~/magostinelli - tunnel

Wireguard - VPN per tutti

Unknown — Sun, 28 Jan 2024 00:00:00 +0000

Collegarsi alla propria rete domestica da fuori casa (senza esporre pubblicamente i servizi, ma solo la porta della vpn)</li>
Amministrare / gestire dispositivi di: amici / parenti / clienti</li>
Condividere risorse locali solo con chi si vuole</li>
Anonimato (navigare sul web come se fisicamente si ci trovasse nella rete del server vpn)</li>
Sicurezza: se si è connessi ad una rete pubblica il nostro traffico sarà comunque cifrato</li>
blocco pubblicità su smartphone</strong> se usato in accoppiata a #pihole (seguirà articolo dedicato)</li>
Supporto dello split tunnel</strong></li> </ul>
Si basa su protocollo udp, e non tcp per avere prestazioni migliori</li>
Disponibile per svariati sistemi operativi</li>
Funziona su tutti i dispositivi mobili</li>
Risorse richieste quasi nulle, funziona benissimo su vecchi pc o su #raspberrypi</li>
Configurazione facile con un file unico</strong> (portatile)</li>
Configurazione tramite qr code</strong></li>
Possibilità di avere più vpn attive contemporaneamente</strong></li> </ul>
</p>

Installare il software</li>
Scgliere una porta udp dedicata</li>
Abllitare il forwarding della porta sul nostro router</li>
Scelta di una subnet (dedicata)</li>
Abilitare il forwarding dei pacchetti ip</li>
Creare la configurazione</li> </ol>
`sudo apt update </span>sudo apt install wireguard </span>sudo vi /etc/sysctl.conf </span> net.ipv4.ip_forward=1 </span>sudo sysctl -p </span></code></pre>`
`umask 077 </span>wg genkey > privatekey </span>wg pubkey < privatekey > publickey </span>wg genpsk > preshared.keys </span></code></pre>`
`/etc/wireguard/wg0.conf </span>[Interface] </span>PrivateKey = chiave_privata_server </span>Address = 192.168.20.1/24 </span>ListenPort = 52001 </span>SaveConfig = true </span>PostUp = iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE </span>PreDown = iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE </span> </span>[Peer] </span>PublicKey = chiave_pub_client_1 </span>PresharedKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx </span>AllowedIPs = 192.168.20.2/32 </span></code></pre>`
`[Interface] </span>PrivateKey = chiave_priv_client1 </span>Address = 192.168.20.2/24 </span> </span>[Peer] </span>PublicKey = chiave_pub_server </span>PresharedKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx </span>AllowedIPs = 0.0.0.0/0, ::/0 </span>Endpoint = hostname_pubblico_server:52001 </span></code></pre>`
`sudo wg-quick up wg1 </span>sudo wg-quick down wg1 </span>sudo wh show </span></code></pre>`
`sudo systemctl enable wg-quick@wg0.service </span>sudo systemctl start wg-quick@wg0.service </span>sudo systemctl status wg-quick@wg0.service </span></code></pre>`
`qrencode -t ansiutf8 < /etc/wireguard/clients/client1.conf </span></code></pre> </p>`</span></a> Aggiunta nuovi client</h2> Per aggiungere un nuovo client, conviene spengere la vpn del server (wg down), aggiungere le nuove righe al file di configurazione, e riattivare la connessione (wg up)</p> </span></a> Configurazione guidata</h3> Vedi i due frontend web suggeriti sotto per la parte server. Per la configurazione come client è sufficiente importare il file conf generato o in alternativa il qr code. Per la connessione è sufficiente utilizzare un client;</p> Su linux è possibile usare li strumenti integrati nel desktop in uso attraverso NetworkManager (kde, gnome, ecc)</li> Su windows è sufficiente scaricare il client dal sito ufficiale (https://www.wireguard.com)</li> Android Play store: https://play.google.com/store/apps/details?id=com.wireguard.android</li> Apple store: https://apps.apple.com/it/app/wireguard/id1441195209</li> </ul> </span></a> Programmi accessori (frontend)</h2> https://github.com/ngoduykhanh/wireguard-ui</li> https://github.com/wg-easy/wg-easy</li> https://github.com/subspacecloud/subspace</li> https://www.wireguardconfig.com/</li> </ul> </span></a> Funzioni avanzate</h2> </span></a> Dns</h3> Nella configurazione del client è anche possibile indicare quale server dns utilizzare</p> </span></a> Firewall per i client</h3> Nalle configurazione server è possibile aggiungere più righe di PostUp con iptables</strong>, e quindi configurare il firewall con assoluta personalizzazione: è possibile, quindi, limitare la risorse da accedere a specifici indirizzi</p> </span></a> Limitare la banda</h3> Sempre grazie ai comandi postup è possibile anche limitare, qualora si voglia, la banda passante per i client (sia in upload che ion download), ad esempio:</p> PostUp = tc qdisc add dev wg0 ingress; tc filter add dev wg1 protocol ip ingress prio 2 u32 match ip dst 0.0.0.0/0 action police </span>rate 10mbit burst 10mbit; tc filter add dev wg0 protocol ip ingress prio 2 u32 match ip src 0.0.0.0/0 action police rate 10mbit burst 10mbit </span>PostUp = tc qdisc add dev wg0 parent root handle 1: hfsc default 1; tc class add dev wg0 parent 1: classid 1:1 hfsc sc rate 10mbit ul rate 10mbit </span></code></pre> </p>