זינט WireGuard וועט ווערן טייל צוקונפֿטיקע קערן Linux 5.6, איך האָב באַשלאָסן צו זען ווי בעסטער צו אינטעגרירן דעם VPN מיט מיין LTE ראַוטער / אַקסעס פונט אויף Raspberry Pi.

די עקוויפּמענט

• Raspberry Pi 3 מיט LTE מאָדולע און עפנטלעך IP אַדרעס. עס וועט זיין אַ וופּן סערווער דאָ (דערנאָך אין דעם טעקסט עס איז גערופן edgewalker)
• טעלעפאָן אויף Android, וואָס מוז נוצן אַ VPN פֿאַר אַלע קאָמוניקאַציעס
• לאַפּטאַפּ Linux, וואָס זאָל נאָר נוצן VPN אינעם נעץ

יעדער מיטל וואָס קאַנעקץ צו די וופּן מוזן קענען צו פאַרבינדן צו אַלע אנדערע דעוויסעס. פֿאַר בייַשפּיל, אַ טעלעפאָן זאָל קענען צו פאַרבינדן צו אַ וועב סערווער אויף אַ לאַפּטאַפּ אויב ביידע דעוויסעס זענען טייל פון אַ VPN נעץ. אויב די סעטאַפּ איז גאַנץ פּשוט, איר קענען טראַכטן וועגן קאַנעקטינג די דעסקטאַפּ צו די VPN (דורך עטהערנעט).

קאַנסידערינג אַז ווייערד און וויירליס קאַנעקשאַנז ווערן ווייניקער און ווייניקער זיכער מיט צייט (טאַרגעטעד אנפאלן, KRACK WPA2 קראַקינג באַפאַלן и דראַגאָנבלאָאָד באַפאַלן קעגן WPA3), איך טראַכט ערנסט וועגן ניצן WireGuard פֿאַר אַלע מײַנע דעוויסעס, נישט קיין חילוק אין וועלכער סביבה זיי לויפן.

ווייכווארג ינסטאַלירונג

WireGuard גיט פּריקאָמפּילעד פּאַקאַדזשאַז פֿאַר רובֿ פאַרשפּרייטונגען Linux, Windows и macOSאַפּליקאַציעס פֿאַר Android און iOS ווערן געליפערט דורך אַפּ סטאָרז.

איך האָב די לעצטע פֿעדאָראַ Linux 31, און פארן אינסטאלירן בין איך געווען צו פויל צו לייענען דעם מאנואל. איך האב נאר וואס געפונען די פעקלעך. wireguard-tools, אינסטאַלירן זיי, און דעמאָלט קען נישט געפֿינען אויס וואָס גאָרנישט איז ארבעטן. ווייַטער ויספאָרשונג אנטפלעקט אַז איך טאָן ניט האָבן דעם פּעקל אינסטאַלירן wireguard-dkms (מיט אַ נעץ שאָפער), אָבער עס איז נישט אין די ריפּאַזאַטאָרי פון מיין פאַרשפּרייטונג.

אויב איך וואָלט לייענען די ינסטראַקשאַנז, איך וואָלט האָבן גענומען די ריכטיק סטעפּס:

$ sudo dnf copr enable jdoss/wireguard
$ sudo dnf install wireguard-dkms wireguard-tools

איך האָבן די Raspbian Buster פאַרשפּרייטונג אינסטאַלירן אויף מיין Raspberry Pi, עס איז שוין אַ פּעקל דאָרט wireguard, ינסטאַלירן עס:

$ sudo apt install wireguard

אויף די טעלעפאָן Android איך האָב אינסטאַלירט די אַפּליקאַציע WireGuard וופּן פֿון דער באַאַמטער Google אַפּ סטאָר קאַטאַלאָג.

ייַנמאָנטירונג פון שליסלען

צו אויטענטיפיצירן נאָודז Wireguard ניצט א פשוטע פריוואטע/פובליקע שליסל סכעמע צו אויטענטיפיצירן VPN נאָודז. איר קענט לייכט דזשענערירן VPN שליסלען מיטן פאלגנדן באַפֿעל:

$ wg genkey | tee wg-laptop-private.key |  wg pubkey > wg-laptop-public.key
$ wg genkey | tee wg-server-private.key |  wg pubkey > wg-server-public.key
$ wg genkey | tee wg-mobile-private.key |  wg pubkey > wg-mobile-public.key

דאָס גיט אונדז דריי שליסל פּערז (זעקס טעקעס). מיר וועלן נישט אָפּשיקן צו די טעקעס אין די קאָנפיגס, אָבער נאָכמאַכן די אינהאַלט דאָ: יעדער שליסל איז איין שורה אין base64.

שאַפֿן אַ קאַנפיגיעריישאַן טעקע פֿאַר די וופּן סערווער (Raspberry Pi)

די קאַנפיגיעריישאַן איז גאַנץ פּשוט, איך באשאפן די פאלגענדע טעקע /etc/wireguard/wg0.conf:

[Interface]
Address = 10.200.200.1/24
ListenPort = 51820
PrivateKey = <copy private key from wg-server-private.key>
PostUp   = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o wwan0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o wwan0 -j MASQUERADE

[Peer]
# laptop
PublicKey = <copy public key from wg-laptop-public.key>
AllowedIPs = 10.200.200.2/32

[Peer]
# mobile phone
PublicKey = <copy public key from wg-mobile-public.key>
AllowedIPs = 10.200.200.3/32

עטלעכע הערות:

• אין די צונעמען ערטער איר דאַרפֿן צו אַרייַנלייגן שורות פון די טעקעס מיט די שליסלען
• מייַן וופּן איז ניצן ינערלעך באַנד 10.200.200.0/24
• פֿאַר טימז PostUp/PostDown איך האָבן די פונדרויסנדיק נעץ צובינד wwan0, איר קען האָבן אַ אַנדערש (למשל, eth0)

די VPN נעץ איז לייכט אויפשטיין מיט די פאלגענדע באַפֿעל:

$ sudo wg-quick up wg0

איין קליין דעטאַל: ווי די דנס סערווער איך געוויינט dnsmasq טייד צו אַ נעץ צובינד br0, איך אויך צוגעגעבן דעוויסעס wg0 צו דער רשימה פון ערלויבט דעוויסעס. אין dnsmasq דאָס איז געטאן דורך אַדינג אַ נייַע נעץ צובינד שורה צו די קאַנפיגיעריישאַן טעקע /etc/dnsmasq.conf, פֿאַר בייַשפּיל:

interface=br0
interface=wg0

אַדדיטיאָנאַללי, איך צוגעגעבן אַ יפּטאַבלע הערשן צו לאָזן פאַרקער צו די UDP צוגעהערט פּאָרט (51280):

$ sudo iptables -I INPUT -p udp --dport 51820 -j ACCEPT

איצט אַז אַלץ אַרבעט, מיר קענען שטעלן די אָטאַמאַטיק קאַטער פון די VPN טונעל:

$ sudo systemctl enable wg-quick@wg0.service

קליענט קאַנפיגיעריישאַן אויף לאַפּטאַפּ

שאַפֿן אַ קאַנפיגיעריישאַן טעקע אויף אַ לאַפּטאַפּ /etc/wireguard/wg0.conf מיט די זעלבע סעטטינגס:

[Interface]
Address = 10.200.200.2/24
PrivateKey = <copy private key from wg-laptop-private.key>

[Peer]
PublicKey = <copy public key from wg-server-public.key>
AllowedIPs = 10.200.200.0/24
Endpoint = edgewalker:51820

הערות:

• אַנשטאָט Edgewalker איר דאַרפֿן צו ספּעציפיצירן די עפנטלעך IP אָדער VPN סערווער באַלעבאָס
• דורך באַשטעטיקן AllowedIPs אויף 10.200.200.0/24, מיר נאָר נוצן VPN צו אַקסעס די ינערלעך נעץ. פאַרקער צו אַלע אנדערע IP אַדרעסעס / סערווערס וועט פאָרזעצן צו גיין דורך "נאָרמאַל" עפענען טשאַנאַלז. עס וועט אויך נוצן די פאַר-קאַנפיגיערד דנס סערווער אויף די לאַפּטאַפּ.

פֿאַר טעסטינג און אָטאַמאַטיק קאַטער מיר נוצן די זעלבע קאַמאַנדז wg-quick и systemd:

$ sudo wg-quick up wg0
$ sudo systemctl enable wg-quick@wg0.service

אויפשטעלן דעם קליענט פאר Android-טעלעפאָן

פֿאַר טעלעפאָן Android מיר שאַפֿן אַ זייער ענלעכע קאָנפיגוראַציע טעקע (לאָמיר עס רופן mobile.conf):

[Interface]
Address = 10.200.200.3/24
PrivateKey = <copy private key from wg-mobile-private.key>
DNS = 10.200.200.1
        
[Peer]
PublicKey = <copy public key from wg-server-public.key>
AllowedIPs = 0.0.0.0/0
Endpoint = edgewalker:51820

ניט ענלעך די קאַנפיגיעריישאַן אויף די לאַפּטאַפּ, דער טעלעפאָן מוזן נוצן אונדזער וופּן סערווער ווי די דנס סערווער (ליניע DNS), און אויך פאָרן אַלע פאַרקער דורך די וופּן טונעל (AllowedIPs = 0.0.0.0/0).

אַנשטאָט קאַפּיינג די טעקע צו דיין רירעוודיק מיטל, איר קענען גער עס צו אַ QR קאָד:

$ sudo apt install qrencode
$ qrencode -t ansiutf8 < mobile.conf

דער QR קאָד וועט ווערן אַרויסגעגעבן צום קאָנסאָל ווי ASCII. מען קען עס סקענען פֿון דער אַפּ. Android VPN און אויטאָמאַטיש קאָנפיגורירן דעם VPN טונעל.

רעזולטאַט

Customize WireGuard פשוט מאַגיש קאַמפּערד צו OpenVPN.

מקור: www.habr.com