איז WireGuard די גרויס וופּן פון דער צוקונפֿט?

די צייט איז געקומען ווען VPN איז ניט מער אַ עקזאָטיש געצייַג פון בירדאַד סיסטעם אַדמיניסטראַטאָרס. יוזערז האָבן פאַרשידענע טאַסקס, אָבער דער פאַקט איז אַז אַלעמען דאַרף אַ VPN.

די פּראָבלעם מיט קראַנט וופּן סאַלושאַנז איז אַז זיי זענען שווער צו קאַנפיגיער ריכטיק, טייַער צו טייַנען און זענען פול פון לעגאַט קאָד פון פּראָבלעמאַטיש קוואַליטעט.

מיט עטליכע יאר צוריק האט דער קאנאדישער אינפארמאציע סעקיוריטי מומכע, Jason A. Donenfeld באַשלאָסן אז ער האט גענוג דערפון און אנגעהויבן ארבעטן אויף WireGuard. WireGuard איז איצט צוגעגרייט פֿאַר ינקלוזשאַן אין די לינוקס קערן און האט אפילו באקומען לויב פון לינוס טאָרוואַלדס און סענאַט.

קליימד אַדוואַנטידזשיז פון WireGuard איבער אנדערע VPN סאַלושאַנז:

• גרינג צו נוצן.
• ניצט מאָדערן קריפּטאָגראַפי: ראַש פּראָטאָקאָל פריימווערק, Curve25519, ChaCha20, Poly1305, BLAKE2, SipHash24, HKDF, עטק.
• סאָליד, ליינעוודיק קאָד, גרינגער צו פאָרשן פֿאַר וואַלנעראַביליטיז.
• הויך פאָרשטעלונג.
• קלאָר און פּראָטים ספּעציפיקאַציע.

האט מען געפונען א זילבערנער קויל? איז עס צייט צו באַגראָבן OpenVPN און IPSec? איך האָב באַשלאָסן צו האַנדלען מיט דעם, און אין דער זעלביקער צייַט איך האָב שריפט פֿאַר אויטאָמאַטיש ינסטאָלינג אַ פערזענלעכע וופּן סערווער.

ארבעטן פּרינסאַפּאַלז

די אַפּערייטינג פּרינציפּן קענען זיין דיסקרייבד עפּעס ווי דאָס:

• א WireGuard צובינד איז באשאפן און אַ פּריוואַט שליסל און IP אַדרעס זענען אַסיינד צו עס. די סעטטינגס פון אנדערע פּירז זענען לאָודיד: זייער ציבור שליסלען, IP אַדרעסעס, עטק.
• אַלע IP פּאַקיץ וואָס קומען צו די WireGuard צובינד זענען ענקאַפּסאַלייטיד אין UDP און איבערגעגעבן בעשאָלעם אנדערע פּירז.
• קלייאַנץ ספּעציפיצירן די עפנטלעך IP אַדרעס פון די סערווער אין די סעטטינגס. דער סערווער אויטאָמאַטיש אנערקענט די פונדרויסנדיק ווענדט פון קלייאַנץ ווען ריכטיק אָטענטאַקייטאַד דאַטן זענען באקומען פון זיי.
• דער סערווער קענען טוישן די עפנטלעך IP אַדרעס אָן ינטעראַפּטינג זיין אַרבעט. אין דער זעלביקער צייט, עס וועט שיקן אַ פלינק צו קאָננעקטעד קלייאַנץ און זיי וועלן דערהייַנטיקן זייער קאַנפיגיעריישאַן אויף די פליען.
• דער באַגריף פון רוטינג איז געניצט קריפּטאָקיי רוטינג. WireGuard אַקסעפּץ און סענדז פּאַקיץ באזירט אויף די ייַנקוקנ ס ציבור שליסל. ווען דער סערווער דעקריפּט אַ ריכטיק אָטענטאַקייטאַד פּאַקאַט, זיין src פעלד איז אָפּגעשטעלט. אויב עס שוועבעלעך די קאַנפיגיעריישאַן allowed-ips אָטענטאַקייטאַד ייַנקוקנ, די פּאַקאַט איז באקומען דורך די WireGuard צובינד. ווען שיקט אַ אַוטגאָוינג פּאַקאַט, די קאָראַספּאַנדינג פּראָצעדור אַקערז: די דסט פעלד פון די פּאַקאַט איז גענומען און, באזירט אויף עס, די קאָראַספּאַנדינג ייַנקוקנ איז אויסגעקליבן, די פּאַקאַט איז געחתמעט מיט זיין שליסל, ינקריפּטיד מיט די ייַנקוקנ ס שליסל און געשיקט צו די ווייַט ענדפּוינט. .

אַלע פון ​​​​WireGuard ס האַרץ לאָגיק נעמט ווייניקער ווי 4 טויזנט שורות פון קאָד, בשעת OpenVPN און IPSec האָבן הונדערטער פון טויזנטער פון שורות. צו שטיצן מאָדערן קריפּטאָגראַפיק אַלגערידאַמז, עס איז פארגעלייגט צו אַרייַננעמען אַ נייַ קריפּטאָגראַפיק אַפּי אין די לינוקס קערן צינק. עס איז דערווייַל אַ דיסקוסיע וועגן צי דאָס איז אַ גוט געדאַנק.

פאָרשטעלונג

די מאַקסימום פאָרשטעלונג מייַלע (קאַמפּערד מיט OpenVPN און IPSec) וועט זיין באמערקט אויף לינוקס סיסטעמען, זינט WireGuard איז ימפּלאַמענאַד ווי אַ קערן מאָדולע דאָרט. אין אַדישאַן, macOS, Android, iOS, FreeBSD און OpenBSD זענען געשטיצט, אָבער WireGuard לויפט אין די באַניצער פּלאַץ מיט אַלע די קאַנסאַקווענסאַז פון פאָרשטעלונג. Windows שטיצן איז געריכט צו זיין מוסיף אין דעם לעבן צוקונפֿט.

בענטשמאַרק רעזולטאַטן מיט באַאַמטער פּלאַץ:

מייַן באַניץ דערפאַרונג

איך בין נישט אַ VPN מומחה. איך אַמאָל באַשטעטיקט OpenVPN מאַניואַלי און עס איז געווען זייער טידיאַס, און איך האב נישט אפילו פּרובירן IPSec. עס זענען צו פילע דיסיזשאַנז צו מאַכן, עס איז זייער גרינג צו דרייען זיך אין די פֿיס. דעריבער, איך שטענדיק געוויינט פאַרטיק סקריפּס צו קאַנפיגיער די סערווער.

אַזוי, WireGuard, פֿון מיין פונט פון מיינונג, איז בכלל ידעאַל פֿאַר די באַניצער. כל נידעריק-מדרגה דיסיזשאַנז זענען געמאכט אין די באַשרייַבונג, אַזוי דער פּראָצעס פון פּריפּערינג אַ טיפּיש וופּן ינפראַסטראַקטשער נעמט בלויז אַ ביסל מינוט. עס איז כּמעט אוממעגלעך צו אָפּנאַרן אין די קאַנפיגיעריישאַן.

ייַנמאָנטירונג פּראָצעס דיסקרייבד אין דעטאַל אויף דער באַאַמטער וועבזייַטל, איך וואָלט ווי צו סעפּעראַטלי טאָן די ויסגעצייכנט OpenWRT שטיצן.

ענקריפּשאַן שליסלען זענען דזשענערייטאַד דורך די נוצן wg:

SERVER_PRIVKEY=$( wg genkey )
SERVER_PUBKEY=$( echo $SERVER_PRIVKEY | wg pubkey )
CLIENT_PRIVKEY=$( wg genkey )
CLIENT_PUBKEY=$( echo $CLIENT_PRIVKEY | wg pubkey )

ווייַטער, איר דאַרפֿן צו שאַפֿן אַ סערווער קאַנפיגיעריישאַן /etc/wireguard/wg0.conf מיט די פאלגענדע אינהאַלט:

[Interface]
Address = 10.9.0.1/24
PrivateKey = $SERVER_PRIVKEY
[Peer]
PublicKey = $CLIENT_PUBKEY
AllowedIPs = 10.9.0.2/32

און כאַפּן דעם טונעל מיט אַ שריפט wg-quick:

sudo wg-quick up /etc/wireguard/wg0.conf

אויף סיסטעמען מיט סיסטעמד איר קענען נוצן דעם אַנשטאָט sudo systemctl start [email protected].

אויף דעם קליענט מאַשין, שאַפֿן אַ קאָנפיג /etc/wireguard/wg0.conf:

[Interface]
PrivateKey = $CLIENT_PRIVKEY
Address = 10.9.0.2/24
[Peer]
PublicKey = $SERVER_PUBKEY
AllowedIPs = 0.0.0.0/0
Endpoint = 1.2.3.4:51820 # Внешний IP сервера
PersistentKeepalive = 25 

און כאַפּן דעם טונעל אין די זעלבע וועג:

sudo wg-quick up /etc/wireguard/wg0.conf

אַלע וואָס בלייבט איז צו קאַנפיגיער NAT אויף די סערווער אַזוי אַז קלייאַנץ קענען אַקסעס די אינטערנעט, און איר ניטאָ!

די יז פון נוצן און קאַמפּאַקטנאַס פון די קאָד באַזע איז אַטשיווד דורך ילימאַנייטינג די שליסל פאַרשפּרייטונג פאַנגקשאַנאַליטי. עס איז קיין קאָמפּלעקס באַווייַזן סיסטעם און אַלע דעם פֿירמע גרויל; קורץ ענקריפּשאַן שליסלען זענען פונאנדערגעטיילט פיל ווי SSH שליסלען. אָבער דאָס איז אַ פּראָבלעם: WireGuard וועט נישט זיין אַזוי גרינג צו ינסטרומענט אויף עטלעכע יגזיסטינג נעטוואָרקס.

צווישן די דיסאַדוואַנטידזשיז, עס איז כדאי צו באמערקן אַז WireGuard וועט נישט אַרבעטן דורך אַ הטטפּ פראקסי, ווייַל בלויז די UDP פּראָטאָקאָל איז בנימצא ווי אַ אַריבערפירן. שטעלט זיך די פֿראַגע: וועט מען קענען פֿאַרשטאַרקן דעם פּראָטאָקאָל? פון קורס, דאָס איז נישט די דירעקט אַרבעט פון אַ וופּן, אָבער פֿאַר OpenVPN, למשל, עס זענען וועגן צו פאַרשטעלונג זיך ווי הטטפּס, וואָס העלפּס רעזידאַנץ פון טאָטאַליטאַריאַן לענדער גאָר נוצן די אינטערנעט.

פיינדינגז

צו סאַמערייז, דאָס איז אַ זייער טשיקאַווע און פּראַמאַסינג פּרויעקט, איר קענען שוין נוצן עס אויף פּערזענלעך סערווערס. וואס איז די נוץ? הויך פאָרשטעלונג אויף לינוקס סיסטעמען, יז פון סעטאַפּ און שטיצן, סאָליד און ליינעוודיק קאָד באַזע. אָבער, עס איז צו פרי צו קאַמיש צו אַריבערפירן אַ קאָמפּלעקס ינפראַסטראַקטשער צו WireGuard; עס איז ווערט צו וואַרטן פֿאַר זיין ינקלוזשאַן אין די לינוקס קערן.

צו ראַטעווען מיין (און דיין) צייט, איך דעוועלאָפּעד WireGuard אָטאַמאַטיק ינסטאַללער. מיט זיין הילף, איר קענען שטעלן אַרויף אַ פערזענלעכע וופּן פֿאַר זיך און דיין פרענדז אָן אפילו פֿאַרשטיין עפּעס וועגן אים.

מקור: www.habr.com