Подесите ВПН који се самостално хостује користећи Вирегуард
А ВПН (виртуелна приватна мрежа) омогућава кориснику да се повеже на приватну мрежу на даљину као да је рачунар корисника директно повезан на приватну мрежу. Технологија је првобитно развијена како би се омогућио даљински приступ интерној приватној мрежи компаније за запослене који заправо нису присутни на локацији интерне мреже.
ВПН сервер је распоређен на локацији интерне мреже. Овај сервер је на јавној мрежи и запослени му може приступити помоћу ВПН клијента. За повезивање са ВПН сервером потребна је аутентификација. Комуникација између ВПН сервера и ВПН клијента је обезбеђена помоћу протокола за тунелирање. Имајте на уму да ова комуникација може или не мора бити шифрована, али обично је у већини ВПН протокола шифрована.
Друга употреба ВПН-а је да стекну анонимност приликом приступа Интернету или да се заобиђу географска ограничења наметнута приликом приступа неким веб локацијама. У таквим случајевима, мрежа на коју корисник жели да се повеже није приватна мрежа, већ је то Интернет.
Многи ВПН протоколи су развијени током година. Ови протоколи користе различите протоколе за тунелирање и алгоритме за шифровање за комуникацију између сервера и клијента.
Један такав протокол, који у последње време добија широку употребу, јесте Вирегуард. Вирегуард је лакши, једноставнији и ефикаснији од добро познатих традиционално коришћених ВПН протокола као што су ОпенВПН, ИПСец. Већ је имплементиран за Виндовс, Мац ОС и велики број Линук дистрибуција. У Линук-у је имплементиран као модул кернела. Доступан је у званичним репозиторијумима Убунту 20.04.
У овом чланку ћемо видети како да подесите Вирегуард ВПН сервер и клијента у Убунту 20.04.
Инсталација
За овај чланак, постављам Вирегуард сервер на Убунту 20.04 Линоде и Вирегуард Цлиент на мојој локалној машини са Убунту 20.04.
Пакет вирегуард
инсталира и Вирегуард сервер и клијент. Покрените следећу команду и на серверској и на клијентској машини.
судо апт инсталл вирегуард
Конфигурација сервера
Безбедносни кључеви
Морамо да генеришемо скуп парова јавних/приватних кључева да бисте потврдили и осигурали Вирегуард везу. Ово се може урадити помоћу следећих команди:
судо су цд /етц/вирегуард умаск 077 вг генкеи | тее привате_кеи | вг пубкеи > јавни_кључ
Имајте на уму да све задатке конфигурације радимо као суперкорисник. Разлог је тај приступ директоријуму /етц/вирегуард
је онемогућен за нормалне кориснике, а приступ директоријуму се не може добити само са судо привилегијама за нормалног корисника.
Затим постављамо маску за креирање датотеке на 077
. То значи да кад год се у овој фасцикли направи нова датотека било којим процесом, њене дозволе ће бити аутоматски маскиране са 077. Нпр. ако је датотека креирана у овој фасцикли са дозволама 777, она се аутоматски маскира и дозволе ефективно постају 700. Ово се ради тако да само власник датотеке има све дозволе за датотеку, а сви остали немају дозволе.
У следећем реду, генеришемо пар јавни/приватни кључ за сервер. Они се чувају у датотекама приватни_кључ
и јавни_кључ
. Да бисте видели кључеве, покрените:
цат привате_кеи цат публиц_кеи
Копирајте приватни кључ, потребан нам је у следећем кораку.
Белешка: Никада не делите свој приватни кључ јавно!
Конфигурациони фајл
Хајде да креирамо конфигурациону датотеку за Вирегуард сервер. Можете одабрати било које име за датотеку. Направићемо датотеку вг0.цонф
у овом примеру.
вим вг0.цонф
Додајте следеће у датотеку.
[Интерфејс] Адреса = 10.20.43.1/24 СавеЦонфиг = истина ЛистенПорт = 51190 ПриватеКеи = ПостУп = иптаблес -А НАПРЕЂИ -и вг0 -ј ПРИХВАТИ; иптаблес -т нат -А ПОСТРОУТИНГ -о -ј МАСКУЕРАДЕ; ип6таблес -А НАПРЕД -и вг0 -ј ПРИХВАТИ; ип6таблес -т нат -А ПОСТРОУТИНГ -о етх0 -ј МАСКУЕРАДЕ ПостДовн = иптаблес -Д ФОРВАРД -и вг0 -ј ПРИХВАТИ; иптаблес -т нат -Д ПОСТРОУТИНГ -о етх0 -ј МАСКУЕРАДЕ; ип6таблес -Д ПРОСЛЕДИ -и вг0 -ј ПРИХВАТИ; ип6таблес -т нат -Д ПОСТРОУТИНГ -о -ј МАСКУЕРАДЕ
Налепите приватни кључ који смо претходно копирали у ред 5 у коду изнад.
Морамо да конфигуришемо Вирегуард на другој (виртуелној) подмрежи него ИП адреса сервера. Овде сам користио 10.20.43.1 за сервер и користићу 10.20.43.2 за клијента. Овде се може користити било која подмрежа. Да бисте добили ИП адресу сервера и интерфејс, покрените:
ифцонфиг
Обратите пажњу на ИП адресу сервера. Ово је потребно током конфигурације клијента.
Интерфејс који сервер користи, као што се види на слици изнад, јесте етх0
. Назив интерфејса се може разликовати у зависности од мреже корисника, може бити влан0
или влп2с0
у случају да је корисник повезан на ВиФи мрежу помоћу бежичне картице.
Заменити ин
ПостУп
и ПостДовн
са својим интерфејсом; у овом примеру јесте етх0
.ПостУп
и ПостДовн
директиве се користе да специфицирају које команде треба да се покрену када се сервер покрене, односно заустави. У нашем примеру користимо иптаблес
команда за постављање ИП правила тако да ИП адресу сервера деле клијенти. Правила ће се повући када се сервер заустави.
Сачувајте и изађите из датотеке. Када користите вим, притисните изаћи, а затим откуцајте :вк
и притисните Ентер да сачувате и изађете.
Ако користите а уфв
фиревалл на серверу, морамо да дозволимо УДП везе са портом за ВПН сервер, 51190.
уфв дозволити 51190/удп
Покретање услуге
Сада када је конфигурација завршена, можемо покренути Вирегуард ВПН услугу.
Да омогући сервис да се покрене у време покретања, покрените:
системцтл омогући вг-куицк@вг0
Запазите то овде вг0
је назив конфигурационе датотеке.
Почети сервис, покрените:
сервис вг-куицк@вг0 старт
Проверити да је услуга успешно почела:
статус услуге вг-куицк@вг0
Проверите да ли је интерфејс који смо креирали у конфигурационој датотеци је покренут, користећи ИП команду.
ип а схов вг0
Вирегуард ВПН сервер је сада постављен и ради. Хајде да сада конфигуришемо клијента.
Конфигурација клијента
Конфигурација клијента за Вирегуард је мање-више иста као и конфигурација сервера. Генеришемо кључеве за клијента, а затим креирамо конфигурациону датотеку.
Безбедносни кључеви
Да бисте генерисали јавни/приватни кључ упарите за клијента, покрените:
судо су цд /етц/вирегуард умаск 077 вг генкеи | тее цлиент_привате_кеи | вг пубкеи > цлиент_публиц_кеи
Јавни и приватни кључеви за клијента се сада генеришу у датотекама цлиент_привате_кеи
и цлиент_публиц_кеи
.
Проверите да ли су креирани помоћу мачка
команда.
цат цлиент_привате_кеи цат цлиент_публиц_кеи
Копирајте приказани приватни кључ јер треба да га додамо у конфигурациону датотеку за клијента.
Конфигурациони фајл
Креирајте конфигурациону датотеку са било којим именом које желите. Креираћемо га са именом вг0-цлиент
за овај пример.
вим вг0-цлиент.цонф
Додајте следећу конфигурацију.
[Интерфејс] # ИП адреса и приватни кључ клијентове адресе = 10.20.43.2/24 ПриватеКеи = [Пеер] # Јавни кључ, ИП адреса и порт сервера ПублицКеи = Крајња тачка = :51190 Дозвољени ИП-ови = 0.0.0.0/0, : :/0
Унесите адресу подмреже за клијента. Као што је претходно описано, користимо 10.20.43.2
за клијента у овом примеру.
Додајте приватни кључ клијента генерисан у претходном кораку у ред 4 у конфигурационом коду изнад.
Под „Пеер“ додајемо информације о Вирегуард ВПН серверу желимо да се повежемо са.
Унесите јавни кључ сервера. Унесите ИП адреса сервера, што смо претходно приметили, и порт у датом формату против Крајња тачка. Ово је порт који смо навели у конфигурационој датотеци сервера и на ком је ВПН сервис на серверу покренут.
Дозвољене ИП адресе треба да буду унете као дате (0.0.0.0/0) тако да ће сваки захтев на динамичком јавном ИП-у који користи клијент увек проследити ВПН серверу.
Сачувајте и изађите из датотеке. Када користите вим, притисните изаћи, а затим откуцајте :вк
и притисните Ентер да сачувате и изађете.
Омогућите услугу клијента да трчи са сваким покретањем и покрене га.
системцтл омогући вг-куицк@вг-цлиент услугу вг-куицк@вг-цлиент старт
Проверити ако је служба почела.
статус услуге вг-куицк@вг-цлиент
Додавање пеер-а на сервер
Сада имамо ВПН сервер и клијента који раде и раде. Међутим, безбедан тунел између њих се не успоставља осим ако не успоставимо равноправну везу између сервера и клијента.
Вратити се на сервер. Први, зауставите ВПН услугу.
услуга вг-куицк@вг0 стоп
Затим отворите конфигурациону датотеку у додати конфигурацију за равноправног корисника (клијент).
вим /етц/вирегуард/вг0.цонф
Додати следеће редове у датотеку.
[Пеер] ПублицКеи = АлловедИПс = 10.20.43.2/32
Сада, поново покрените ВПН услугу.
сервис вг-куицк@вг0 старт
То је то! Ово је сва конфигурација потребна за подешавање Вирегуард ВПН клијента и сервера. Хајде сада да тестирамо наш ВПН.
Тестирање ВПН-а
Прво, урадимо једноставан пинг од клијента до сервера, да бисмо били сигурни да комуникација ВПН тунела функционише. Покрените следеће на клијенту:
пинг 10.20.43.1
Следећи, отворите веб прегледач и отворите било коју веб локацију да проверите да ли сте у могућности да се повежете на Интернет са клијентске машине. Такође можете да проверите своју интернет везу из командне линије користећи вгет
.
вгет
Сада смо проверили повезаност тунела и интернет конекцију. Ако оба раде, сада морамо да се уверимо да сав интернет саобраћај који долази до клијента пролази кроз сервер.
За ово, једноставно морамо да проверимо ИП адресу клијента како је види Интернет. Један од начина да то урадите је да одете на вхатсмиип.орг. Или из командне линије, можемо да упитамо другу сличну услугу која се зове ИП инфо, користећи Цурл.
Покрените следеће на клијентској машини
цурл //ипинфо.ио/ип
Да. То је јавна ИП адреса Линоде-а на којој се хостује ВПН сервер. Овако се постиже анонимност коришћењем ВПН-а, пошто се сада широм интернета види ИП ВПН сервера, а не вашег рачунара.
Закључак
Лакоћа подешавања је једна од најважнијих предности Вирегуард-а у односу на традиционални ВПН софтвер као што је ОпенВПН, коме је за подешавање потребан виши ниво знања о умрежавању и рутирању. Међутим, недостаје детаљна званична документација за Вирегуард што би могло да изазове проблеме ако ваша Вирегуард подешавања испушта грешке или не ради како се очекивало.
Ипак, Вирегуард је одличан избор ако желите самостални ВПН за безбедну комуникацију преко Интернета. Да бисте сазнали више о Вирегуард-у и протоколима и технологијама које користи, можете да погледате званични сајт.