WireGuard VPN, sanal özel ağlar oluşturmak için yeni, sağlam ve çok hızlı bir protokoldür, RedesZone’da OpenVPN veya IPsec’in hızını nasıl ikiye hatta üçe katlayabildiğini doğruladık. Bu yeni VPN protokolü, akıllı telefonlar, tabletler veya dizüstü bilgisayarlar olsun, mobil istemcilerle uzaktan erişim yapılandırmaları için idealdir, çünkü çok az kaynak tüketir ve bağlantı gerçekten hızlıdır. 2.5.0 sürümündeki pfSense işletim sistemi, IPsec, L2TP ve ayrıca OpenVPN ile birlikte bu yeni VPN’yi resmi olarak dahil etti. Bugün size uzaktan bağlanmak için pfSense 2.5.0’da WireGuard VPN’i sıfırdan nasıl yapılandıracağınızı göstereceğiz.
WireGuard VPN Özellikleri
WireGuardVPN bir VPN tünelini hızlı ve kolay bir şekilde yapılandırmamızı sağlayacak çok hafif bir yazılımdır, varsayılan olarak farklı asimetrik, asimetrik veya karma şifreleme algoritmaları seçmeye gerek kalmadan en modern şifrelemeyi kullanır, varsayılan olarak bir Suite, diğer VPN protokollerinin aksine varsayılan olarak güvenlidir. WireGuard’ın hedefi hem ev kullanıcıları hem de işletmeler için en iyi VPN olmaktır ve bunu başarıyor çünkü bize mümkün olan en iyi performansı sağlamak için Linux Çekirdeğine zaten entegre edildi.
Kullanılan kriptografi ile ilgili olarak, ChaCha20 ile doğrulanmış simetrik şifreleme için poli1305, yani AEAD’imiz var. Ayrıca kullanır Eğri25519 AİHM için, BLAKE2 hash için, SipHash24 hashtable anahtarları için ve HKDF anahtar türetme için. Gördüğünüz gibi, varsayılan olarak kullanılan en modern kriptografik algoritmalara sahibiz ve şu anda başkaları için değiştiremeyeceğiz, bu evet veya evet olmalı.
Bu yeni VPN ile bağlantıları yönetmemize veya zor konfigürasyonlar yapmamıza gerek kalmayacak, L3 VPN olduğu için sadece tünel modunda çalışıyor ve UDP protokolünü taşıma katmanı olarak kullanıyor ve TCP’yi seçmemize izin vermiyor. yapabileceğimiz dinleme portunu istediğimiz için değiştirmek. Elbette WireGuard sunucusu sorunsuz bir şekilde NAT’ın arkasında olabilir, sadece port yönlendirme yapmak yeterli olacaktır. Diğer ilginç özellikler ise, herhangi bir Wi-Fi veya 4G/LTE ağından bağlantıyı kesmeden her zaman bağlanabilmek için ağlar arasında hızlı ve kolay bir şekilde dolaşıma izin vermesidir. Ek olarak, VPN çökerse veri sızıntılarını önlemek için Kill-Switch’i de etkinleştirebiliriz.
Son olarak, bu yeni VPN, aşağıdakiler gibi birden çok işletim sistemiyle uyumludur: Windows, Linux, MacOS, FreeBSD, Android ve ayrıca iOS. Şimdi pfSense 2.5.0 geliştirme ekibi WireGuard’ı varsayılan olarak kendi sistemlerine yerleştirdi, ancak daha önce onu da kurabiliyorduk, ancak resmi bir desteğimiz yoktu.
WireGuard VPN Sunucu Yapılandırması
pfSense 2.5.0’ın yayımlanmasından önce, bu eksiksiz güvenlik duvarında WireGuard’ın olmasını istiyorsak, FreeBSD uyumlu bazı paketleri indirerek onu sisteme manuel olarak kurmamız gerekiyordu. pfSense geliştirme ekibi sayesinde, sürüm 2.5.0’dan itibaren varsayılan olarak grafik kullanıcı arayüzüne entegre edilmiştir.
Yapmamız gereken ilk şey «VPN / WireGuard» bu yeni VPN protokolünün yapılandırmasına girmek için. Menüye girer girmez “Tünel Ekle” seçeneğine tıklıyoruz.
Tünel konfigürasyonunda tüneli etkinleştirmeli, bir açıklama vermeli ve aşağıdakileri koymalıyız:
- Adres: Tünel arayüzü için VPN sunucusunun IPv4 veya IPv6 adresi.
- Bağlantı noktası: varsayılan olarak 51820 UDP’dir, ancak herhangi bir UDP bağlantı noktasına değiştirebiliriz.
pfSense, WireGuard ile VPN sunucusu için bir genel/özel anahtar oluşturucu içerir, bizim tavsiyemiz, VPN istemcisi için bazı anahtarlar oluşturmanız ve ikincisinin VPN’ninkiler olması için yeniden «Oluştur»a tıklamamızdır. sunucu. Örneğin, aşağıdaki anahtarlar daha sonra VPN istemcisinde kullanacağımız anahtarlardır. Yapılandırmayı yazmak için bir not defteri veya Notepad++ ile kendinize yardımcı olabilirsiniz.
WireGuard’ı genel ve özel anahtarlarla yapılandırmanızı kolaylaştırmak için, Wireguardconfig aracı bu, daha sonra onu pfSense’e uyarlamak için hem sunucuyu hem de istemcileri otomatik olarak oluşturmamıza olanak tanır.
Ve oluşturulan ikincisi, WireGuard ile VPN sunucusunun kendisidir.
Anahtarlara sahip olduğumuzda, “Kaydet”e tıklamalıyız ve önceki yapılandırma ile VPN sunucusunu zaten oluşturmuş olacağız:
Bir kez sahip olduğumuzda, şimdi «eşleri», yani VPN istemcilerini kaydetmemiz gerekiyor. WireGuard sunucu konfigürasyonuna tekrar erişiyoruz ve yeşil olan “Add Peer”e tıklıyoruz. Burada bazı konfigürasyonları doldurmamız gerekecek, ancak hepsini doldurmanıza gerek yok.
Şimdi seçeneklerin her birinin ne için olduğunu açıklayacağız:
- Açıklama: Bu müşteriye bir açıklama koyduk, örneğin adımız.
- Bitiş noktası: VPN istemcisinin genel IP adresini koyarız.
- Uç nokta bağlantı noktası: VPN istemcisinin bağlantı noktasını koyarız.
İstemcinin genel IP’sinin ve bağlantı noktasının değiştiği bir VPN istemcisi kuracaksanız, o zaman “Endpoint” ve “Endpoint Port” seçeneklerini boş bırakmalıyız. Bir Siteden Siteye VPN yapılandıracaksak bu seçeneklerin doldurulması gerekir, ancak uzaktan erişimde (Roadwarrior) doldurulması gerekli değildir.
- Canlı tut: Saniye cinsinden bir değer, sık sık tünelin hala açık olduğunu doğrular, varsayılan olarak devre dışıdır.
Şimdi en önemli ayarlara gelin:
- Genel Anahtar: VPN istemcisinin ortak anahtarını koymamız gerekecek, daha önce istemci için nasıl oluşturulduğunu gördünüz, çünkü burada ortak anahtarı koyacağız.
- İzin Verilen IP’ler: İnternet yeniden yönlendirmesi ve tüm ağlara erişim istiyorsak, 0.0.0.0/0 koyarız. En normal şey, uzaktan erişim VPN istemcilerinin VPN’nin kendisi aracılığıyla İnternet’e gitmesidir, ancak burada farklı ağlara özel erişimi yapılandırabiliriz.
- Eş WireGuard Adresi: kayıtlı eşin sahip olduğu IP adresi.
- Önceden paylaşılan anahtar: isteğe bağlıdır, güvenliği daha da artırmak için önceden paylaşılan bir anahtar eklenebilir.
Bizim durumumuzda, önceden paylaşılan anahtarı koymadık, ancak onu koyarsanız, hem pfSense hem de VPN istemcisinde tam olarak aynı olmalı ve gelen mavi buton ile söz konusu anahtarı oluşturmamız gerekecek. pfSense’de. Ön paylaşımlı anahtar olarak «12345678» koyamayız, örneğin pfSense üretecini kullanmalıyız.
WireGuard VPN sunucusunu pfSense 2.5.0’da doğru bir şekilde yapılandırdıktan sonra güvenlik duvarı bölümünü yapılandıracağız, çünkü varsayılan olarak her zaman tümünü engelle modundadır.
WAN ve WireGuard’da güvenlik duvarı yapılandırması
İlk VPN istemcisini bağlamadan önce “Güvenlik Duvarı / Kurallar”a gitmeli ve İnternet WAN arayüzüne yeni bir kural eklemeliyiz. Aşağıdaki bilgilerle yeni bir kural ekliyoruz:
- Eylem: geçmek
- arayüz: WAN
- Adres Ailesi: IPv4, IPv6 veya her ikisi
- Protokol: UDP
- Kaynak: herhangi (WireGuard ile Siteden Siteye bir site kuracaksanız, güvenliği artırmak için kaynak genel IP’yi buraya koyabilirsiniz).
- Hedef: 51820 numaralı bağlantı noktasındaki WAN Adresi
Yapılandırıldıktan sonra bu kuralı kaydetmek için “Kaydet”e tıklıyoruz ve her zaman olduğu gibi güvenlik duvarına yeni bir kural eklediğimizde değişiklikleri uyguluyoruz.
Bu yapıldıktan sonra, şimdi gitmeliyiz. «WireGuard» arayüzü « içinde otomatik olarak oluşturulanGüvenlik Duvarı / Kurallar«, burada, bağlandığınızda tüm iletişime veya OpenVPN veya IPsec’te olduğu gibi yalnızca bizim istediklerimize izin vermemiz gerekecek.
Aşağıdaki konfigürasyonda, aşağıdaki konfigürasyona sahip bir kuralımız olduğunu görebilirsiniz:
- Eylem: geçmek
- Arayüz: WireGuard
- Adres Ailesi: IPv4, IPv6 veya her ikisi
- Protokol: Herhangi
- Kaynak: herhangi
- Hedef: herhangi
“Kaydet”e tıklıyoruz ve değişiklikleri her zamanki gibi uyguluyoruz. Bu noktada VPN istemcilerini WireGuard ile yapılandırmaya hazırız.
WireGuard VPN istemcilerini yapılandırma ve pfSense’e bağlanma
VPN istemcilerinin WireGuard ile konfigürasyonu tüm platformlarda aynıdır, tamamen aynı bilgilere ihtiyacımız olacak. Bizim durumumuzda bir Android akıllı telefon kullandık, aşağıdan Android ve iOS için resmi WireGuard uygulamasını indirebilirsiniz:
Ancak, doğrudan bu VPN protokolünün resmi web sitesinden Windows gibi diğer işletim sistemleri için de sahibiz. Bir kez kurduktan sonra, istemciyi kolayca yapılandırabileceğiz.
Size daha önce de söylediğimiz gibi, tavsiyemiz, pfSense’de anahtarları oluştururken, bu anahtarları bir not defterine, hem genel anahtar hem de özel anahtar olarak kopyalamanızdır. Ayrıca, sunucunun ortak anahtarını da kopyalamanız gerekir. Bu yapıldıktan sonra WireGuard’ı açıp yeni bir VPN tüneli eklemeye devam ediyoruz, üç seçeneğimiz var:
- Tüm yapılandırmayı bir dosyadan içe aktarın, Windows, Linux vb. gibi birkaç istemciyi yapılandıracaksanız, farklı yapılandırmalara sahip bir şablonun olması normaldir.
- QR kodundan tarayın: WireGuardConfig aracını kullanırsak bunu kolayca yapabiliriz.
- Sıfırdan oluşturun: Bu bizim seçtiğimiz seçenektir.
Yeni bir VPN eklerken, bizden istediği verilerin tamamını veya neredeyse tamamını doldurmalıyız, bu VPN istemcisidir:
- Ad: VPN tüneline bir açıklama koyacağız, birkaç tane olması durumunda açıklayıcı bir ad.
- Özel anahtar: Daha önce not defterinden kopyaladığımız özel anahtarı koyuyoruz.
- Genel anahtar: Özel anahtarı girdiğinizde, otomatik olarak oluşturur.
- Adresler: İstemcinin IPv4 veya IPv6’sı, bu durumda daha önce 10.9.0.2/32’yi yapılandırdık, bunu koyduk.
- Liman: boş bırakıyoruz
- DNS sunucuları: Belirli bir DNS sunucusu koyabiliriz veya doğrudan bu tüneli çözer.
- MTU: Boş bıraktık.
Şimdi çift ekle’ye tıklıyoruz ve daha fazla konfigürasyon görüntülenecek, bu konfigürasyonlar VPN sunucusunun konfigürasyonlarıdır.
- Eşler: VPN sunucusunun ortak anahtarı.
- Pre-shared key: Eğer konfigüre etmemişsek boş bırakıyoruz, konfigüre ettiysek birebir aynısını kopyalıyoruz.
- Kalıcı bakım: Canlı tutma, boş bırakılması önerilir.
- Son nokta: “IP:port” sözdizimini koymalıyız, bu nedenle “vpn.redeszone.net:51820” koyabiliriz.
- İzin verilen IP’ler: hepsini koymak istiyorsak, 0.0.0.0/0 koyarız. Ayrıca özel IP’leri hariç tutmak için bir düğmemiz var.
Bunu yaptıktan sonra kaydet’e tıklayın ve yapılan tüm konfigürasyonları görebiliriz.
Eklendikten ve her şeyin doğru olduğunu doğruladıktan sonra bağlanmaya devam ediyoruz ve trafik alışverişi olduğunu ve VPN’nin mükemmel çalıştığını göreceğiz.
Alınan paketimiz yoksa, bu bir şeylerin yanlış olduğu ve WireGuard VPN tünelinin doğru şekilde kurulmadığı anlamına gelir. Bu size olursa, yaptığınız tüm yapılandırmayı gözden geçirmeli ve neler olduğunu görmek için pfSense günlüklerini gözden geçirmelisiniz.
Bu eğitimle, muhteşem pfSense 2.5.0’ınızda WireGuard VPN sunucusunu yapılandırabileceğinizi umuyoruz.
pfSense 2.5.0’daki WireGuard VPN Sunucu Yapılandırması makalesi RedesZone’da yayınlandı.
Orijinal kaynağı kontrol edin
Bunu severim:
Yükleniyor…