Pritunl WireGuard Kurulumu

z.furkan

Kaşif
31 Eki 2020
193
10
4
WireGuard bağlantıları, bir OpenVPN bağlantısıyla aynı özelliklere sahiptir, bunlar şunları içerir:

  • İstemci otomatik yük devretme (sunucu hatasından yaklaşık 13 saniye sonra)
  • Çoğaltılmış sunucular
  • Kopyalanmış sunucularda istemciden istemciye trafik
  • Statik istemci IP adresleri
  • NAT ve NAT dışı yönlendirme yapılandırmaları
  • Tüm ikincil kimlik doğrulama yöntemleri
  • İstemci bağlantı noktası yönlendirme
  • İstemci DNS eşlemesi
  • Otomatik istemci DNS yapılandırması
  • Yönlendirilmiş istemci ağ bağlantıları aynı zamanda bir iroute olarak da bilinir
  • IPv6 desteği
  • Bağlı sunuculara istemci erişimi (siteden siteye bağlantı bağlantıları OpenVPN kullanmaya devam edecek )

Doğrulama​

Pritunl'daki WireGuard kimlik doğrulaması, zaten istemci profilinde bulunan anahtarları kullanır. Bu,kullanıcıların profillerini yeniden içe aktarmalarına gerek kalmadan WireGuard'a geçişe izin verir. Çoğu yönetici, geçerli bir HTTPS sertifikası yapılandırmaz ve HTTPS'ye güvenilmez veya güvenli kimlik doğrulama sağlamak için gerekli değildir. Kimlik doğrulama, birden çok şifreleme ve yetkilendirme katmanı sağlayan üç anahtarla yapılır.

  • İstemci SHA512-HMAC Anahtarı (Yetkilendirme)
    İstemci, her bağlantı talebini imzalamak için bir SHA512-HMAC sırrı kullanacaktır. Sunucu ayrıca, istemcinin bağlantı yanıtını doğrulamasına izin vererek yanıtı imzalamak için bu sırrı kullanır. Bu, ana bilgisayar adresleri ve sunucu bağlantı noktası değişiklikleri gibi profil yapılandırma değişikliklerini eşitleyen istemci yapılandırma eşitlemesini yetkilendirmek için kullanılan kimlik doğrulama sistemiyle aynıdır (özel anahtarlar hiçbir zaman eşitlenmez).
  • İstemci / Sunucu NaCl Asimetrik Anahtar (Yetkilendirme + Şifreleme)
    İstemci , istemci profilinde bulunan sunucu için bir NaCl genel anahtarı kullanır . Bu, istemciden sunucuya olan bağlantı talebinin asimetrik şifrelenmesini sağlar. Sunucu, yanıtın şifrelenmesini sağlayan istemcilerin NaCl genel anahtarı ile yanıtı şifreler. İstemci ayrıca, sunucu NaCl genel anahtarını kullanarak sunucu yanıtını doğrular . Bu, şifreler ve iki faktörlü kodlarla OpenVPN bağlantılarında bulunan ek şifreleme ve yetkilendirme katmanını sağlamak için kullanılan kimlik doğrulama sistemiyle aynıdır .
  • İstemci RSA-4096 Asimetrik Anahtar (Yetkilendirme)
    İstemcilerin RSA sertifikası ve anahtarı, her bağlantı talebini imzalamak için kullanılır. Sunucu, istemci bağlantı talebini doğrulamak için bunu kullanacaktır. Bu, OpenVPN bağlantılarını doğrulamak için kullanılan sertifikanın aynısıdır .
Her WireGuard bağlantısı yeni bir WireGuard anahtarı kullanır . Bu, en yüksek düzeyde güvenlik sağlamak için yapılır, ancak kullanıcı uykuda olan bir bilgisayara döndüğünde ağ bağlantısını geciktirecektir. WireGuard özel anahtar da Pritunl istemci arka plan hizmetinin bellekte depolanır ve WireGuard yapılandırma dosyası. WireGuard bağlantısız bir tasarım kullanır ve bu özel anahtar, çok faktörlü kimlik doğrulama kullanılsa bile bir saldırgan tarafından bağlantıyı ele geçirmek için kullanılabilir. Yüksek güvenlikli ortamlarda, OpenVPN'inçok faktörlü kimlik doğrulamalı bağlantılarda bu zayıflıklar olmayacaktır. Bu nedenle, sunucu etkin olmayan istemcilerin WireGuard anahtarlarını hızla iptal ederek bunun meydana gelme olasılığını sınırlar. Sunucu ayrıca anahtarların yeniden kullanılmadığını da doğrulayacaktır.

İstemci bağlandıktan sonra her 10 saniyede bir sunucuya bir ping isteği gönderecektir. Bu istek, istemcinin bir aşağı bağlantıyı ve yük devretmeyi yaklaşık 13 saniye içinde hızlı bir şekilde algılamasını sağlar. Sunucu 6 dakika içinde bir ping isteği almazsa, kullanıcının bağlantısını kesecek ve genel anahtarı iptal edecektir.

Yapılandırma​

WireGuard bağlantılarına izin vermek için , DKMS modülleri ayrı olarak kurulmalıdır. Bu, aşağıdaki komutlar kullanılarak RHEL7'de yapılabilir. Eğer mevcut çekirdek sürümü ile modül görünmüyor ise kurulumu sizin gerçekleştirmeniz gerekmektedir.

sudo curl -o /etc/yum.repos.d/jdoss-wireguard-epel-7.repo [URL]https://copr.fedorainfracloud.org/coprs/jdoss/wireguard/repo/epel-7/jdoss-wireguard-epel-7.repo[/URL]
sudo yum -y install kernel-devel kernel-uek-devel wireguard-dkms wireguard-tools
sudo dkms autoinstall
sudo reboot


Sunucu ayarlarında WireGuard'ı etkinleştirin . Sanal WG Ağını , Görsel Ağ ile aynı CIDR'ye sahip bir ağ ile yapılandırın . Ardından WireGuard bağlantıları için UDP bağlantı noktasını seçmek için WG Bağlantı Noktasını yapılandırın .

İstemciler , Sanal WG Ağındaki Sanal Ağdan aynı statik adrese sahip olacaktır .

1604261599905.png


Daha fazla detay ve bilgi için WireGuard dökümanlarını inceleyebilirsiniz.
 
Son düzenleme: