Kami telah mendengar banyak tentang WireGuard akhir-akhir ini dan dengan itu baru-baru ini ditambahkan ke repo Kali, kami pikir kami akan mencobanya sebentar untuk melihat apa yang diributkan. Secara keseluruhan, kami menemukan ini adalah solusi VPN yang sangat bagus dan cepat untuk dikonfigurasi, dan mungkin layak untuk dicoba.
Memulai
Dengan WireGuard yang ditambahkan ke dalam repo, penginstalan menjadi menyenangkan dan mudah:
apt install wireguard resolvconf
Dan kami pergi. Berikutnya adalah waktu untuk konfigurasi. Di sinilah WireGuard benar-benar bersinar bagi kami, karena hampir tidak ada yang perlu dilakukan untuk memulai dan menjalankannya.
Di server, kita harus membuat pasangan kunci publik/pribadi dan menyiapkan file konfigurasi awal.
wg genkey | tee privatekey | wg pubkey > publickey
umask u=rwx,go= && cat > /etc/wireguard/wg0.conf << EOF
[Interface]
Address = 10.222.222.1/24
SaveConfig = true
ListenPort = 51820
PrivateKey = -SERVER PRIVATE KEY-
[Peer]
PublicKey = -CLIENT PUBLIC KEY-
AllowedIPs = 10.222.222.2/32
EOF
Dan kami melakukan proses yang sama pada klien untuk menetapkan pasangan kunci dan konfigurasinya.
wg genkey | tee privatekey | wg pubkey > publickey
umask u=rwx,go= && cat /etc/wireguard/wg0.conf << EOF
[Interface]
Address = 10.222.222.2/32
PrivateKey = -CLIENT PRIVATE KEY-
DNS = 8.8.8.8
[Peer]
PublicKey = -SERVER PUBLIC KEY-
Endpoint = public.ip.of.server:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 21
EOF
Ini adalah konfigurasi yang cukup sederhana tetapi ada baiknya menunjukkan beberapa hal. Pertama, Anda jelas harus meletakkan output dari pasangan kunci ke dalam konfigurasi yang sesuai. Selain itu, baris DNS pada klien adalah untuk membantu mencegah kebocoran DNS menggunakan server DNS default lokal Anda. Anda mungkin ingin atau tidak ingin mengubahnya tergantung pada kebutuhan Anda.
Namun yang paling penting adalah baris "AllowedIPs". Ini akan mengontrol apa yang dilakukan atau tidak dilakukan IP di VPN. Dalam hal ini, kami mengatur klien untuk merutekan semuanya melalui server VPN. Kita akan bermain dengan ini sebentar lagi, tapi mari kita lihat bagaimana konfigurasi dasar ini berjalan.
Untuk memulai dan menghentikan terowongan, cukup mudah.
# The VPN can be enabled using
wg-quick up wg0
# To disable the VPN:
wg-quick down wg0
# Information about the connection can be retrieved with following command:
wg show
Dan tentu saja, kita perlu mengaktifkan penyamaran IP dan penerusan IP di server.
/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
Jadi, dengan ini kami memiliki konfigurasi VPN tradisional. Jika Anda hanya ingin mendapatkan pengaturan VPN standar, pada titik ini Anda sudah selesai. Ada beberapa keuntungan dibandingkan dengan menggunakan OpenVPN, misalnya solusi ini tampaknya jauh lebih cepat, konfigurasinya jauh lebih sederhana, dan sedikit lebih tersembunyi karena server tidak akan menanggapi paket yang tidak memiliki pasangan kunci yang tepat terkait dengan mereka. Namun kami pikir mungkin menarik untuk mengubah konfigurasi untuk mencerminkan konfigurasi ISO of Doom kami, memiliki klien yang akan terhubung secara otomatis ke server saat boot memungkinkan server untuk merutekan dan mengakses jaringan klien.
WireGuard of DOOM!
Hal pertama yang pertama, pada klien kami, mari kita siapkan penerusan dan penyamaran IP dengan cepat:
/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
Bagus, setelah selesai, kami membuat beberapa perubahan kecil pada konfigurasi kami. Pertama, di server kami mengubah baris "AllowedIPs" untuk memiliki jaringan pribadi di situs laporan. Ini akan terlihat seperti ini:
[Interface]
Address = 10.222.222.1/24
SaveConfig = true
ListenPort = 51820
PrivateKey = -SERVER PRIVATE KEY-
[Peer]
PublicKey = -CLIENT PUBLIC KEY-
AllowedIPs = 10.200.200.2/32, 192.168.2.0/24
Dengan satu baris yang diubah di server, kami kemudian mengubah baris “AllowedIPs” klien untuk menghapus opsi untuk merutekan semuanya ke server VPN.
[Interface]
Address = 10.200.200.2/32
PrivateKey = -CLIENT PRIVATE KEY-
DNS = 8.8.8.8
[Peer]
PublicKey = -SERVER PUBLIC KEY-
Endpoint = public.ip.of.server:51820
AllowedIPs = 10.200.200.0/24
PersistentKeepalive = 21
Dan hanya itu!
[email protected]:~# ping 192.168.2.22
PING 192.168.2.22 (192.168.2.22) 56(84) bytes of data.
64 bytes from 192.168.2.22: icmp_seq=19 ttl=63 time=50.2 ms
64 bytes from 192.168.2.22: icmp_seq=20 ttl=63 time=53.4 ms
64 bytes from 192.168.2.22: icmp_seq=21 ttl=63 time=48.1 ms
Sekarang server VPN dapat mengakses subnet di sisi lain WireGuard VPN.
Menutup
Waktu akan memberi tahu apakah WireGuard menggantikan OpenVPN sebagai VPN pilihan, atau apakah buzz terbaru hanya kegembiraan menggunakan mainan terbaru. Bagaimanapun, senang memiliki kemampuan untuk mengujinya, dan menggunakannya jika cocok. Seperti yang telah kita lihat di sini, pengaturannya sangat mudah, dan relatif serbaguna dalam kasus pengguna.