WireGuard VPN a mindennapokra
Itt a megoldás, ha távolról szeretnénk elérni erőforrásainkat vagy gépeket szeretnénk titkosítva összekötni. – írta: stopperos, 2 éve
WireGuard és OpenWRT
Aki nem foglalkozik OpenWRT-vel, az ezt az oldalt akár át is ugorhatja.
OpenWRT esetén három lehetőségünk van WireGuard támogatást hozzáadni eszközünkhöz:
1) Ha nincs belefordítva és van elegendő szabad helyünk, akkor az alábbi csomagok telepítésével tudjuk hozzáadni a WireGuard-ot Luci támogatással:
# opkg install luci-proto-wireguard luci-app-wireguard qrencode
Az utolsó csomag opcionális, a mobil kliensek csatlakoztatását könnyíti meg.
2) Amennyiben nincs szükségünk Luci támogatásra, akkor pedig az alábbi csomagot kell választanunk verzió szerint:
# opkg install wireguard-tools # >= 21.02
# opkg install wireguard # <= 19.07
3) Ha pedig helyszűkében vagyunk és szeretjük a kihívásokat, akkor fordíthatunk saját eszköz képet, ami már tartalmazza a WireGuardot. Én így használom, mert sok 4/32 eszközt tartok még üzemben (TPLink TL-WR[740, 741, 841, 941] ).
A pppoe és az opkg kiszedésével elegendő hely van a magyar Luci csomagoknak, muninlite-nak, és wireguardnak.
A Luci felületen történő konfigurálással megyek tovább. A hálózati csatolók (Network > Interfaces) oldalra kell váltanunk, ahol egy új hálózati csatolót kell hozzáadnunk. Nevezzük el a csatolónkat például vpnwg-nek. De maradhatunk a wg0 elnevezésnél is.
Az általános oldalon adjuk meg a privát kulcsot (ezt egy linux gépen külön generáljuk le) és adjuk meg a belső IP címet. (Ez a kliens konfiguráció [Interface] része.)
A tűzfal beállítások oldalon hozzunk létre egy új zónát, én ezt vpn-nek neveztem.
A csatlakoztatandó másik oldalt (szerver jelen esetben) pedig a legutolsó lapon tudjuk hozzáadni:
Az OpenWRT eszközünket csatlakoztatjuk a Wire Server-hez:
A nyilvános kulcs a konfigurációs fájlból a PublicKey mező, jelen esetben a szerveré. Előre megosztott kulcsot (PreSharedKey) nem használtunk, az engedélyezett IP-k az AllowedIPs. A további mezők az Endpoint, Port és a PersistentKeepalive.
Ha az OpenWRT eszközünkön szeretnénk WireGuard szervert üzemeltetni (mert természetesen ezt is megtehetjük), akkor az általános oldalon adjuk meg a "Fogadó port" mezőt is. A klienseknél (Peer) pedig nem lesz rá szükségük a végpont címére és portjára.
Tűzfallal itt sem foglalkozom.
A cikk még nem ért véget, kérlek, lapozz!
Előzmények
-
OpenZFS a mindennapokra
Az otthon tárolt adatmennyiség növekedése miatt szükségessé válhat saját NAS, melyhez kiváló a ZFS fájlrendszer.
-
SaltStack#2: Központosított telepítések
Három részes sorozatom második részében az "állapotokkal" ismerkedünk meg, és elkezdünk összerakni egy webkiszolgálóhoz szükséges alap rendszert.
-
SaltStack: központosított szervervezérlési alapok
Egy kevésbé ismert szoftver, amivel jelentősen le tudom rövidíteni a szerver üzemeltetési és telepítési feladataimat.