کچھ سمجھے بغیر بھی اپنے اور اپنے دوستوں کے لیے ذاتی VPN ترتیب دے سکتے ہیں۔
ماخذ: www.habr.com