內(nèi)網(wǎng)穿透之wireguard組網(wǎng)

1、內(nèi)網(wǎng)穿透之 wireguard組網(wǎng)演講人：xxx目錄CONTENTS1324背景內(nèi)網(wǎng)穿透wireguard方法wireguard優(yōu)勢(shì)為了滿足部分對(duì)數(shù)據(jù)量要求大且對(duì)數(shù)據(jù)存儲(chǔ)方便的人，一般會(huì)使用以下的幾種 方式來(lái)存儲(chǔ)數(shù)據(jù)：數(shù)據(jù)存儲(chǔ)的方式：隨身攜帶存儲(chǔ)設(shè)備移動(dòng)硬盤U盤網(wǎng)盤百度網(wǎng)盤阿里云盤其他網(wǎng)盤局域網(wǎng)存儲(chǔ)服務(wù)個(gè)人搭建的家庭 NAS（只有家里的 網(wǎng)絡(luò)環(huán)境下，才能使 用的存儲(chǔ)系統(tǒng)）在我國(guó)，由于網(wǎng)民眾多，運(yùn)營(yíng)商無(wú)法保證為每 一個(gè)寬帶用戶提供全球唯一的公網(wǎng)IPv4地址。 因此很多用戶會(huì)發(fā)現(xiàn)通過(guò)路由器端查看到的 WAN端IP與百度“IP”關(guān)鍵詞所得到的IP不一 致，并且前者的IP為一個(gè)私有IP?；ヂ?lián)網(wǎng)迅速發(fā)展

2、，節(jié)點(diǎn)數(shù)量急劇增長(zhǎng)，原來(lái)設(shè) 計(jì)的IP地址位數(shù)不夠了（IPv4中規(guī)定IP地址長(zhǎng) 度為32，共有232-1個(gè)地址），但它已經(jīng)被 廣泛應(yīng)用，是現(xiàn)在互聯(lián)網(wǎng)的基礎(chǔ)，想擴(kuò)容也不 是一蹴而就的事（IPv6就是升級(jí)版，但目前還 不是主流）。網(wǎng)絡(luò)現(xiàn)狀：目錄CONTENTS1324背景內(nèi)網(wǎng)穿透wireguard方法wireguard優(yōu)勢(shì)內(nèi)網(wǎng)和外網(wǎng)內(nèi)網(wǎng)：是內(nèi)部建立的局域網(wǎng)絡(luò) 或辦公網(wǎng)絡(luò)外網(wǎng)：外網(wǎng)就不經(jīng)路由器或交 換機(jī)就可以上網(wǎng)的網(wǎng)絡(luò)，可以 直接被外界所訪問(wèn)到。無(wú)需經(jīng) 如何設(shè)備，直接連接電腦。內(nèi)網(wǎng)穿透內(nèi)網(wǎng)穿透：就是可以讓你 的局域網(wǎng)中的電腦實(shí)現(xiàn)外 網(wǎng)訪問(wèn)功能內(nèi)網(wǎng)穿透的實(shí)現(xiàn)方式DDNS（動(dòng)態(tài)域名解析）：一 般的用戶可以

3、和運(yùn)營(yíng)商溝通， 運(yùn)營(yíng)商了解的你訴求后，會(huì)給 你分配一個(gè)動(dòng)態(tài)的公網(wǎng)ip只要 你沒(méi)有重啟或重?fù)?，這個(gè)ip就 只有你可以用，但是不支持80 和443端口；通過(guò)一臺(tái)公網(wǎng)服務(wù)器做轉(zhuǎn)發(fā)： 需要你自己購(gòu)買一臺(tái)具有公網(wǎng)ip 的服務(wù)器，通過(guò)不同的技術(shù)手 段來(lái)實(shí)現(xiàn)內(nèi)網(wǎng)穿透。目錄CONTENTS1324背景內(nèi)網(wǎng)穿透wireguard方法wireguard優(yōu)勢(shì)wireguard簡(jiǎn)介WireGuard是一款極其簡(jiǎn)單但快速的現(xiàn)代VPN，它利用了最先進(jìn)的加密技術(shù)。它的目標(biāo)是比IPsec更快、更簡(jiǎn)單、更精簡(jiǎn)、更有用，它要比OpenVPN有更高的性 能。WireGuard也是一種通用VPN，適用于多種不同的環(huán)境。它最初是為L(zhǎng)i

4、nux內(nèi)核 發(fā)布的，現(xiàn)在是跨平臺(tái)的（Windows、macOS、BSD、iOS、Android），并且 可以廣泛部署。它目前正在大力開(kāi)發(fā)中，但已經(jīng)被認(rèn)為是業(yè)界最安全、最易使用、 最簡(jiǎn)單的VPN解決方案wireguard簡(jiǎn)介在Linux中，加密隧道的標(biāo)準(zhǔn)解決方案是IPsec，它使用Linux轉(zhuǎn)換(“xfrm”)層WireGuard沒(méi)有提供復(fù)雜的IPsec和xfrm層，而是提供了一個(gè)虛擬接口(例如wg0)，然后可以使用標(biāo)準(zhǔn)的ip和ifconfig實(shí)用程序?qū)ζ溥M(jìn)行管理。使用私鑰(以及可選的預(yù)共享對(duì) 稱密鑰和它將安全通信的對(duì)等點(diǎn)的各種公鑰配置接口之后，隧道就簡(jiǎn)單地工作了。與 IPsec相比，WireG

5、uard簡(jiǎn)單明了，不容易發(fā)生災(zāi)難性故障和配置錯(cuò)誤。wireguard加密機(jī)制WG 使用的 ECDH 是 DH 算法 的變種，使用了橢圓曲線來(lái)增強(qiáng) 性能和安全性。通過(guò) DH 算法，網(wǎng)絡(luò)的兩端可以 在不安全的網(wǎng)絡(luò)中協(xié)商出來(lái)用來(lái) 加密要傳輸?shù)臄?shù)據(jù)的密鑰。之后， 數(shù)據(jù)流就可以用這個(gè)密鑰進(jìn)行高 效地做對(duì)稱加密。Martin E Hellman，Bailey W Diffie 和 Ralph C. Merklewireguard如何路由流量端到端直接連接：這是最簡(jiǎn)單的拓?fù)?，所有的?jié)點(diǎn)要么在同一個(gè)局域網(wǎng)，要么直接通過(guò)公網(wǎng)訪問(wèn)，這樣 WireGuard 可以直接連接到對(duì)端，不需要中繼跳轉(zhuǎn)。一端位于 NAT 后

6、面，另一端直接通過(guò)公網(wǎng)暴露：這種情況下，最簡(jiǎn)單的方案是：通過(guò)公網(wǎng)暴露的一端作為服務(wù)端，另一端指定服務(wù)端 的公網(wǎng)地址和端口，然后通過(guò) persistent-keepalive 選項(xiàng)維持長(zhǎng)連接，讓 NAT 記得 對(duì)應(yīng)的映射關(guān)系。兩端都位于 NAT 后面，通過(guò)中繼服務(wù)器連接：大多數(shù)情況下，當(dāng)通信雙方都在 NAT 后面的時(shí)候，NAT 會(huì)做源端口隨機(jī)化處理，直 接連接可能比較困難?？梢约右粋€(gè)中繼服務(wù)器，通信雙方都將中繼服務(wù)器作為對(duì)端， 然后維持長(zhǎng)連接，流量就會(huì)通過(guò)中繼服務(wù)器進(jìn)行轉(zhuǎn)發(fā)。WireGuard穿透預(yù)期效果圖wireguard搭建流程1432環(huán)境搭建流量轉(zhuǎn)發(fā)peer節(jié)點(diǎn)搭建中繼服務(wù)器搭建第一步：環(huán)

7、境搭建這里簡(jiǎn)單介紹下centos7中如何安裝wireguardsudo yum install epel-release elrepo-releasesudo yum install yum-plugin-elreposudo yum install kmod-wireguard wireguard-tools第二步：中繼服務(wù)器搭建1. 生成服務(wù)器端密鑰 cd /etc/wireguard/ umask 077wg genkey | tee server_private_key | wg pubkey server_public_key2. 創(chuàng)建服務(wù)器配置文件vi /etc/wireguard

8、/wg0.conf 文件內(nèi)容為：InterfaceAddress = 10.0.0.1/24 SaveConfig = truePrivateKey = 服務(wù)器的私鑰（在服務(wù)器上生 成的server_private_key文件）ListenPort = 51820第三步：peer1客戶端搭建客戶創(chuàng)建密匙和服務(wù)端一樣，這里只貼出來(lái)，配置文件的內(nèi)容InterfaceAddress = 10.0.0.2/32 PrivateKey = 客戶端的私鑰 DNS = 10.0.0.1PeerPublicKey = 服務(wù)器的公鑰Endpoint = 服務(wù)器的物理ip地址:51820 AllowedIPs =

9、 0.0.0.0/0 PersistentKeepalive = 25第三步：peer2客戶端搭建：InterfaceAddress = 10.0.0.3/32 PrivateKey = 客戶端的私鑰 DNS = 10.0.0.1PeerPublicKey = 服務(wù)器的公鑰Endpoint = 服務(wù)器的物理ip地址:51820 AllowedIPs = 0.0.0.0/0 PersistentKeepalive = 25第四步：添加流量轉(zhuǎn)發(fā)cd /etc/wireguard vim wg0.confPostUp = iptables -A FORWARD -i %i -j ACCEPT; ip

10、tables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o wg0-j MASQUERADEPostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o wg0-j MASQUERADE目錄CONTENTS1324背景內(nèi)網(wǎng)穿透wireguard方法wireguard優(yōu)勢(shì)WireGuard的優(yōu)勢(shì)：更輕便：以Linux內(nèi)核模塊的形式運(yùn)行，資源占用小。更高效：相比目前主流的IPSec、OpenVirtual Private Network等協(xié)議， WireGuard的效率要更高。更快速：比目前主流的Vi