Како поставити ВиреГуард ВПН на Дебиан 10

ВиреГуард је ВПН опште намене (виртуелна приватна мрежа) који користи врхунску криптографију. У поређењу са другим популарним ВПН решењима, као што су ИПсец и ОпенВПН, ВиреГуард је генерално бржи, лакши за конфигурисање и има мању површину. Вишеструка је платформа и може да ради готово било где, укључујући Линук, Виндовс, Андроид и мацОС.

Вирегуард је пеер-то-пеер ВПН; не користи модел клијент-сервер. У зависности од конфигурације, вршњак може да делује као традиционални сервер или клијент. Ради на начин да ствара мрежни интерфејс на сваком равноправном уређају који делује као тунел. Вршњаци се међусобно аутентификују разменом и потврђивањем јавних кључева, опонашајући ССХ модел. Јавни кључеви мапирају се са списком ИП адреса које су дозвољене у тунелу. ВПН саобраћај је енкапсулиран у УДП.

Овај чланак објашњава како инсталирати и конфигурирати ВиреГуард на Дебиан 10 који ће дјеловати као ВПН сервер. Такође ћемо вам показати како да конфигуришете ВиреГуард као клијента на Линук-у, Виндовс-у и мацОС-у. Клијентов промет ће се усмјерити преко Дебиан 10 сервера.

Ова поставка се може користити као заштита од напада Човека у средини, анонимно сурфање Интернетом, заобилажење гео-ограниченог садржаја или омогућавање колегама који раде од куће да се сигурно повежу на мрежу компаније.

Предуслови #

Да бисте следили ово упутство, требат ће вам машина са инсталираним Дебиан 10. Такође вам је потребан роот или [судо приступ] (хттпс: // линукизе.цом / пост / хов-то-цреате-а-судо-усер-он-дебиан / за инсталирање пакета и уношење промена у систем.

Подешавање ВиреГуард сервера #

Започет ћемо инсталирањем ВиреГуард пакета на Дебиан машину и поставићемо га да делује као сервер. Такође ћемо конфигурисати систем да путем њега усмери саобраћај клијената.

Инсталирајте ВиреГуард на Дебиан 10 #

ВиреГуард је доступан из Дебианових спремишта за бацкпортс. Да бисте додали спремиште у свој систем, покрените:

ецхо 'деб хттп: // фтп.дебиан.орг / дебиан бустер-бацкпортс главни '| судо тее / етц / апт / соурцес.листа.д / бустерс-бацкпортс.листа

Након што је спремиште омогућено, ажурирајте прикладну кеш меморију и инсталирајте ВиреГуард модул и алате:

судо апт упдатесудо апт инсталирај жичану заштиту

Конфигурисање ВиреГуард #

Можете конфигурисати и управљати ВиреГуард интерфејсима са вг и вг-брзо алати за командну линију.

Сваки уређај у мрежи ВиреГуард ВПН мора да има приватни и јавни кључ. Покрените следећу наредбу да бисте генерисали пар кључева:

вг генкеи | судо тее / етц / вирегуард / приватекеи | вг пубкеи | судо тее / етц / вирегуард / публицкеи

Датотеке се генеришу у / етц / вирегуард именик. Користити мачка или мање наредбе за преглед садржаја датотека. Приватни кључ никада не треба делити ни са ким и увек га треба чувати на сигурном.

Вирегуард такође подржава унапред дељени кључ, који додаје додатни слој криптографије симетричног кључа. Овај кључ није обавезан и мора бити јединствен за сваки пар вршњака.

Следећи корак је конфигурисање тунелског уређаја који ће усмеравати ВПН саобраћај.

Уређај се може подесити из командне линије помоћу ип и вг команде или ручним креирањем конфигурационе датотеке. Конфигурацију ћемо направити помоћу уређивача текста.

Отворите свој уређивач и креирајте нову датотеку са именом вг0.цонф са следећим садржајима:

судо нано / етц / вирегуард / вг0.цонф

[Интерфејс] Адреса = 10.0.0.1/24 СавеЦонфиг = труе ЛистенПорт = 51820 ПриватеКеи = СЕРВЕР_ПРИВАТЕ_КЕИ ПостУп = иптаблес -А ФОРВАРД -и% и -ј АЦЦЕПТ; иптаблес -т нат -А ПОСТРОУТИНГ -о енс3 -ј МАСКУЕРАДЕ ПостДовн = иптаблес -Д НАПРЕД -и% и -ј ПРИХВАТИ; иптаблес -т нат -Д ПОСТРОУТИНГ -о енс3 -ј МАСКУЕРАДЕ 

Интерфејсу можете дати име како год желите. Међутим, препоручује се употреба нечега попут вг0 или вгвпн0.

Поставке у одељку интерфејса имају следеће значење:

• Адреса - Листа одвојених зарезима в4 или в6 ИП адреса за вг0 интерфејс. Можете да пронађете ИП адресу из опсега који је резервисан за приватне мреже (10.0.0.0/8, 172.16.0.0/12 или 192.168.0.0/16).

• ЛистенПорт - порт за слушање.

• ПриватеКеи - Приватни кључ који генерише вг генкеи команда. (Да бисте видели садржај типа датотеке: судо мачка / етц / вирегуард / приватекеи)

• СавеЦонфиг - Када је постављено на Тачно, тренутно стање интерфејса се чува у конфигурационој датотеци приликом искључивања.

• ПостУп - наредба или скрипта која се извршава пре подизања интерфејса. У овом примеру користимо иптаблес да бисмо омогућили маскирање. То омогућава саобраћају да напусти сервер, омогућавајући ВПН клијентима приступ Интернету.

  Обавезно замените енс3 после -ПОСТРОУТИНГ како би одговарао имену вашег јавног мрежног интерфејса. Интерфејс можете лако пронаћи са:

  ип -о -4 рута прикажи према подразумеваном | авк 'принт $ 5'

• ПостДовн - наредба или скрипта која се извршава пре обарања интерфејса. Правила иптаблес ће се уклонити када се интерфејс искључи.

Тхе вг0.цонф и приватекеи датотеке не би требало да буду читљиве уобичајеним корисницима. Користите цхмод да бисте поставили дозволе за датотеке 600:

судо цхмод 600 / етц / вирегуард / приватекеи, вг0.цонф

Када завршите, понесите вг0 повезивање помоћу атрибута наведених у конфигурационој датотеци:

судо вг-брзи уп вг0

Излаз ће изгледати отприлике овако:

[#] ип линк додај вг0 типе вирегуард [#] вг сетцонф вг0 / дев / фд / 63 [#] ип -4 адреса додај 10.0.0.1/24 дев вг0 [#] ип линк постављен мту 1420 горе дев вг0 [#] иптаблес -А НАПРЕД -и вг0 -ј ПРИХВАТИ; иптаблес -т нат -А ПОСТРОУТИНГ -о енс3 -ј МАСКУЕРАДЕ 

Да бисте проверили стање и конфигурацију интерфејса, покрените:

судо вг схов вг0

интерфејс: вг0 јавни кључ: + Впику + гјВЈуКСГР / ОКСКСт6цмБКПдц06Кнм3хпРхМБткс = приватни кључ: (скривени) порт за слушање: 51820 

Такође можете да проверите стање интерфејса помоћу ип а схов вг0:

ип а схов вг0

4: вг0:  мту 1420 кдисц нокуеуе стање НЕПОЗНАТО група подразумевано клен 1000 веза / нема инет 10.0.0.1/24 опсега глобално вг0 валид_лфт заувек преферирано_лфт заувек 

ВиреГуард-ом се може управљати помоћу Системда. Да бисте при покретању покренули интерфејс ВиреГуард, покрените следећу команду:

судо системцтл омогући вг-куицк @ вг0

Мрежа сервера и конфигурација заштитног зида #

Прослеђивање ИП адреса мора бити омогућено да би НАТ функционисао. Отвори / етц / сисцтл.цонф датотеку и додајте или уклоните коментар из следећег реда:

судо нано / етц / сисцтл.цонф

нето.ипв4.ип_форвард = 1

Сачувајте датотеку и примените промену:

судо сисцтл -п

нето.ипв4.ип_форвард = 1 

Ако за управљање заштитним зидом користите УФВ, потребно је да отворите УДП саобраћај на порту 51820:

судо уфв аллов 51820 / удп

То је то. Постављен је Дебиан пеер који ће се понашати као сервер.

Подешавање Линук и мацОС клијената #

Упутства за инсталацију свих подржаних платформи доступна су на хттпс: // вирегуард.цом / инсталл / . На Линук системима можете инсталирати пакет помоћу менаџера дистрибуционих пакета и на мацОС са скувати.

Једном инсталирани, следите кораке у наставку да бисте конфигурисали клијентски уређај.

Процес подешавања Линук и мацОС клијента је приближно исти као и за сервер. Прво генеришите јавни и приватни кључ:

вг генкеи | судо тее / етц / вирегуард / приватекеи | вг пубкеи | судо тее / етц / вирегуард / публицкеи

Направите датотеку вг0.цонф и додајте следећи садржај:

судо нано / етц / вирегуард / вг0.цонф

[Интерфејс] ПриватеКеи = ЦЛИЕНТ_ПРИВАТЕ_КЕИ Адреса = 10.0.0.2/24 [Пеер] ПублицКеи = СЕРВЕР_ПУБЛИЦ_КЕИ Крајња тачка = СЕРВЕР_ИП_АДДРЕСС: 51820 АлловедИПс = 0.0.0.0/0 

Поставке у одељку интерфејса имају исто значење као приликом подешавања сервера:

• Адреса - Листа одвојених зарезом в4 или в6 ИП адреса за вг0 интерфејс.
• ПриватеКеи - Да бисте видели садржај датотеке на клијентској машини, покрените: судо мачка / етц / вирегуард / приватекеи

Одељак за равноправне кориснике садржи следећа поља:

• ПублицКеи - јавни кључ вршњака са којим желите да се повежете. (Садржај сервера / етц / вирегуард / публицкеи датотека).
• Крајња тачка - ИП или име хоста вршњака са којим се желите повезати, праћено двотачком, а затим бројем порта на којем удаљени пеер слуша.
• Дозвољени ИП-ови - Листа в4 или в6 ИП адреса одвојена зарезима са којих је дозвољен долазни саобраћај за равноправну особу и на коју је усмерен одлазни саобраћај за ову равноправну мрежу. Користимо 0.0.0.0/0, јер усмеравамо саобраћај и желимо да равноправни сервер шаље пакете са било којим изворним ИП-ом.

Ако требате да конфигуришете додатне клијенте, само поновите исте кораке користећи другу приватну ИП адресу.

Подешавање Виндовс клијената #

Преузмите и инсталирајте Виндовс мси пакет са веб локације ВиреГуард .

Једном инсталирани, отворите апликацију ВиреГуард и кликните на „Додај тунел“ -> „Додај празан тунел ...“ као што је приказано на доњој слици:

Пар јавних тастера се аутоматски креира и приказује на екрану.

Унесите име за тунел и уредите конфигурацију на следећи начин:

[Интерфејс] ПриватеКеи = ЦЛИЕНТ_ПРИВАТЕ_КЕИ Адреса = 10.0.0.2/24 [Пеер] ПублицКеи = СЕРВЕР_ПУБЛИЦ_КЕИ Крајња тачка = СЕРВЕР_ИП_АДДРЕСС: 51820 АлловедИПс = 0.0.0.0/0 

У одељак интерфејса додајте нову линију за дефинисање адресе клијентског тунела.

У истом делу додајте следећа поља:

• ПублицКеи - Јавни кључ Дебиан сервера (/ етц / вирегуард / публицкеи датотека).
• Крајња тачка - ИП адреса Дебиан сервера праћена двотачком и ВиреГуард портом (51820).
• Дозвољени ИП-ови - 0.0.0.0/0

Када завршите, кликните на дугме „Сачувај“.

Додајте клијентску раван на сервер #

Последњи корак је додавање јавног кључа и ИП адресе клијента на сервер. Да бисте то урадили, покрените следећу наредбу на Дебиан серверу:

судо вг сет вг0 пеер ЦЛИЕНТ_ПУБЛИЦ_КЕИ дозвољено-ипс 10.0.0.2

Обавезно промените ЦЛИЕНТ_ПУБЛИЦ_КЕИ помоћу јавног кључа који сте генерисали на клијентском рачунару (судо мачка / етц / вирегуард / публицкеи) и прилагодите ИП адресу клијента ако је другачија. Корисници оперативног система Виндовс могу копирати јавни кључ из апликације ВиреГуард.

Када завршите, вратите се на клијентску машину и отворите интерфејс за тунелирање.

Клијенти за Линук и мацОС #

Покрените следећу наредбу за покретање интерфејса:

судо вг-брзи уп вг0

Сада бисте требали бити повезани са Дебиан сервером, а промет са ваше клијентске машине требао би бити усмјерен кроз њега. Везу можете проверити са:

судо вг

интерфејс: вг0 јавни кључ: гФеК6А16нцнТ1ФГ6фЈхОЦМПМеИ4хЗа97цЗЦНВис7цСо = приватни кључ: (скривени) порт за преслушавање: 53527 фвмарк: 0кца6ц пеер: р3имих3МЦИггаЗАЦмкк + ЦклД6уАгИЦГ8КК8КЦГ8КК8КЦГ8КЦ8КЦГ8КЦ8.КСКСКС.КСКСКС.КСКСКС: 51820 дозвољени ипс: 0.0.0.0/0 најновије руковање: пре 53 секунде пренос: 3.Примљено 23 КиБ, 3.Послато 50 КиБ 

Такође можете отворити прегледач, откуцати „вхат ис ми ип“ и требали бисте видети ИП адресу свог Дебиан сервера.

Да бисте зауставили тунелирање, срушите вг0 интерфејс:

судо вг-брзо доле вг0

Виндовс клијенти #

Ако сте ВиреГуард инсталирали на Виндовс, кликните на дугме „Активирај“. Једном када се вршњаци повежу, статус тунела ће се променити у Активно:

Закључак #

Показали смо вам како инсталирати ВиреГуард на Дебиан 10 и конфигурисати га као ВПН сервер. Ова поставка вам омогућава анонимно сурфовање Интернетом чувајући приватне податке о саобраћају.

Ако имате било каквих проблема, слободно оставите коментар.