ပြီးပြည့်စုံသော WireGuard လမ်းညွှန်- တပ်ဆင်မှု၊ သော့များနှင့် အဆင့်မြင့်ဖွဲ့စည်းမှု

သင်တစ်ဦးကိုရှာဖွေနေနေတယ်ဆိုရင် VPN ကို ၎င်းသည် လျင်မြန်ခြင်း၊ လုံခြုံပြီး အသုံးပြုရလွယ်ကူခြင်း၊ WireGuard ယနေ့သင်သုံးနိုင်သော အကောင်းဆုံးဖြစ်သည်။ ရိုးရှင်းသော ဒီဇိုင်းနှင့် ခေတ်မီသော လျှို့ဝှက်စာဝှက်စနစ်ဖြင့်၊ ၎င်းသည် အိမ်သုံးအသုံးပြုသူများ၊ ပရော်ဖက်ရှင်နယ်များနှင့် ကော်ပိုရိတ်ပတ်၀န်းကျင်များတွင် ကွန်ပျူတာများနှင့် မိုဘိုင်းလ်စက်ပစ္စည်းများနှင့် router များပေါ်တွင် နှစ်မျိုးလုံးအတွက် အကောင်းဆုံးဖြစ်သည်။

ဤလက်တွေ့လမ်းညွှန်တွင် အခြေခံမှသည် အရာအားလုံးကို သင်တွေ့လိမ့်မည်။ အဆင့်မြင့်ဖွဲ့စည်းမှုပုံစံ- Linux (Ubuntu/Debian/CentOS), သော့များ၊ ဆာဗာနှင့် ကလိုင်းယင့်ဖိုင်များ၊ IP ထပ်ဆင့်ပို့ခြင်း၊ NAT/Firewall၊ Windows/macOS/Android/iOS ပေါ်ရှိ အပလီကေးရှင်းများ၊ အုပ်စုခွဲဥမင်လိုဏ်ခေါင်းတူးဖော်ရေးစွမ်းဆောင်ရည်၊ ပြဿနာဖြေရှင်းခြင်းနှင့် OPNsense၊ pfSense၊ QNAP၊ Mikrotik သို့မဟုတ် Teltonika ကဲ့သို့သော ပလပ်ဖောင်းများနှင့် တွဲဖက်အသုံးပြုနိုင်ခြင်း။

WireGuard ဆိုတာ ဘာလဲ၊ ဘာကြောင့် ရွေးချယ်တာလဲ။

WireGuard ဖန်တီးရန် ဒီဇိုင်းထုတ်ထားသည့် open source VPN protocol နှင့် software တစ်ခုဖြစ်သည်။ UDP ရှိ L3 ကုဒ်ဝှက်ထားသော ဥမင်များ. ၎င်းသည် ၎င်း၏ရိုးရှင်းမှု၊ စွမ်းဆောင်ရည်နှင့် latency နည်းပါးသောကြောင့် OpenVPN သို့မဟုတ် IPsec နှင့် နှိုင်းယှဉ်ပါက ထင်ရှားသည် Curve25519၊ ChaCha20-Poly1305၊ BLAKE2၊ SipHash24 နှင့် HKDF.

၎င်း၏ကုဒ်အခြေခံသည် အလွန်သေးငယ်သည်။ လိုင်းထောင်ပေါင်းများစွာ) စာရင်းစစ်များကို လွယ်ကူချောမွေ့စေပြီး တိုက်ခိုက်မှုမျက်နှာပြင်ကို လျှော့ချပေးပြီး ပြုပြင်ထိန်းသိမ်းမှု ပိုမိုကောင်းမွန်စေပါသည်။ ၎င်းကို Linux kernel တွင်လည်း ပေါင်းစည်းထားပြီး ခွင့်ပြုထားသည်။ မြင့်မားသောလွှဲပြောင်းနှုန်း ပေါ့ပါးသော ဟာ့ဒ်ဝဲတွင်ပင် လျင်မြန်သော တုံ့ပြန်မှု။

 

၎င်းသည် multiplatform ဖြစ်သည်- အတွက်တရားဝင်အက်ပ်များရှိသည်။ Windows၊ macOS၊ Linux၊ Android နှင့် iOSနှင့် OPNsense ကဲ့သို့သော router/firewall-oriented systems အတွက် ပံ့ပိုးမှု။ FreeBSD၊ OpenBSD နှင့် NAS နှင့် virtualization ပလပ်ဖောင်းများကဲ့သို့သော ပတ်ဝန်းကျင်များအတွက်လည်း ရနိုင်သည်။

အထဲမှာ ဘယ်လိုအလုပ်လုပ်လဲ။

 

WireGuard သည် ရွယ်တူများကြားတွင် ကုဒ်ဝှက်ထားသော ဥမင်ကို ထူထောင်သည် (ရွယ်တူချင်း) သော့များဖြင့် သတ်မှတ်သည်။ စက်တစ်ခုစီသည် သော့တွဲတစ်စုံ (သီးသန့်/အများပြည်သူ) ကိုထုတ်ပေးပြီး ၎င်း၏တစ်ခုတည်းကိုသာ မျှဝေသည်။ အများဆိုင်သော့ အခြားအဆုံးနှင့်အတူ; ထိုနေရာမှ၊ အသွားအလာအားလုံးကို ကုဒ်ဝှက်ထားပြီး စစ်မှန်ကြောင်း အတည်ပြုထားသည်။

ညွှန်ကြားချက် ခွင့်ပြုထားသော IP များ အထွက်လမ်းကြောင်း နှစ်ခုလုံးကို (ဥမင်လိုဏ်ခေါင်းအတွင်း ဖြတ်သန်းသွားရမည့် လမ်းကြောင်း) နှင့် ပက်ကတ်ကို အောင်မြင်စွာ ကုဒ်ဝှက်ပြီးနောက် အဝေးမှ သက်တူရွယ်တူက လက်ခံမည့် တရားဝင် အရင်းအမြစ်များစာရင်းကို သတ်မှတ်သည်။ ဤချဉ်းကပ်နည်းကို ခေါ်သည်။ Cryptokey Routing ယာဉ်အသွားအလာမူဝါဒကို အလွန်ရိုးရှင်းစေသည်။

WireGuard သည် အစွမ်းထက်သည်။ ရုမ်းမင်း- သင့်ဖောက်သည်၏ IP ကို ​​ပြောင်းလဲပါက (ဥပမာ သင်သည် Wi-Fi မှ 4G/5G သို့ ခုန်တက်သည်)၊ စက်ရှင်သည် ပွင့်လင်းမြင်သာစွာနှင့် အလွန်လျင်မြန်စွာ ပြန်လည်စတင်ပါသည်။ အဲဒါကိုလည်း ထောက်ခံပါတယ်။ kill switch VPN ကျသွားပါက လိုဏ်ခေါင်းအတွင်း အသွားအလာပိတ်ဆို့ရန်။

Linux တွင် ထည့်သွင်းခြင်း- Ubuntu/Debian/CentOS

Ubuntu တွင် WireGuard ကိုတရားဝင် repos တွင်ရနိုင်သည်။ ပက်ကေ့ဂျ်များကို အပ်ဒိတ်လုပ်ပြီးနောက် မော်ဂျူးနှင့် ကိရိယာများကို ရယူရန် ဆော့ဖ်ဝဲကို ထည့်သွင်းပါ။ wg နှင့် wg-အမြန်.

apt update && apt upgrade -y
apt install wireguard -y
modprobe wireguard

Debian Stable တွင် အကြံပြုထားသည့်နည်းလမ်းကို လိုက်နာပြီး လိုအပ်ပါက မတည်မငြိမ်သော ဌာနခွဲ repos ကို သင် အားကိုးနိုင်ပါသည်။ ထုတ်လုပ်မှုတွင်ဂရုစိုက်:

sudo sh -c 'echo deb https://deb.debian.org/debian/ unstable main > /etc/apt/sources.list.d/unstable.list'
sudo sh -c 'printf "Package: *\nPin: release a=unstable\nPin-Priority: 90\n" > /etc/apt/preferences.d/limit-unstable'
sudo apt update
sudo apt install wireguard

CentOS 8.3 တွင် စီးဆင်းမှုသည် ဆင်တူသည်- လိုအပ်ပါက သင်သည် EPEL/ElRepo repos ကို အသက်သွင်းပြီးနောက် ပက်ကေ့ဂျ်ကို ထည့်သွင်းပါ။ WireGuard နှင့်သက်ဆိုင်သော module များ။

သော့မျိုးဆက်

သက်တူရွယ်တူတစ်ဦးစီတွင်၎င်း၏ကိုယ်ပိုင်ရှိရမည်။ သီးသန့်/အများပြည်သူသုံးသော့တွဲ. ခွင့်ပြုချက်များကိုကန့်သတ်ရန်နှင့်ဆာဗာနှင့် client များအတွက်သော့များထုတ်ပေးရန် umask ကိုအသုံးပြုပါ။

umask 077
wg genkey | tee privatekey | wg pubkey > publickey

စက်တစ်ခုစီတွင် ပြန်လုပ်ပါ။ ဘယ်တော့မှ မမျှဝေပါနဲ့။ သီးသန့်သော့ ဘေးကင်းစွာ ကယ်တင်ပါ။ သင်နှစ်သက်ပါက၊ ဥပမာ၊ မတူညီသောအမည်များဖြင့် ဖိုင်များကိုဖန်တီးပါ။ သီးသန့်ကီးဆာဗာ y publicserverkey.

ဆာဗာဖွဲ့စည်းမှုပုံစံ

ပင်မဖိုင်ကိုဖန်တီးပါ။ /etc/wireguard/wg0.conf. VPN ကွန်ရက်ခွဲတစ်ခု (သင်၏ LAN အစစ်အမှန်တွင် အသုံးမပြုပါ)၊ UDP အပေါက်ကို သတ်မှတ်ပေးပြီး ပိတ်ဆို့တစ်ခုကို ထည့်ပါ။ [ရွယ်တူချင်း] တရားဝင်ဖောက်သည်တစ်ဦးစီ။

[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = <clave_privada_servidor>

# Cliente 1
[Peer]
PublicKey = <clave_publica_cliente1>
AllowedIPs = 10.0.0.2/32

ဥပမာအားဖြင့် သင်သည် အခြားသော subnet ကိုသုံးနိုင်သည်။ 192.168.2.0/24၊ သက်တူရွယ်တူများစွာဖြင့် ကြီးပွားပါ။ လျင်မြန်သော ဖြန့်ကျက်မှုများအတွက်၊ ၎င်းကို အသုံးပြုလေ့ရှိပါသည်။ wg-အမြန် wgN.conf ဖိုင်များဖြင့်

Client Configuration

client တွင် ဥပမာအားဖြင့် ဖိုင်တစ်ခုကို ဖန်တီးပါ။ wg0-client.conf၎င်း၏ သီးသန့်သော့၊ ဥမင်လိပ်စာ၊ ရွေးချယ်နိုင်သော DNS နှင့် ၎င်း၏ အများသူငှာ အဆုံးမှတ်နှင့် ဆိပ်ကမ်းတို့ပါရှိသော ဆာဗာ၏ မျိုးတူစုများ။

[Interface]
PrivateKey = <clave_privada_cliente>
Address = 10.0.0.2/24
DNS = 8.8.8.8

[Peer]
PublicKey = <clave_publica_servidor>
Endpoint = <ip_publica_servidor>:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25

တင်ရင် AllowedIPs = 0.0.0.0/0 အသွားအလာအားလုံး VPN မှတဆင့်သွားပါမည်။ အကယ်၍ သင်သည် သီးခြားဆာဗာကွန်ရက်များသို့သာ ရောက်ရှိလိုပါက ၎င်းအား လိုအပ်သော subnets များကို ကန့်သတ်ပြီး လျှော့ချမည်ဖြစ်သည်။ latency နှင့်စားသုံးမှု။

ဆာဗာပေါ်တွင် IP ပေးပို့ခြင်းနှင့် NAT

ဖောက်သည်များသည် ဆာဗာမှတဆင့် အင်တာနက်ကို ဝင်ရောက်ကြည့်ရှုနိုင်စေရန် ထပ်ဆင့်ပို့ခြင်းကို ဖွင့်ပါ။ အပြောင်းအလဲများကို အချိန်နှင့်တပြေးညီ အသုံးချပါ။ sysctl.

echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf
echo 'net.ipv6.conf.all.forwarding=1' >> /etc/sysctl.conf
sysctl -p

VPN subnet အတွက် iptables များဖြင့် NAT ကို ပြင်ဆင်သတ်မှတ်ပါ၊ WAN interface ကို သတ်မှတ်ခြင်း (ဥပမာ၊ ကျင့်ဝတ်):

iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADE

မြဲအောင်လုပ်ပါ။ သင့်လျော်သော ပက်ကေ့ဂျ်များနှင့်အတူ စနစ်ပြန်လည်စတင်ချိန်တွင် အသုံးပြုရမည့် စည်းမျဉ်းများကို သိမ်းဆည်းပါ။

apt install -y iptables-persistent netfilter-persistent
netfilter-persistent save

စတင်ခြင်းနှင့် အတည်ပြုခြင်း။

အင်တာဖေ့စ်ကို ယူလာပြီး စနစ်ဖြင့် စတင်ရန် ဝန်ဆောင်မှုကို ဖွင့်ပါ။ ဤအဆင့်သည် virtual interface ကိုဖန်တီးပြီးထပ်ထည့်သည်။ လမ်းကြောင်းများ လိုအပ်သော။

systemctl start wg-quick@wg0
systemctl enable wg-quick@wg0
wg

con wg သက်တူရွယ်တူများ၊ သော့များ၊ လွှဲပြောင်းမှုများနှင့် နောက်ဆုံးလက်ဆွဲနှုတ်ဆက်ချိန်များကို သင်မြင်ရပါမည်။ သင်၏ firewall မူဝါဒကို ကန့်သတ်ထားပါက၊ အင်တာဖေ့စ်မှတဆင့် ဝင်ရောက်ခွင့်ပြုပါ။ wg0 ဝန်ဆောင်မှု၏ UDP ဆိပ်ကမ်းနှင့်

iptables -I INPUT 1 -i wg0 -j ACCEPT

တရားဝင်အက်ပ်များ- Windows၊ macOS၊ Android နှင့် iOS

ဒက်စ်တော့တွင် သင်တစ်ဦးကို တင်သွင်းနိုင်သည်။ .conf ဖိုင်. မိုဘိုင်းစက်ပစ္စည်းများတွင်၊ အက်ပ်သည် သင့်အား အင်တာဖေ့စ်တစ်ခုမှ ဖန်တီးခွင့်ပြုသည်။ QR ကုဒ်ကို configuration ပါ ၀ င်သည်; နည်းပညာမဟုတ်သော သုံးစွဲသူများအတွက် အလွန်အဆင်ပြေပါသည်။

အကယ်၍ သင့်ရည်မှန်းချက်သည် ကိုယ်တိုင်လက်ခံကျင်းပသည့် ဝန်ဆောင်မှုများကို ဖော်ထုတ်ရန်ဖြစ်သည်။ Plex/Radarr/Sonarr သင်၏ VPN မှတဆင့်၊ WireGuard subnet တွင် IP များကို ရိုးရှင်းစွာသတ်မှတ်ပြီး AllowedIPs များကို ချိန်ညှိခြင်းဖြင့် client သည် ထိုကွန်ရက်သို့ရောက်ရှိနိုင်စေရန်၊ ဝင်ရောက်ခွင့်အားလုံးသည် အပြင်ဘက်သို့ နောက်ထပ် port များဖွင့်ရန် မလိုအပ်ပါ။ ဥမင်လိုဏ်ခေါင်း.

အားသာချက်များနှင့်အားနည်းချက်များကို

WireGuard သည် အလွန်လျင်မြန်ပြီး ရိုးရှင်းသော်လည်း အသုံးပြုမှုအခြေအနေပေါ်မူတည်၍ ၎င်း၏ ကန့်သတ်ချက်များနှင့် တိကျမှုများကို ထည့်သွင်းစဉ်းစားရန် အရေးကြီးပါသည်။ ဒါကတော့ အများစုရဲ့ မျှတတဲ့ ခြုံငုံသုံးသပ်ချက်ပါ။ ထူးချွန်.

အကျိုး	အားနည်းချက်များကို
ရှင်းလင်းပြီး တိုတောင်းသော ဖွဲ့စည်းမှုပုံစံ၊ အလိုအလျောက်စနစ်အတွက် အကောင်းဆုံးဖြစ်သည်။	ဇာတိယာဉ်ကြောရှုပ်ထွေးမှုကို ထည့်သွင်းမထားပါ။
မြင့်မားသောစွမ်းဆောင်ရည်နှင့် latency နည်းပါးသောနေရာများတွင်ပင် မိုဘိုင်း	အချို့သော အမွေအနှစ်ပတ်ဝန်းကျင်များတွင် အဆင့်မြင့်ရွေးချယ်စရာများ နည်းပါးသည်။
လွယ်ကူစေသော ခေတ်မီ လျှို့ဝှက်စာဝှက်နှင့် ကုဒ်ငယ်များ ငှေစာရငျးစစျဆေး	ကိုယ်ရေးကိုယ်တာ- မူဝါဒများပေါ် မူတည်၍ IP/ အများသူငှာသော့ချိတ်ဆက်မှု သည် အရေးကြီးပါသည်။
ဖောက်သည်များတွင် ရနိုင်သော ချောမွေ့မှုမရှိသော Roaming နှင့် kill switch	Third-party လိုက်ဖက်ညီမှုသည် အမြဲတမ်း တစ်သားတည်းဖြစ်နေခြင်းမဟုတ်ပါ။

 

Split tunneling- လိုအပ်သည်များကိုသာ ညွှန်ကြားခြင်း။

Split tunneling သည် VPN မှတဆင့် သင်လိုအပ်သော အသွားအလာများကိုသာ ပေးပို့နိုင်စေပါသည်။ အတူ ခွင့်ပြုထားသော IP များ တစ်ခု သို့မဟုတ် တစ်ခုထက်ပိုသော subnet များသို့ အပြည့်အဝ သို့မဟုတ် ရွေးချယ်ထားသော ပြန်ညွှန်းခြင်းပြုလုပ်ရန် သင်ဆုံးဖြတ်သည်။

# Redirección completa de Internet
[Peer]
AllowedIPs = 0.0.0.0/0

# Solo acceder a recursos de la LAN 192.168.1.0/24 por la VPN
[Peer]
AllowedIPs = 192.168.1.0/24

စစ်ထုတ်ထားသော reverse split tunneling ကဲ့သို့သော မူကွဲများရှိပါသည်။ URL ကို သို့မဟုတ် WireGuard ၏ မူလအခြေခံသည် IP နှင့် ရှေ့ဆက်များဖြင့် ထိန်းချုပ်ထားသော်လည်း၊ သို့မဟုတ် အပလီကေးရှင်းအားဖြင့် (သီးသန့် တိုးချဲ့မှုများ/ဖောက်သည်များမှတဆင့်)။

လိုက်ဖက်မှုနှင့် ဂေဟစနစ်

WireGuard သည် Linux kernel အတွက်မွေးဖွားခဲ့သည်၊ သို့သော်ယနေ့၎င်းသည်ဖြစ်သည်။ cross platformOPNsense သည် ၎င်းကို မူရင်းအတိုင်း ပေါင်းစပ်ထားသည်။ pfSense သည် စာရင်းစစ်များအတွက် ခေတ္တရပ်ဆိုင်းခဲ့ပြီး နောက်ပိုင်းတွင် ၎င်းကို ဗားရှင်းပေါ်မူတည်၍ ရွေးချယ်နိုင်သော ပက်ကေ့ခ်ျတစ်ခုအဖြစ် ကမ်းလှမ်းခဲ့သည်။

QNAP ကဲ့သို့ NAS တွင် သင်သည် 10GbE NICs ၏ အားသာချက်ကို အသုံးပြု၍ QVPN သို့မဟုတ် virtual machines များမှတစ်ဆင့် တပ်ဆင်နိုင်သည်။ မြန်နှုန်းမြင့်MikroTik router boards များသည် RouterOS 7.x မှစတင်၍ WireGuard ပံ့ပိုးမှုကို ထည့်သွင်းထားသည်။ ၎င်း၏အစောပိုင်းထပ်ကျော့မှုများတွင်၊ ၎င်းသည် beta တွင်ရှိပြီး ထုတ်လုပ်ရန်အတွက် အကြံပြုထားခြင်းမရှိသေးသော်လည်း ၎င်းသည် စက်များနှင့် end clients များကြားတွင် P2P ဥမင်များကိုခွင့်ပြုထားသည်။

Teltonika ကဲ့သို့သော ထုတ်လုပ်သူများသည် ၎င်းတို့၏ router များသို့ WireGuard ထည့်ရန် ပက်ကေ့ခ်ျတစ်ခုရှိသည်။ စက်ပစ္စည်းလိုအပ်ပါက မှာယူနိုင်ပါသည်။ shop.davantel.com တပ်ဆင်မှုအတွက် ထုတ်လုပ်သူ၏ လမ်းညွှန်ချက်များကို လိုက်နာပါ။ packages များ အပို။

စွမ်းဆောင်ရည်နှင့် latency

၎င်း၏ ရိုးရှင်းသော ဒီဇိုင်းနှင့် ထိရောက်သော အယ်လဂိုရီသမ်များ၏ ရွေးချယ်မှုကြောင့် WireGuard သည် အလွန်မြင့်မားသော မြန်နှုန်းများကို ရရှိပြီး latencies နည်းပါးသည်။ယေဘုယျအားဖြင့် L2TP/IPsec နှင့် OpenVPN ထက်သာလွန်သည်။ အစွမ်းထက်သော ဟာ့ဒ်ဝဲဖြင့် ပြည်တွင်းစမ်းသပ်မှုများတွင်၊ အမှန်တကယ်နှုန်းသည် အခြားရွေးချယ်စရာများထက် နှစ်ဆဖြစ်လေ့ရှိပြီး ၎င်းကို စံပြဖြစ်စေသည်။ တိုက်ရိုက်ထုတ်လွှင့်ခြင်း၊ ဂိမ်းကစားခြင်း သို့မဟုတ် VoIP.

ကော်ပိုရိတ် အကောင်အထည်ဖော်ခြင်းနှင့် တယ်လီလုပ်ငန်းဆောင်ရွက်ခြင်း

လုပ်ငန်းတွင် WireGuard သည် ရုံးများကြားရှိ ဥမင်လှိုင်ခေါင်းများ ဖန်တီးရန်၊ အဝေးမှ ဝန်ထမ်းဝင်ရောက်ခွင့်နှင့် လုံခြုံသောချိတ်ဆက်မှုများကြားတွင် ဖန်တီးရန် သင့်လျော်ပါသည်။ CPD နှင့် cloud (ဥပမာ၊ မိတ္တူကူးရန်)။ ၎င်း၏တိုတောင်းသော syntax သည် versioning နှင့် automation ကိုလွယ်ကူစေသည်။

၎င်းသည် အလယ်အလတ်ဖြေရှင်းချက်များကို အသုံးပြု၍ LDAP/AD ကဲ့သို့သော လမ်းညွှန်များနှင့် ပေါင်းစပ်ပြီး IDS/IPS သို့မဟုတ် NAC ပလပ်ဖောင်းများနှင့် အတူယှဉ်တွဲနိုင်သည်။ လူကြိုက်များသောရွေးချယ်မှုတစ်ခုဖြစ်သည်။ ကွမ်းခြံကုန်း အသုံးပြုခွင့်နှင့် BYOD ထိန်းချုပ်ခြင်းမပြုမီ စက်ပစ္စည်းများ၏ အခြေအနေကို စစ်ဆေးခွင့်ပြုသည့် (open source)။

Windows/macOS- မှတ်စုများနှင့် အကြံပြုချက်များ

တရားဝင် Windows အက်ပ်သည် များသောအားဖြင့် ပြဿနာမရှိဘဲ အလုပ်လုပ်သော်လည်း အချို့သော Windows 10 ဗားရှင်းများတွင် အသုံးပြုသည့်အခါ ပြဿနာများရှိသည်။ AllowedIPs = 0.0.0.0/0 လမ်းကြောင်း ပဋိပက္ခတွေကြောင့် ယာယီအခြားရွေးချယ်စရာအနေဖြင့်၊ အချို့သောအသုံးပြုသူများသည် TunSafe ကဲ့သို့သော WireGuard-based client များကိုရွေးချယ်ခြင်း သို့မဟုတ် AllowedIPs များကို သီးခြား subnets များသို့ ကန့်သတ်ခြင်း။

နမူနာသော့များဖြင့် Debian အမြန်စတင်လမ်းညွှန်

ဆာဗာနှင့် ကလိုင်းယင့်အတွက် သော့များကို ဖန်တီးပါ။ /etc/wireguard/ wg0 interface ကိုဖန်တီးပါ။ VPN IP များသည် သင့်ပြည်တွင်းကွန်ရက် သို့မဟုတ် သင့်ဖောက်သည်များပေါ်ရှိ အခြား IP များနှင့် မကိုက်ညီကြောင်း သေချာပါစေ။

cd /etc/wireguard/
wg genkey | tee claveprivadaservidor | wg pubkey > clavepublicaservidor
wg genkey | tee claveprivadacliente1 | wg pubkey > clavepublicacliente1

subnet 192.168.2.0/24 နှင့် port 51820 ပါရှိသော wg0.conf ဆာဗာ။ အလိုအလျောက်လုပ်ဆောင်လိုပါက PostUp/PostDown ကိုဖွင့်ပါ။ NAT အင်တာဖေ့စ်ကိုတက်/ချသည့်အခါ iptables နှင့်။

[Interface]
Address = 192.168.2.1/24
PrivateKey = <clave_privada_servidor>
ListenPort = 51820
#PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]
PublicKey = <clave_publica_cliente1>
AllowedIPs = 0.0.0.0/0

လိပ်စာ 192.168.2.2 ပါသော လိုင်းသည် ဆာဗာ၏ အများသူငှာ အဆုံးမှတ်ကို ညွှန်ပြပြီး ရှင်သန်ခြင်း အလယ်အလတ် NAT ရှိလျှင် ရွေးချယ်နိုင်သည်။

[Interface]
PrivateKey = <clave_privada_cliente1>
Address = 192.168.2.2/32

[Peer]
PublicKey = <clave_publica_servidor>
AllowedIPs = 0.0.0.0/0
Endpoint = <ip_publica_servidor>:51820
#PersistentKeepalive = 25

အင်တာဖေ့စ်ကိုဆွဲထုတ်ပြီး MTU၊ လမ်းကြောင်းအမှတ်အသားများနှင့် အဖြစ်ကြည့်ရှုပါ။ fwmark လမ်းကြောင်းပေါ်လစီစည်းမျဉ်းများ။ wg‑အမြန်ထွက်ရှိမှုနှင့် အခြေအနေတို့ကို ပြန်လည်သုံးသပ်ပါ။ wg ရှိုး.

Mikrotik- RouterOS 7.x ကြားရှိ ဥမင်လိုဏ်ခေါင်း

MikroTik သည် RouterOS 7.x ကတည်းက WireGuard ကို ပံ့ပိုးပေးထားသည်။ Router တစ်ခုစီတွင် WireGuard အင်တာဖေ့စ်တစ်ခုဖန်တီးပါ၊ ၎င်းကိုအသုံးပြုပါ၊ ၎င်းကိုအလိုအလျောက်ထုတ်ပေးလိမ့်မည်။ သော့. IP များကို Ether2 သို့ WAN နှင့် wireguard1 အဖြစ် tunnel interface အဖြစ် သတ်မှတ်ပေးပါ။

သုံးစွဲသူဘက်မှ ဆာဗာ၏ အများသူငှာသော့ကို ဖြတ်ကျော်ပြီး အပြန်အလှန်အားဖြင့် ခွင့်ပြုထားသောလိပ်စာ/AllowedIP များကို သတ်မှတ်ပါ (ဥပမာ၊ 0.0.0.0/0 ဥမင်လိုဏ်ခေါင်းမှတဆင့် အရင်းအမြစ်/ခရီးဆုံးနေရာကို ခွင့်ပြုလိုပါက) နှင့် အဝေးထိန်းအမှတ်ကို ၎င်း၏ port ဖြင့် သတ်မှတ်ပါ။ အဝေးထိန်းဥမင်လိုဏ်ခေါင်း IP သို့ ping သည် ၎င်းကို အတည်ပြုလိမ့်မည်။ လကျဆှဲနှုတျဆကျခွငျး.

အကယ်၍ သင်သည် မိုဘိုင်းလ်ဖုန်းများ သို့မဟုတ် ကွန်ပျူတာများကို Mikrotik ဥမင်လိုဏ်ခေါင်းတွင် ချိတ်ဆက်ပါက လိုအပ်သည်ထက်ပို၍မဖွင့်စေရန် ခွင့်ပြုထားသောကွန်ရက်များကို ချိန်ညှိပါ။ WireGuard သည် သင့်အပေါ်အခြေခံ၍ ပက်ကတ်များစီးဆင်းမှုကို ဆုံးဖြတ်သည်။ Cryptokey Routingထို့ကြောင့် ဇစ်မြစ်နှင့် ဦးတည်ရာများကို ကိုက်ညီရန် အရေးကြီးပါသည်။

ရေးနည်းကိုသုံးတယ်။

WireGuard တွင် ခေတ်မီသော အစုံအလင်ကို အသုံးပြုသည်- ဆူညံသံ မူဘောင်တစ်ခုအနေဖြင့်၊ ECDH အတွက် Curve25519၊ ChaCha20 သည် Poly1305 ဖြင့် စစ်မှန်သော symmetric encryption အတွက်၊ hashing အတွက် BLAKE2၊ hash tables အတွက် SipHash24 နှင့် HKDF ၏ ဆင်းသက်လာခြင်းအတွက် သော့အယ်လဂိုရီသမ်ကို ဆန့်ကျင်ပါက၊ ပရိုတိုကောကို ချောမွေ့စွာ ရွှေ့ပြောင်းနိုင်ရန် ဗားရှင်းကို ပြောင်းလဲနိုင်သည်။

မိုဘိုင်းတွင် အားသာချက် အားနည်းချက်များ

၎င်းကို စမတ်ဖုန်းများတွင် အသုံးပြုခြင်းဖြင့် သင့်အား ဘေးကင်းစွာ ကြည့်ရှုနိုင်စေမည်ဖြစ်သည်။ အများသူငှာ Wi‑Fiသင်၏ ISP မှ အသွားအလာကို ဖျောက်ပြီး NAS၊ အိမ်တွင်း အလိုအလျောက်စနစ် သို့မဟုတ် ဂိမ်းကစားခြင်းသို့ ဝင်ရောက်ရန် သင့်အိမ်ကွန်ရက်သို့ ချိတ်ဆက်ပါ။ iOS/Android တွင်၊ ကွန်ရက်များပြောင်းခြင်းသည် အတွေ့အကြုံကို ပိုမိုကောင်းမွန်စေသည့် လိုဏ်ခေါင်းကို ဖယ်ရှားမည်မဟုတ်ပါ။

အားနည်းချက်အနေဖြင့်၊ သင်သည် တိုက်ရိုက်ထွက်ရှိမှုနှင့် နှိုင်းယှဉ်ပါက အမြန်နှုန်းနှင့် latency ဆုံးရှုံးမှုအချို့ကို ဆွဲယူနိုင်ပြီး၊ သင်သည် ဆာဗာအပေါ် အမြဲမှီခိုနေပါသည်။ ရရှိနိုင်. သို့သော်လည်း IPsec/OpenVPN နှင့် နှိုင်းယှဉ်ပါက ပြစ်ဒဏ်သည် များသောအားဖြင့် နည်းပါးသည်။

WireGuard သည် ရိုးရှင်းမှု၊ မြန်နှုန်းနှင့် စစ်မှန်သော လုံခြုံရေးကို နူးညံ့သိမ်မွေ့သော သင်ယူမှုမျဉ်းဖြင့် ပေါင်းစပ်ထားသည်- ၎င်းကို ထည့်သွင်းပါ၊ သော့များထုတ်ပေးပါ၊ AllowedIPs ကို သတ်မှတ်ပါ၊ သင် အဆင်သင့်ဖြစ်ပါပြီ။ IP ထပ်ဆင့်ပို့ခြင်း၊ ကောင်းစွာအကောင်အထည်ဖော်ထားသော NAT၊ QR ကုဒ်များပါသည့် တရားဝင်အက်ပ်များနှင့် OPNsense၊ Mikrotik သို့မဟုတ် Teltonika ကဲ့သို့သော ဂေဟစနစ်များနှင့် လိုက်ဖက်ညီမှုတို့ကို ထည့်သွင်းပါ။ ခေတ်မီ VPN မည်သည့် အခြေအနေအတွက်မဆို၊ အများသူငှာ ကွန်ရက်များကို လုံခြုံစေရန်မှ ရုံးချုပ်ကို ချိတ်ဆက်ကာ ခေါင်းမကိုက်ဘဲ သင့်အိမ်ဝန်ဆောင်မှုများကို ဝင်ရောက်သုံးစွဲခြင်းအထိ။