WireGuard VPN a mindennapokra

Itt a megoldás, ha távolról szeretnénk elérni erőforrásainkat vagy gépeket szeretnénk titkosítva összekötni. – írta: stopperos, 2 éve

WireGuard és OpenWRT

Aki nem foglalkozik OpenWRT-vel, az ezt az oldalt akár át is ugorhatja.

OpenWRT esetén három lehetőségünk van WireGuard támogatást hozzáadni eszközünkhöz:
1) Ha nincs belefordítva és van elegendő szabad helyünk, akkor az alábbi csomagok telepítésével tudjuk hozzáadni a WireGuard-ot Luci támogatással:
# opkg install luci-proto-wireguard luci-app-wireguard qrencode
Az utolsó csomag opcionális, a mobil kliensek csatlakoztatását könnyíti meg.

2) Amennyiben nincs szükségünk Luci támogatásra, akkor pedig az alábbi csomagot kell választanunk verzió szerint:
# opkg install wireguard-tools # >= 21.02
# opkg install wireguard # <= 19.07

3) Ha pedig helyszűkében vagyunk és szeretjük a kihívásokat, akkor fordíthatunk saját eszköz képet, ami már tartalmazza a WireGuardot. Én így használom, mert sok 4/32 eszközt tartok még üzemben (TPLink TL-WR[740, 741, 841, 941] ).
A pppoe és az opkg kiszedésével elegendő hely van a magyar Luci csomagoknak, muninlite-nak, és wireguardnak.

A Luci felületen történő konfigurálással megyek tovább. A hálózati csatolók (Network > Interfaces) oldalra kell váltanunk, ahol egy új hálózati csatolót kell hozzáadnunk. Nevezzük el a csatolónkat például vpnwg-nek. De maradhatunk a wg0 elnevezésnél is.

Az általános oldalon adjuk meg a privát kulcsot (ezt egy linux gépen külön generáljuk le) és adjuk meg a belső IP címet. (Ez a kliens konfiguráció [Interface] része.)

A tűzfal beállítások oldalon hozzunk létre egy új zónát, én ezt vpn-nek neveztem.

A csatlakoztatandó másik oldalt (szerver jelen esetben) pedig a legutolsó lapon tudjuk hozzáadni:

Az OpenWRT eszközünket csatlakoztatjuk a Wire Server-hez:

A nyilvános kulcs a konfigurációs fájlból a PublicKey mező, jelen esetben a szerveré. Előre megosztott kulcsot (PreSharedKey) nem használtunk, az engedélyezett IP-k az AllowedIPs. A további mezők az Endpoint, Port és a PersistentKeepalive.

Ha az OpenWRT eszközünkön szeretnénk WireGuard szervert üzemeltetni (mert természetesen ezt is megtehetjük), akkor az általános oldalon adjuk meg a "Fogadó port" mezőt is. A klienseknél (Peer) pedig nem lesz rá szükségük a végpont címére és portjára.
Tűzfallal itt sem foglalkozom.

A cikk még nem ért véget, kérlek, lapozz!

Előzmények