WireGuard: Vượt ra ngoài cấu hình cơ bản

 (sloonz.github.io)
3 điểm bởi GN⁺ 2024-11-25 | 1 bình luận | Chia sẻ qua WhatsApp

  • Cấu hình cơ bản

    • Chia sẻ kinh nghiệm từ nỗ lực thay thế OpenVPN bằng WireGuard.
    • Tóm tắt cấu hình cơ bản:
      • Tạo cặp khóa cho máy chủ và máy khách.
      • Chỉ định mạng VPN và địa chỉ IP.
      • Viết và chạy tệp cấu hình cho máy chủ và máy khách.
      • Có thể tách VPN và kết nối Internet bằng cách sử dụng network namespace.

  • NAT

    • Giải quyết vấn đề của một số ứng dụng không hoạt động phía sau NAT.
    • Có thể dùng UPnP để xử lý vấn đề NAT.
    • WireGuard không hỗ trợ UPnP mặc định, nên cần cấu hình thủ công.
    • Có thể thêm chức năng UPnP bằng cách cài đặt và cấu hình miniupnpd.

  • IPv6

    • Cách tốt hơn để giải quyết vấn đề NAT là không dùng NAT.
    • Có thể dùng IPv6 để cấp địa chỉ có thể định tuyến công khai mà không cần NAT.
    • Có thể gán địa chỉ IPv6 cho máy chủ và máy khách để giao tiếp mà không cần NAT.
    • Với cấu hình IPv6, có thể truy cập từ Internet công cộng mà không cần UPnP.

Bài viết liên quan

1 bình luận

 
GN⁺ 2024-11-25
Ý kiến Hacker News

  • Đang cố thiết lập máy chủ cá nhân và cung cấp các dịch vụ có thể truy cập từ web. Đã ánh xạ subdomain tới dịch vụ bằng Caddy thành công, nhưng Tailscale Magic DNS không hỗ trợ subdomain. Vì vậy muốn thiết lập pihole để tạo máy chủ DNS riêng và tự hỏi liệu đây có phải là giới hạn của Wireguard hay không

  • Đã tìm thấy một trang hữu ích khi cấu hình Wireguard: Procustodibus Wireguard Topologies

  • Nếu thiết lập bản ghi DNS động để ánh xạ hostname tới IP động của mạng gia đình thì có thể dùng VPN riêng. Nhờ đó có thể truy cập dịch vụ nội bộ từ xa mà không cần phơi ra Internet công cộng

  • Có một hiểu lầm rằng dùng Wireguard thì NAT là bắt buộc. Thực tế, nếu host đích nhận diện máy chủ Wireguard là gateway thì định tuyến subnet thông thường vẫn hoạt động tốt. Chỉ cần cấu hình static route trên router mặc định là đủ

  • Muốn biết có cuốn sách hay nào nói về nguyên lý, cách triển khai và cấu hình Wireguard không. Có nhiều sách về IPSEC nhưng sách về Wireguard thì hiếm

  • Thấy lạ khi trong Wireguard không có cách đơn giản để tunnel mọi lưu lượng ngoại trừ một IP cụ thể. Phải tạo danh sách mọi CIDR trừ IP đó theo cách lập trình

  • Thấy tiếc vì không có tính năng RBAC. Wireguard nhanh hơn OpenVPN, nhưng vì RBAC nên vẫn phải dùng OpenVPN cho nhân viên và nhà thầu

  • Đang dùng Wireguard với IPv6 nhưng tính năng prefix delegation của IPv6 không hoạt động. Muốn các thiết bị có thể tự chọn và thay đổi địa chỉ như trên subnet Ethernet thông thường

  • Không thể làm cho port forwarding trong Wireguard hoạt động đúng nếu không dùng masquerading. Để giữ nguyên source IP thì phải thêm 0.0.0.0/0 vào AllowedIPs, nhưng điều này lại cản trở phản hồi của ứng dụng quay trở về nguồn

  • Đang xây dựng hạ tầng dựa trên IPv6. Muốn tận dụng mã hóa hiện đại và thiết kế stateless của Wireguard, đồng thời vẫn giữ hệ địa chỉ IPv6 thay vì áp dụng hệ địa chỉ riêng của Wireguard