ווייַל WireGuard וועט ווערן טייל פון די אַפּקאַמינג לינוקס קערן 5.6, איך באַשלאָסן צו זען ווי בעסטער צו ויסשטימען דעם וופּן מיט מיין LTE ראַוטער / אַקסעס פונט אויף Raspberry Pi.

די עקוויפּמענט

• Raspberry Pi 3 מיט LTE מאָדולע און עפנטלעך IP אַדרעס. עס וועט זיין אַ וופּן סערווער דאָ (דערנאָך אין דעם טעקסט עס איז גערופן edgewalker)
• אַן אַנדרויד טעלעפאָן וואָס מוזן נוצן אַ VPN פֿאַר אַלע קאָמוניקאַציע
• לינוקס לאַפּטאַפּ וואָס זאָל נאָר נוצן אַ וופּן אין די נעץ

יעדער מיטל וואָס קאַנעקץ צו די וופּן מוזן קענען צו פאַרבינדן צו אַלע אנדערע דעוויסעס. פֿאַר בייַשפּיל, אַ טעלעפאָן זאָל קענען צו פאַרבינדן צו אַ וועב סערווער אויף אַ לאַפּטאַפּ אויב ביידע דעוויסעס זענען טייל פון אַ VPN נעץ. אויב די סעטאַפּ איז גאַנץ פּשוט, איר קענען טראַכטן וועגן קאַנעקטינג די דעסקטאַפּ צו די VPN (דורך עטהערנעט).

קאַנסידערינג אַז ווייערד און וויירליס קאַנעקשאַנז ווערן ווייניקער און ווייניקער זיכער מיט צייט (טאַרגעטעד אנפאלן, KRACK WPA2 קראַקינג באַפאַלן и דראַגאָנבלאָאָד באַפאַלן קעגן WPA3), איך קאַנסידערינג עמעס ניצן WireGuard פֿאַר אַלע מיין דעוויסעס, קיין ענין אין וואָס סוויווע זיי זענען.

ווייכווארג ינסטאַלירונג

WireGuard גיט פּריקאָמפּילעד פּאַקאַדזשאַז פֿאַר רובֿ לינוקס, ווינדאָוז און מאַקאָס דיסטריביושאַנז. אַנדרויד און יאָס אַפּפּס זענען איבערגעגעבן דורך אַפּ דיירעקטעריז.

איך האָבן די לעצטע פעדאָראַ לינוקס 31, און איך איז געווען צו פויל צו לייענען די מאַנואַל איידער ינסטאָלינג. נאָר געפֿונען די פּאַקאַדזשאַז wireguard-tools, אינסטאַלירן זיי, און דעמאָלט קען נישט געפֿינען אויס וואָס גאָרנישט איז ארבעטן. ווייַטער ויספאָרשונג אנטפלעקט אַז איך טאָן ניט האָבן דעם פּעקל אינסטאַלירן wireguard-dkms (מיט אַ נעץ שאָפער), אָבער עס איז נישט אין די ריפּאַזאַטאָרי פון מיין פאַרשפּרייטונג.

אויב איך וואָלט לייענען די ינסטראַקשאַנז, איך וואָלט האָבן גענומען די ריכטיק סטעפּס:

$ sudo dnf copr enable jdoss/wireguard
$ sudo dnf install wireguard-dkms wireguard-tools

איך האָבן די Raspbian Buster פאַרשפּרייטונג אינסטאַלירן אויף מיין Raspberry Pi, עס איז שוין אַ פּעקל דאָרט wireguard, ינסטאַלירן עס:

$ sudo apt install wireguard

אויף מיין אַנדרויד טעלעפאָן איך אינסטאַלירן די אַפּלאַקיישאַן ווירעגואַרד וופּן פֿון דער באַאַמטער Google אַפּ סטאָר קאַטאַלאָג.

ייַנמאָנטירונג פון שליסלען

פֿאַר ייַנקוקנ אָטענטאַקיישאַן, Wireguard ניצט אַ פּשוט פּריוואַט / ציבור שליסל סכעמע צו אָטענטאַקייט VPN פּירז. איר קענען לייכט שאַפֿן VPN שליסלען מיט די פאלגענדע באַפֿעל:

$ wg genkey | tee wg-laptop-private.key |  wg pubkey > wg-laptop-public.key
$ wg genkey | tee wg-server-private.key |  wg pubkey > wg-server-public.key
$ wg genkey | tee wg-mobile-private.key |  wg pubkey > wg-mobile-public.key

דאָס גיט אונדז דריי שליסל פּערז (זעקס טעקעס). מיר וועלן נישט אָפּשיקן צו די טעקעס אין די קאָנפיגס, אָבער נאָכמאַכן די אינהאַלט דאָ: יעדער שליסל איז איין שורה אין base64.

שאַפֿן אַ קאַנפיגיעריישאַן טעקע פֿאַר די וופּן סערווער (Raspberry Pi)

די קאַנפיגיעריישאַן איז גאַנץ פּשוט, איך באשאפן די פאלגענדע טעקע /etc/wireguard/wg0.conf:

[Interface]
Address = 10.200.200.1/24
ListenPort = 51820
PrivateKey = <copy private key from wg-server-private.key>
PostUp   = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o wwan0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o wwan0 -j MASQUERADE

[Peer]
# laptop
PublicKey = <copy public key from wg-laptop-public.key>
AllowedIPs = 10.200.200.2/32

[Peer]
# mobile phone
PublicKey = <copy public key from wg-mobile-public.key>
AllowedIPs = 10.200.200.3/32

עטלעכע הערות:

• אין די צונעמען ערטער איר דאַרפֿן צו אַרייַנלייגן שורות פון די טעקעס מיט די שליסלען
• מייַן וופּן איז ניצן ינערלעך באַנד 10.200.200.0/24
• פֿאַר טימז PostUp/PostDown איך האָבן די פונדרויסנדיק נעץ צובינד wwan0, איר קען האָבן אַ אַנדערש (למשל, eth0)

די VPN נעץ איז לייכט אויפשטיין מיט די פאלגענדע באַפֿעל:

$ sudo wg-quick up wg0

איין קליין דעטאַל: ווי די דנס סערווער איך געוויינט dnsmasq טייד צו אַ נעץ צובינד br0, איך אויך צוגעגעבן דעוויסעס wg0 צו דער רשימה פון ערלויבט דעוויסעס. אין dnsmasq דאָס איז געטאן דורך אַדינג אַ נייַע נעץ צובינד שורה צו די קאַנפיגיעריישאַן טעקע /etc/dnsmasq.conf, פֿאַר בייַשפּיל:

interface=br0
interface=wg0

אַדדיטיאָנאַללי, איך צוגעגעבן אַ יפּטאַבלע הערשן צו לאָזן פאַרקער צו די UDP צוגעהערט פּאָרט (51280):

$ sudo iptables -I INPUT -p udp --dport 51820 -j ACCEPT

איצט אַז אַלץ אַרבעט, מיר קענען שטעלן די אָטאַמאַטיק קאַטער פון די VPN טונעל:

$ sudo systemctl enable [email protected]

קליענט קאַנפיגיעריישאַן אויף לאַפּטאַפּ

שאַפֿן אַ קאַנפיגיעריישאַן טעקע אויף אַ לאַפּטאַפּ /etc/wireguard/wg0.conf מיט די זעלבע סעטטינגס:

[Interface]
Address = 10.200.200.2/24
PrivateKey = <copy private key from wg-laptop-private.key>

[Peer]
PublicKey = <copy public key from wg-server-public.key>
AllowedIPs = 10.200.200.0/24
Endpoint = edgewalker:51820

הערות:

• אַנשטאָט Edgewalker איר דאַרפֿן צו ספּעציפיצירן די עפנטלעך IP אָדער VPN סערווער באַלעבאָס
• דורך באַשטעטיקן AllowedIPs אויף 10.200.200.0/24, מיר נאָר נוצן VPN צו אַקסעס די ינערלעך נעץ. פאַרקער צו אַלע אנדערע IP אַדרעסעס / סערווערס וועט פאָרזעצן צו גיין דורך "נאָרמאַל" עפענען טשאַנאַלז. עס וועט אויך נוצן די פאַר-קאַנפיגיערד דנס סערווער אויף די לאַפּטאַפּ.

פֿאַר טעסטינג און אָטאַמאַטיק קאַטער מיר נוצן די זעלבע קאַמאַנדז wg-quick и systemd:

$ sudo wg-quick up wg0
$ sudo systemctl enable [email protected]

באַשטעטיקן אַ קליענט אויף אַן אַנדרויד טעלעפאָן

פֿאַר אַן אַנדרויד טעלעפאָן מיר מאַכן אַ זייער ענלעך קאַנפיגיעריישאַן טעקע (לאָמיר רופן עס mobile.conf):

[Interface]
Address = 10.200.200.3/24
PrivateKey = <copy private key from wg-mobile-private.key>
DNS = 10.200.200.1
        
[Peer]
PublicKey = <copy public key from wg-server-public.key>
AllowedIPs = 0.0.0.0/0
Endpoint = edgewalker:51820

ניט ענלעך די קאַנפיגיעריישאַן אויף די לאַפּטאַפּ, דער טעלעפאָן מוזן נוצן אונדזער וופּן סערווער ווי די דנס סערווער (ליניע DNS), און אויך פאָרן אַלע פאַרקער דורך די וופּן טונעל (AllowedIPs = 0.0.0.0/0).

אַנשטאָט קאַפּיינג די טעקע צו דיין רירעוודיק מיטל, איר קענען גער עס צו אַ QR קאָד:

$ sudo apt install qrencode
$ qrencode -t ansiutf8 < mobile.conf

די QR קאָד וועט אַרויספירן צו די קאַנסאָול ווי ASCII. עס קענען זיין סקאַנד פֿון די אַנדרויד וופּן אַפּ און וועט אויטאָמאַטיש שטעלן אַ וופּן טונעל.

רעזולטאַט

באַשטעטיקן WireGuard איז פשוט מאַדזשיקאַל קאַמפּערד מיט OpenVPN.

מקור: www.habr.com