#282 - WireGuard: el VPN más moderno

DoH 10 de feb. de 2020

  • Status Servicios PLEX

  • Guardar mails con Spark como tareas en Things , abandoné “posponer mensaje”

  • Secure Shellfish

  • Recomendación de uno de los mejores podcasts de Tecnología (bajo mi punto de vista)

“Sobre la marcha”

El episodio que apunta el bueno de Gabriel :
Bits por centímetro y megahertzios por kilo by sobre la marcha • A podcast on Anchor

Qué he probado:

* VPN OpenVPN
* VPN Synology
* VPN WireGuard, sin duda, el más rápido !

Algunos enlaces de interés:

Who drains more battery? WireGuard vs OpenVPN
WireGuard VPN: What You Need to Know (Still NOT Ready?)
WireGuard VPN: Instalación y configuración de servidor y clientes VPN

WireGuard

  • Más rápido que IPsec y OpenVPN
  • Criptografía más moderna frente a métodos más clásicos de OpenVPN (OpenVPN tiene ya 17 años de vida)
  • Multiplataforma
  • Más seguro
  • Este software está diseñado para poder realizar roaming de manera fácil y rápida, si nuestro dispositivo cambia de redes, y lógicamente cambia de IP pública, como por ejemplo cuando pasamos de la red Wi-Fi y la red 4G/LTE de nuestro operador, la conexión VPN seguirá levantada porque se volverán a autenticar rápidamente con el servidor VPN, de tal forma que siempre estaremos conectados a la VPN.
  • Pocas líneas de código -> facilita su auditoría (3700 líneas vs 600.000 de OpenVPN)
  • Solo soporta protocolo UPD y no usa 443 (contra) -> El protocolo es considerado como productos WIP

Bienvenida WireGuard. Adiós OpenVPN - El atareao

El Throughput de una red es el ratio de datos exitosamente recibidos en una conexión de red. A más rate, más rápida y mejor es la conexión (al menos en teoría)

Cómo Funciona

Bienvenida WireGuard. Adiós OpenVPN - El atareao

Si tengo dos dispositivos un cliente A y un servidor B. El proceso es el siguiente :

Si quiero enviar de A a B:

  • Compruebo que se corresponde con un dispositivo de la red WireGuard. En su caso lo envío siguiendo este procedimiento.
  • Cifro el paquete con la clave pública de B.
  • Envío el paquete cifrado al endpoint B definido por una dirección IP o hostname, y un puerto UDP.

Cuando el dispositivo llega a B :

  • Como está cifrado con su clave pública del servidor, B simplemente tiene que descifrar el paquete con su clave privada.
  • Una vez descifrado, comprueba quien se lo ha enviado, y si es de los dispositivos autorizados.

Consumo de Batería Respecto a OpenVPN y otras cosas a tener en cuenta.

Dejo algunos enlaces que he consultado:

  1. Xeovo
  2. Discusion en Reddit
  3. Restore Privacy
  4. VPNPranks

Instalación en Raspberry 4 Buster

(Extraído de aquí)


[email protected]:~ $ echo "deb http://deb.debian.org/debian/ unstable main" | sudo tee --append /etc/apt/sources.list.d/unstable.list
deb http://deb.debian.org/debian/ unstable main

[email protected]:~ $ sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 04EE7237B7D453EC
Executing: /tmp/apt-key-gpghome.buGYeUegil/gpg.1.sh --keyserver keyserver.ubuntu.com --recv-keys 04EE7237B7D453EC
gpg: key E0B11894F66AEC98: 13 signatures not checked due to missing keys
gpg: key E0B11894F66AEC98: public key "Debian Archive Automatic Signing Key (9/stretch) " imported
gpg: Total number processed: 1
gpg:               imported: 1


[email protected]:~ $ printf 'Package: *\nPin: release a=unstable\nPin-Priority: 150\n' | sudo tee --append /etc/apt/preferences.d/limit-unstable
Package: *
Pin: release a=unstable
Pin-Priority: 150

[email protected]:~ $ sudo apt update
Hit:1 http://deb.debian.org/debian unstable InRelease
Hit:2 http://archive.raspberrypi.org/debian buster InRelease                                                                                 
Hit:3 http://raspbian.raspberrypi.org/raspbian buster InRelease                                                                              
Reading package lists... Done
Building dependency tree       
Reading state information... Done
All packages are up to date.

[email protected]:~ $ sudo apt install wireguard -y
Reading package lists... Done

DKMS: install completed.
Setting up wireguard-tools (0.0.20190702-1) ...
Setting up wireguard (0.0.20190702-1) ...
Processing triggers for man-db (2.8.5-2) ...

Activando IP Forwarding

[email protected]:~ $ cd /etc
[email protected]:/etc $ ls -l sysctl*
-rw-r--r-- 1 root root 2683 Apr  8 06:56 sysctl.conf

sysctl.d:
total 8
-rw-r--r-- 1 root root  51 Nov 26  2018 98-rpi.conf
lrwxrwxrwx 1 root root  14 Apr  8 07:51 99-sysctl.conf -> ../sysctl.conf
-rw-r--r-- 1 root root 639 May 17  2018 README.sysctl

Hay que ver /etc/sysctl.d/99-sysctl.conf es un enlace simbólico a /etc/sysctl.conf. Será suficiente editar el último para habilitar el reenvío de paquetes IP.

[email protected]:/etc $ sudo nano sysctl.conf

Y simplemente se descomenta esta línea (eliminar la # )

# Uncomment the next line to enable packet forwarding for IPv4
net.ipv4.ip_forward=1

Recuerda, control X para salir ( y pulsar Y para salvar cambios claro)

Ahora hace falta rebotar la Raspberry:

[email protected]:~ $ sudo reboot
Connection to raspberrypi.local closed by remote host.
Connection to raspberrypi.local closed.
...
[email protected]:~$ ssh [email protected]
...
...
[email protected]:~ $ sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1

Instalamos User Management Script (que facilita la creación de las claves públicas y privadas) :

(extraído de aquí: User management with Wireguard User Management Script · adrianmihalko/raspberrypiwireguard Wiki · GitHub)

[email protected]:~ $ sudo apt-get install git qrencode
[email protected]:~ $ git clone https://github.com/adrianmihalko/wg_config.git
Cloning into ‘wg_config’…
remote: Enumerating objects: 17, done.
remote: Counting objects: 100% (17/17), done.
remote: Compressing objects: 100% (15/15), done.
remote: Total 17 (delta 4), reused 10 (delta 1), pack-reused 0
Unpacking objects: 100% (17/17), done.

Para generar las Server Keys:

[email protected]:~ $ cd wg_config
[email protected]:~/wg_config $ wg genkey | tee server_private.key | wg pubkey > server_public.key
[email protected]:~/wg_config $ cat server_private.key
aA+iKGr4y/j604LtNT+MQJ76Pvz5Q5E+qQBLW40wXnY=
[email protected]:~/wg_config $ cat server_public.key
5lFoBBjeLcJWC9xqS/Kj9HVwd0tRUBX/EQWW2ZglbDs=

#Estas Keys deben copiarse ya que serán usadas posteriormente.

Editamos los parámetros de la plantilla del server:

[email protected]:~/wg_config $ cp wg.def.sample wg.def
[email protected]:~/wg_config $ nano wg.def
_INTERFACE=wg0
_VPN_NET=10.10.10.0/24
_SERVER_PORT=51820
_SERVER_LISTEN=your.publicdns.com:$_SERVER_PORT
_SERVER_PUBLIC_KEY=5lFoBBjeLcJWC9xqS/Kj9HVwd0tRUBX/EQWW2ZglbDs=
_SERVER_PRIVATE_KEY=aA+iKGr4y/j604LtNT+MQJ76Pvz5Q5E+qQBLW40wXnY=

Editamos la plantilla de los clientes:

[email protected]:~/wg_config $ nano client.conf.tpl
[Interface]
Address = $_VPN_IP
PrivateKey = $_PRIVATE_KEY
#Si quieres usar un servidor DNS
DNS = 192.168.1.10
[Peer]
PublicKey = $_SERVER_PUBLIC_KEY
AllowedIPs = 0.0.0.0/32, 192.168.1.0/24
Endpoint = $_SERVER_LISTEN

192.168.1.0/24 es la subred de la LAN que tengo en casa, si la añades, entonces puedes acceder alos distintos elementos de la red desde el cliente.

Editamos la plantilla del server:

[email protected]:~/wg_config $ nano server.conf.tpl

[Interface]
Address = $_SERVER_IP
ListenPort = $_SERVER_PORT
PrivateKey = $_SERVER_PRIVATE_KEY
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o wlan0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o wlan0 -j MASQUERADE

Ojo ! Cambiar wlan0 por eth0 si la rasp está conecatada por cable a la red !
Una manera de verlo es usar :

[email protected]:~/ip a

Creamos un fichero de configuración nuevo:

[email protected]:~/wg_config $ cd ..
[email protected]:~ $ sudo touch /etc/wireguard/wg0.conf

Esto solo se hace un avez, el script "User management" lo actualizará cada vez que sea usado para añadir o quitar usuarios.# Start / Stop la interface de WireGuard manualmente:

[email protected]
raspberrypi:~ $ sudo wg-quick up wg0
[#] ip link add wg0 type wireguard
[#] wg setconf wg0 /dev/fd/63
[#] ip link set mtu 1420 up dev wg0

[email protected]:~ $ sudo wg-quick down wg0
[#] ip link delete dev wg0
[#] iptables -D FORWARD -i wg0 -j ACCEPT; iptables -D FORWARD -o wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERAD

Comprobar el estado del server :

[email protected]:~ $ sudo systemctl status [email protected][email protected] - WireGuard via wg-quick(8) for wg0
   Loaded: loaded (/lib/systemd/system/[email protected]; enabled; vendor preset: enabled)
   Active: active (exited) since Fri 2019-03-05 16:50:49 ADT; 20min ago
     Docs: man:wg-quick(8)
           man:wg(8)
           https://www.wireguard.com/
           https://www.wireguard.com/quickstart/
           https://git.zx2c4.com/WireGuard/about/src/tools/man/wg-quick.8
           https://git.zx2c4.com/WireGuard/about/src/tools/man/wg.8
  Process: 378 ExecStart=/usr/bin/wg-quick up wg0 (code=exited, status=0/SUCCESS)
 Main PID: 378 (code=exited, status=0/SUCCESS)

Jul 03 16:48:58 domo systemd[1]: Starting WireGuard via wg-quick(8) for wg0…
Jul 03 16:50:46 domo wg-quick[378]: [#] ip link add wg0 type wireguard
Jul 03 16:50:46 domo wg-quick[378]: [#] wg setconf wg0 /dev/fd/63
Jul 03 16:50:47 domo wg-quick[378]: [#] ip address add 192.168.99.1/24 dev wg0
Jul 03 16:50:47 domo wg-quick[378]: [#] ip link set mtu 1420 up dev wg0
Jul 03 16:50:49 domo systemd[1]: Started WireGuard via wg-quick(8) for wg0.
  
[email protected]:~ $ sudo wg
interface: wg0
  listening port: 54130

Añadimos el primer “usuario” (iphone por ejemplo:

[email protected]:~ $ cd wg_config
[email protected]:~/wg_config $ sudo ./user.sh -a iphone7
[QR CODE HERE]

Ahora escaneas el código QR desde el móbil y ya está !

Para Eliminar “usuarios”

[email protected]:~/wg_config $ sudo ./user.sh -d iphone7

Para explorar el directorio de usuarios:

[email protected]:~/wg_config $ cd users/client1/
[email protected]:~/wg_config $ ls
client1.png  client.conf  privatekey  publickey
[email protected]:~/wg_config $ cat client.conf
[Interface]
Address = 10.10.10.2/24
PrivateKey = gFSP5e8ta66tnwFOe1G4BDEikMkdfOiQ/OoYal2lv14=

[Peer]
PublicKey = 5lFoBBjeLcJWC9xqS/Kj9HVwd0tRUBX/EQWW2ZglbDs=
AllowedIPs = 10.10.10.1/32, 192.168.1.0/24
Endpoint = your.publicdns.com:51820

Reiniciamos WireGuard:

[email protected]:~/wg_config $ sudo wg-quick down wg0
[#] ip link delete dev wg0
[#] iptables -D FORWARD -i wg0 -j ACCEPT; iptables -D FORWARD -o wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
iptables: Bad rule (does a matching rule exist in that chain?).
[email protected]:~/wg_config $ sudo wg-quick up wg0

Para que al reiniciar nuestra Rasp el servicio se levante :

[email protected]:~/wg_config $ sudo systemctl enable [email protected]
Created symlink /etc/systemd/system/multi-user.target.wants/[email protected] → /lib/systemd/system/[email protected]

Otros Links de Interés

Tarjeta Curve ya está en Apple Pay !

Mi código para que os regalen 5 libras a ti y 5 para mi !

D6AP2ALE

Sed [email protected] !

Te dejo mi enlace de afiliado por si haces una compra en Amazon y quieres ayudarme a financiar este podcast.
Gracias por adelantado

https://amzn.to/2l4uWDR

Métodos de contacto:

Sígueme en Twitter:
@bateria2x100

Web de Batería 2x100 con todos los programas y notas:
Bateria2x100

Etiquetas

Frank

Recomendado para ti