WireGuard VPN
WireGuard — şifrelenmiş verileri aktarmak ve güvenli noktadan noktaya bağlantılar oluşturmak için ücretsiz, açık kaynaklı bir yazılım uygulaması, sanal özel ağ protokolüdür (VPN).
Önemli
WireGuard VPN desteği, KeeneticOS sürüm 3.3
'ten başlayarak mevcut Keenetic cihazlar için uygulanır.
WireGuard protokolünün özellikleri ve avantajları modern, son derece uzmanlaşmış veri işleme algoritmalarının kullanımındadır. Projenin kod tabanı sıfırdan yazılmıştır ve kompakt tasarımı ile karakterizedir.
WireGuard sistem çekirdek modülünün bir parçasıdır. WireGuard bağlantısı yazılımla hızlandırılır ve çok iş parçacıklıdır, yani kararlı bir şekilde çalışabilir ve bir çekirdeğin kaynaklarını kullanabilir.
Keenetic cihaz bir VPN sunucusu veya bir VPN istemcisi olarak çalışabilir. "İstemci" ve "sunucu" terimleri, protokolün özelliklerine göre koşulludur. Ancak, genellikle sunucu bağlantıyı bekleyen bir cihazdır ve istemci bağlantıyı başlatan bir cihazdır.
Keenetic üzerindeki WireGuard VPN sunucusuna VPN istemcisi olarak bağlanırken, bir bilgisayar (Windows, Linux, macOS tabanlı), mobil bir cihazı (Android ve iOS tabanlı) veya Keenetic cihazları kullanabilirsiniz.
Keenetic'de WireGuard VPN istemcisini kullanarak, WireGuard VPN bağlantı hizmeti sağlayan bir VPN sağlayıcısına veya VPN sunucusu olarak çalışan ve yerel ağına uzaktan erişim sağlayan diğer Keenetic'e bağlanabilirsiniz.
Önemli
Keenetic cihazınızı bir VPN sunucusu olarak yapılandırmayı planlıyorsanız, önce genel bir IP adresine sahip olup olmadığını ve KeenDNS hizmetini kullanıyorsanız doğrudan erişim modunda çalışıp çalışmadığını kontrol etmelisiniz. Bu koşullardan herhangi birine uymazsanız, İnternet'ten böyle bir sunucuya bağlanamazsınız.
Keenetic yönlendiricilerdeki WireGuard protokolü aracılığıyla korumalı tüneller kurmak için 'WireGuard VPN' sistem bileşenini yüklemeniz gerekir. Bunu, web arayüz sayfasında 'Genel Sistem Ayarları' sayfasındaki 'Bileşen seçenekleri' ni tıklayarak yapabilirsiniz.
Ardından, "İnternet 2 menüsünden 'Diğer bağlantılar' sayfasında 'WireGuard' bölümünü bulacaksınız.
WireGuard arayüzünü manuel olarak yapılandırmak için 'Bağlantı Ekle' düğmesini tıklayın. Burada bağlantı ayarlarını gözden geçirmeyeceğiz, ancak bunları ayrıntılı talimatta bulabilirsiniz:
WireGuard VPN'yi iki Keenetic yönlendirici arasında yapılandırma (bu makalede VPN sunucusu yapılandırma örneği açıklanmaktadır).
WireGuard arayüz ayarlarını önceden oluşturulmuş bir yapılandırma dosyasından da içe aktarabilirsiniz. 'Dosyadan indir' düğmesini tıklayın ve ardından bilgisayarınızda önceden yapılandırılmış dosyanın yolunu seçin.
WireGuard VPN işleminin ana prensipleri:
Her WireGuard tüneli, OSI modelinin üçüncü (ağ) katmanında çalışan bir sistem arabirimidir. Trafik buna yönlendirilebilir ve IP erişim politikaları yapılandırılabilir (ağ ekranı).
WireGuard ara biriminin birkaç ana yapılandırma parametresi vardır: bunlar özel ve genel anahtar çifti, adres, dinleme bağlantı noktası.
WireGuard ara birimini oluştururken, bir çift şifreleme anahtarı oluşturmanız gerekir — Özel ve Genel, ayrıca VPN tünelinde cihazın dahili IP adresini atamanız ve VPN sunucusu tarafındaki dinleme bağlantı noktası numarasını belirlemeniz gerekir.
Özel ve Ortak anahtarlar bağlantıyı güvence altına almak için kullanılır. Bu anahtarlar üyelerin kimliğini doğrulamak için kullanılır. Ortak ve özel anahtarlar, aynı anda oluşturulan bir çift anahtardır. Kripto-grafik algoritmalar böyle bir anahtar çiftinin ortak kullanımını içerir. Her iki anahtar da bilginin şifreli kısmını '
eşleştirmelidir
'. Örneğin, şifreleme özel anahtarla yapılırsa, şifre çözme yalnızca ortak anahtarla yapılabilir.VPN tünelinin her iki tarafında şifreleme anahtarları oluşturmanız gerekir. Bağlantı kurulumu sırasında yalnızca VPN tünelinin her iki yanındaki ortak anahtarları değiştirmeniz gerekir.
Tünel arayüzünün dahili adresine gelince, özel aralıktan herhangi bir uygun adres olmalıdır, ancak Keenetic yönlendiricinin kendisindeki diğer alt ağlarla eşleşmemelidir. Bu IP adresi IP /mask biçiminde belirtilir (örn.
10.11.12.1/24
). VPN istemcisinde ve VPN sunucusunda farklı adresler ayarlanmalıdır, ancak bunlar aynı alt ağdan olmalıdır. Örneğin, sunucuda172.16.82.1/24
ve istemcide172.16.82.2/24
.VPN sunucusu tarafında dinleme bağlantı noktası numarasını belirtmeniz gerekecektir ve bu, WireGuard ara birimine gelen bağlantılar için kullanılacaktır. Rastgele bağlantı noktası numarasını ayarlayabilirsiniz (örneğin,
16632
), en önemli şey, ISS'niz tarafından engellenmemesi ve yönlendiricideki diğer hizmetlerin zaten açılmış bağlantı noktalarıyla eşleşmemesidir.Sonra eş (ler) eklemeniz gerekir. Eş, belirli bir bağlantının üyesi veya istemcisidir. Bir VPN bağlantısında, örneğin çeşitli bilgisayarlardan veya mobil cihazlardan bir VPN sunucusuna bağlanmak için birden fazla eş oluşturabilirsiniz.
Her bir eş benzersiz olarak uzak tarafın ortak anahtarı ile karakterize edilir. Aygıta genel bir anahtar, tünelin dahili IP adresini ve VPN tünelinin diğer tarafındaki eş ayarlarında izin verilen alt ağları belirtmeniz gerekir.
İzin verilen alt ağların listesi (İzin Verilen IP'ler) eş ayarlarında özel bir parametredir. Bunlar, bu eşin trafik alabileceği adres alanlarıdır (kaynak IP adresleri) ve trafiğin gönderilebileceği adreslerdir (hedef IP adresleri). Teknik olarak, bu adresler trafiği şifrelemek ve şifresini çözmek için kullanılır. Bu teknolojiye Kripto Yönlendirme denir ve WireGuard'ın temel bir özelliğidir. Herhangi bir adrese iletime izin vermek için
0.0.0.0/0
alt ağı eklemelisiniz.VPN istemcisi tarafında WireGuard VPN sunucusunun genel IP adresini veya etki alanı adını belirtmek ve VPN istemcisinin bağlanacağı dinleme bağlantı noktasını belirtmek önemlidir (örneğin,
myrouter01.keenetic.pro:16632
). VPN istemcilerinde bu alana genellikle Uzak Uç Nokta denir.Ayrıca, akran aktivitesini ayarlarında kontrol etme girişimi aralığını belirtmek gerekir. Tünelde tutma paketleri göndererek bağlantının uzak tarafının erişilebilirliğinin dahili bir kontrolüdür. Varsayılan olarak, Keenetic akran ayarlarında 'Kalıcı tutma' değeri
30 saniyedir
, ancak genellikle kontroller arasında10 veya 15 saniye
yeterlidir.Önemli
It is recommended to leave the Persistent keepalive field empty (blank) on the server side if you are setting up a server for clients to connect to. This will prevent unnecessary standby in the wait of handshake attempt to finish when a client has disconnected.
On the client side, the Persistent keepalive field should be filled with chosen value for WireGuard VPN to work properly!
WireGuard, her ağ arabirimine özel anahtar bağlamaları kullanan bir şifreleme anahtarı yönlendirme kavramına sahiptir. VPN bağlantısı, ortak anahtarlar paylaşılarak başlatılır ve SSH modeline benzer .
Şifreleme anahtarları, tünelde izin verilen VPN IP adresleri listesine atanır. Ağ ara biriminde IP adresleri listesine erişime izin verilir. Sunucu, kimliği doğrulanmış bir paketi kabul edip şifresini çözdüğünde kaynak alanı kontrol edilir. Kimliği doğrulanmış eşin "İzin Verilen IP'ler" alanında belirtilenle eşleşirse, WireGuard arabirimi paketi kabul eder. Giden bir paket gönderdiğinizde, hedef IP adresi geçerliliğini belirlemek için kontrol edilir ve uygun eş eş olarak seçilir. Daha sonra paket anahtarıyla imzalanır, eş anahtarıyla şifrelenir ve genel adrese ve eş bağlantı noktasına (Uzak Uç Noktaya) gönderilir. WireGuard arabiriminden alınan tüm IP paketleri UDP'de kapsüllenir ve diğer eşlere güvenli bir şekilde teslim edilir.
WireGuard ileri şifreleme türleri ile kullanıcı verilerini korur: Curve25519 anahtar değişimi için, ChaCha20 şifreleme için, Poly1305 veri doğrulama için SipHash karma anahtarlarını ve BLAKE2 karma için.
Kripto Yönlendirme işlemi
% 100
'e varan trafik güvenilen bir kullanıcıya izin verir ve arayüz çıkışında yüksek güvenlik ve performans sağlar.
WireGuard bağlantı ayarlarına örnekler
Keenetic'in iki yerel ağı birbirine bağlamak için VPN sunucusu ve VPN istemcisi olarak nasıl yapılandırılacağı hakkında ayrıntılı talimatları bulabilirsiniz:
WireGuard ile çalışabilecek VPN sağlayıcılarıyla bağlantı kurmak için talimatlara bakın:
WireGuard protokolü ile Keenetic yönlendiriciye bağlanmak için Android ve iOS tabanlı mobil cihazları kullanabilirsiniz:
Veya Windows, Linux, macOS tabanlı bilgisayarları kullanabilirsiniz:
Bazen, WireGuard aracılığıyla Keenetic yönlendiriciye bağlı istemcilerin bu VPN tüneli üzerinden İnternet'e erişmesini istersiniz. Ek yapılandırma yapmanız gerekecektir, lütfen makaleye bakın: