• Открыта запись на вторую часть курса по анонимности и безопасности в сети интернет "Paranoid II" от команды codeby. Анонимные роутеры, Подъём, настройка и администрирование Tor-ноды, Работа с железом ПК, Удаление аппаратных закладок, Минимизация рисков, Авторские разработки и многое другое. Подробнее ...

Soft Wireguard на Kali

ghost

ghost

YW1uZXNpYQo=
Gold Team
12.05.2016
1 535
3 096
Wireguard на Kali


Мы в последнее время много слышали о и с его недавнего добавления в репозитории Kali, думаем, что мы бы могли дать ему шанс, чтобы увидеть, с чём связана вся эта суета. Мы обнаружили, что это действительно красивое и быстрое в настройке VPN-решение и стоит быть проверенным.

Приступая к работе

С добавлением в репозитории Wireguard, его установка легка и приятна:

Код:
apt install wireguard resolvconf
Далее приходит время для конфигурации.

На сервере мы должны создать пару открытого и закрытого ключей и настроить файл начальной конфигурации.

Код:
wg genkey | tee privatekey | wg pubkey > publickey
umask u=rwx,go= && cat > /etc/wireguard/wg0.conf << EOF
[Interface]
Address = 10.222.222.1/24
SaveConfig = true
ListenPort = 51820
PrivateKey = -SERVER PRIVATE KEY-

[Peer]
PublicKey = -CLIENT PUBLIC KEY-
AllowedIPs = 10.222.222.2/32
EOF
И мы делаем тот же процесс на клиенте, чтобы создать пару ключей и конфигурацию.

Код:
wg genkey | tee privatekey | wg pubkey > publickey
umask u=rwx,go= && cat /etc/wireguard/wg0.conf  << EOF
[Interface]
Address = 10.222.222.2/32
PrivateKey = -CLIENT PRIVATE KEY-
DNS = 8.8.8.8

[Peer]
PublicKey = -SERVER PUBLIC KEY-
Endpoint = public.ip.of.server:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 21
EOF
Это довольно простые файлы конфигурации, но стоит отметить несколько вещей. Во-первых, вы очевидно должны поместить выходные данные из пары ключей в конфиги при необходимости. Кроме того, линии DNS на стороне клиента должна помочь предотвратить утечки DNS с использованием местного DNS-сервера по умолчанию. Вы можете/не можете изменять это в зависимости от ваших потребностей.

Однако, самым важным является строка "AllowedIPs". Это будет контролировать, что делают IP или не идти через VPN. В этом случае мы настроим клиент для всей маршрутизации через VPN-сервер. Мы будет играть с этой настройкой ещё немного, но давайте посмотрим на получение этой рабочей базовой конфигурации.

Чтобы запустить и остановить туннель, достаточно:

Код:
# The VPN can be enabled using
wg-quick up wg0
# To disable the VPN:
wg-quick down wg0
# Information about the connection can be retrieved with following command:
wg show
И, конечно же, нам нужно включить маскировку и переадресацию IP на сервере.

Код:
/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
Так, теперь у нас есть традиционные VPN конфигурации. Если вы ищете, как просто получить стандартной установки VPN, в этот момент вы это сделали. Есть несколько преимуществ этого, по сравнению с использованием OpenVPN. Например, это решение, как представляется, гораздо быстрее, config намного проще, и это немного более приватный способ в том, что сервер не будет отвечать на пакеты, которые не имеют надлежащей пары ключей, связанных с ними.

Wireguard of DOOM!

Во-первых, на нашем клиенте давайте быстро настроим маскировку и переадресацию IP:

Код:
/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
Прекрасно, после этого мы сделаем пару незначительных изменений в нашем файле конфигов. Во-первых, на сервере мы изменим строку "AllowedIPs". Это будет выглядеть следующим образом:

Код:
[Interface]
Address = 10.222.222.1/24
SaveConfig = true
ListenPort = 51820
PrivateKey = -SERVER PRIVATE KEY-

[Peer]
PublicKey = -CLIENT PUBLIC KEY-
AllowedIPs = 10.200.200.2/32, 192.168.2.0/24
После изменения одной строки на сервере мы затем должны настроить строку клиентов "AllowedIPs", чтобы удалить все параметры для маршрутизации на VPN-сервер.

Код:
[Interface]
Address = 10.200.200.2/32
PrivateKey = -CLIENT PRIVATE KEY-
DNS = 8.8.8.8

[Peer]
PublicKey = -SERVER PUBLIC KEY-
Endpoint = public.ip.of.server:51820
AllowedIPs = 10.200.200.0/24
PersistentKeepalive = 21
И вот оно!

Код:
root@kali:~# ping 192.168.2.22
PING 192.168.2.22 (192.168.2.22) 56(84) bytes of data.
64 bytes from 192.168.2.22: icmp_seq=19 ttl=63 time=50.2 ms
64 bytes from 192.168.2.22: icmp_seq=20 ttl=63 time=53.4 ms
64 bytes from 192.168.2.22: icmp_seq=21 ttl=63 time=48.1 ms
Теперь VPN-сервер может получить доступ к подсети на другой стороне Wireguard VPN.

Подводя итоги

Время покажет, заменит ли Wireguard собой OpenVPN при выборе VPN или это самый последний хайп и просто волнение с использованием новейшей игрушки. В любом случае хорошо, что имеется возможность проверить, как хорошо это подходит. Как мы видели здесь, Wireguard определенно легко установить и он относительно универсален для пользователя.

Источник:
 
z3r0c10wn

z3r0c10wn

Grey Team
04.09.2017
139
276
Жду имплементации в ядре BSD. Проект интересный - они обещали драйвер ядра для BSD
 
  • Нравится
Реакции: ghost

⚡️absolute❤evil⚡️

Чёт, я не понял ))
А на практике вся эта, с вашего позволения, игрушка имеет применение в настоящий момент ?
Я в данный момент пишу эти строки находясь в Кали ))
И могу "не отходя от кассы" набрать в терминале эти несколько команд ))
Имеется реальный сервер, куда можно подключаться ?

По ссылке в статье, то есть на сайте разработчиков, имеется какой-то .
Эта программа, сервис и протокол только на стадии тестирования ?
 
K

karencho

Happy New Year
22.06.2018
94
3
доброе время суток, я правильно понял значит нужен кали линукс плюс какой-то сервер, нужно два компа чтоб получить впн? а чем это лучше обычного впн сервиса?
 
Night Hunter

Night Hunter

Well-known member
13.01.2018
283
279
доброе время суток, я правильно понял значит нужен кали линукс плюс какой-то сервер, нужно два компа чтоб получить впн? а чем это лучше обычного впн сервиса?
Да, тоже самое, что и с OpenVPN. Насколько я помню, wireguard, быстрее и защищённее чем OVPN.
 
  • Нравится
Реакции: karencho
K

karencho

Happy New Year
22.06.2018
94
3
а как Вы думаете что лучше впн -> тор или тор-> впн?
 
K

karencho

Happy New Year
22.06.2018
94
3
Смотря для каких целей...
Лучше будет VPN - Tor - VPN
а в таком случае скорость будет плохой?

кстати нашел сервис бесплатный впн на основе этого протокола вот кому нужно :
 
ghost

ghost

YW1uZXNpYQo=
Gold Team
12.05.2016
1 535
3 096
а в таком случае скорость будет плохой?
Всё зависит от скорости VPN1, суммарной скорости каждого из ТРЁХ Tor узлов и скорости VPN2 соответственно.
Естественно скорость при такой связке будет проседать. Но Вам же не на котиков на ютубе смотреть? ))
З.Ы. Хотите скоростей - поднимайте всё сами. Свои ДВА VPN... Свой ТРИ Tor ноды... И будет Вам счастье...
По другому к сожалению никак.
 
  • Нравится
Реакции: Глюк
K

karencho

Happy New Year
22.06.2018
94
3
а как поднять все сампму? вот допустим я употребляю кали... у меня есть норд впн потом тор и третий который мне очень нравится Vypr VPN или не обязательно чтоб два впн-а было бы?
 
ghost

ghost

YW1uZXNpYQo=
Gold Team
12.05.2016
1 535
3 096
а как поднять все сампму? вот допустим я употребляю кали... у меня есть норд впн потом тор и третий который мне очень нравится Vypr VPN или не обязательно чтоб два впн-а было бы?
Всё зависит от того для чего нужна вам эта связка...
 
K

karencho

Happy New Year
22.06.2018
94
3
д;я всего ппентеста и анонимности в сети
 
mrOkey

mrOkey

Red Team
14.11.2017
624
718
З.Ы. Хотите скоростей - поднимайте всё сами. Свои ДВА VPN... Свой ТРИ Tor ноды... И будет Вам счастье...
По другому к сожалению никак.
Надо ещё сказать что это в пять раз больше контроля, человеку, который «употребляет кали» и не имеет понятия как от триплы просядет скорость с этим сложно совладать)

Бтв, @ghost разве будет профит от трёх своих нод тор ведь только на выходной трафик расшифровывает ( судя по спеке )
 
  • Нравится
Реакции: ghost и centr
ghost

ghost

YW1uZXNpYQo=
Gold Team
12.05.2016
1 535
3 096
Бтв, @ghost разве будет профит от трёх своих нод тор ведь только на выходной трафик расшифровывает ( судя по спеке )
Естественно будет. На промежуточных нодах, если они свои - сам скорость контролируешь.
А если они публичные - скорость может попасться черепашья соответствующая... ))
 
  • Нравится
Реакции: mrOkey
mrOkey

mrOkey

Red Team
14.11.2017
624
718
Естественно будет. На промежуточных нодах, если они свои - сам скорость контролируешь.
А если они публичные - скорость может попасться черепашья соответствующая... ))
я немного о другом говорил, ну да ладно)
 
  • Нравится
Реакции: ghost
K

karencho

Happy New Year
22.06.2018
94
3
можно узнать как насторить такую связку?
 
ghost

ghost

YW1uZXNpYQo=
Gold Team
12.05.2016
1 535
3 096
можно узнать как насторить такую связку?
К сожалению нет. Не обессудьте.
Потому что для реализации такой связки нужны познания линукс уровня выше среднего.
А разъяснить всё по этой теме для новичка, только пришедшего с винды - недели не хватит))
Да и вообще мы говорили о Wireguard на Kali, а ушли в какие то дебри...
 
  • Нравится
Реакции: karencho
K

karencho

Happy New Year
22.06.2018
94
3
Значит будем учиться далее))) спасибо
 
  • Нравится
Реакции: ghost
N

n3wt0n

New member
27.08.2018
1
1
  • Нравится
Реакции: karencho
Мы в соцсетях:  ТелеграмВконтактеДзенФейсбукТвиттерЮтуб