vpn | Glatos.RU

Ставим wireguard на сервере:

apt install -y wireguard

1	apt install -y wireguard

Генерим ключи сервера:

wg genkey | tee /etc/wireguard/privatekey | wg pubkey | tee /etc/wireguard/publickey

1	wg genkey \| tee /etc/wireguard/privatekey \| wg pubkey \| tee /etc/wireguard/publickey

Проставляем права на приватный ключ:

chmod 600 /etc/wireguard/privatekey

1	chmod 600 /etc/wireguard/privatekey

С помощью «ip a» проверим название интерфейса (enp0s3) и создадим для него конфиг:

nano /etc/wireguard/wg0.conf

1	nano /etc/wireguard/wg0.conf

[Interface]
PrivateKey = privatekey # вставить ключ
Address = 10.0.0.1/24
ListenPort = 55555 #udp
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o enp0s3 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o enp0s3 -j MASQUERADE

[Interface]

PrivateKey = privatekey # вставить ключ

Address = 10.0.0.1/24

ListenPort = 55555 #udp

PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o enp0s3 -j MASQUERADE

PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o enp0s3 -j MASQUERADE

Включаем IP форвардинг:

echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
sysctl -p

1 2	echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf sysctl -p

Включаем systemd демон с wireguard:

systemctl enable wg-quick@wg0.service
systemctl start wg-quick@wg0.service

1 2	systemctl enable wg-quick@wg0.service systemctl start wg-quick@wg0.service

Создаём ключи клиента:

sudo wg genkey | tee /etc/wireguard/client1_privatekey | wg pubkey | tee /etc/wireguard/client1_publickey

1	sudo wg genkey \| tee /etc/wireguard/client1_privatekey \| wg pubkey \| tee /etc/wireguard/client1_publickey

Добавляем клиента в конфиг сервера:

nano /etc/wireguard/wg0.conf

1	nano /etc/wireguard/wg0.conf

[Peer]
PublicKey = client1_publickey # ключ клиента
AllowedIPs = 10.0.0.2/32

[Peer]

PublicKey = client1_publickey # ключ клиента

AllowedIPs = 10.0.0.2/32

Перезагружаем systemd сервис с wireguard:

systemctl restart wg-quick@wg0

1	systemctl restart wg-quick@wg0

Клиент

На локальной машине (например, на ноутбуке) создаём текстовый файл с конфигом клиента:

nano  client1_wg.conf

1	nano client1_wg.conf

[Interface]
PrivateKey = &lt;CLIENT-PRIVATE-KEY>
Address = 10.0.0.2/32
DNS = 8.8.8.8

[Peer]
PublicKey = &lt;SERVER-PUBKEY>
Endpoint = &lt;SERVER-IP>:55555
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 20

[Interface]

PrivateKey = <CLIENT-PRIVATE-KEY>

Address = 10.0.0.2/32

DNS = 8.8.8.8

[Peer]

PublicKey = <SERVER-PUBKEY>

Endpoint = <SERVER-IP>:55555

AllowedIPs = 0.0.0.0/0

PersistentKeepalive = 20

Здесь <CLIENT-PRIVATE-KEY> заменяем на приватный ключ клиента, то есть содержимое файла /etc/wireguard/goloburdin_privatekey на сервере. <SERVER-PUBKEY> заменяем на публичный ключ сервера, то есть на содержимое файла /etc/wireguard/publickey на сервере. <SERVER-IP> заменяем на IP сервера.

Ограничение скорости на сервере

Outbound limit:

sudo tc qdisc add dev wg0 parent root handle 1: hfsc default 1
sudo tc class add dev wg0 parent 1: classid 1:1 hfsc sc rate 10mbit ul rate 10mbit

1 2	sudo tc qdisc add dev wg0 parent root handle 1: hfsc default 1 sudo tc class add dev wg0 parent 1: classid 1:1 hfsc sc rate 10mbit ul rate 10mbit

Inbound limit:
Создаём и запускаем ifb интерфейс inbound0:

sudo ip link add name inbound0 type ifb
sudo ip link set inbound0 up

1 2	sudo ip link add name inbound0 type ifb sudo ip link set inbound0 up

Направляем пакеты с wireguard в этот интерфейс:

sudo tc qdisc add dev wg0 handle ffff: ingress
sudo tc filter add dev wg0 parent ffff: matchall action mirred egress redirect dev inbound0

1 2	sudo tc qdisc add dev wg0 handle ffff: ingress sudo tc filter add dev wg0 parent ffff: matchall action mirred egress redirect dev inbound0

отдельный HFSC qdisc для ifb интерфейса и ограничение всего траффика 10Мбит:

sudo tc qdisc add dev inbound0 parent root handle f: hfsc default 1
sudo tc class add dev inbound0 parent f: classid f:1 hfsc sc rate 10mbit ul rate 10mbit

1 2	sudo tc qdisc add dev inbound0 parent root handle f: hfsc default 1 sudo tc class add dev inbound0 parent f: classid f:1 hfsc sc rate 10mbit ul rate 10mbit

Расширенное ограничение (взамен предыдущих двух строк):

Максималка – 50mbit, И 2 дочерних класса:
1) Для https скорость – 5mbit (фильтры ниже)
2) по умолчанию скорость – 45mbit (19)

sudo tc qdisc add dev inbound0 parent root handle f: hfsc default 19
sudo tc class add dev inbound0 parent f: classid f:1 hfsc sc rate 50mbit ul rate 50mbit
sudo tc class add dev inbound0 parent f:1 classid f:11 hfsc ls rate 5mbit ul rate 5mbit
sudo tc class add dev inbound0 parent f:1 classid f:19 hfsc ls rate 45mbit

sudo tc qdisc add dev inbound0 parent root handle f: hfsc default 19

sudo tc class add dev inbound0 parent f: classid f:1 hfsc sc rate 50mbit ul rate 50mbit

sudo tc class add dev inbound0 parent f:1 classid f:11 hfsc ls rate 5mbit ul rate 5mbit

sudo tc class add dev inbound0 parent f:1 classid f:19 hfsc ls rate 45mbit

Фильтры https для ip 10.0.0.6:

sudo tc filter add dev inbound0 parent f: protocol ip prio 11 u32 \
    match ip src 10.0.0.6 \
    match ip protocol 6 0xff \
    match ip sport 443 0xffff \
    classid f:11

sudo tc filter add dev inbound0 parent f: protocol ip prio 11 u32 \

match ip src 10.0.0.6 \

match ip protocol 6 0xff \

match ip sport 443 0xffff \

classid f:11

На сервере Openvpn

sudo apt install openvpn -y

1	sudo apt install openvpn -y

На сервере CA

wget https://github.com/OpenVPN/easy-rsa/releases/download/v3.2.1/EasyRSA-3.2.1.tgz
tar -xvzf EasyRSA-3.2.1.tgz &amp;&amp; rm EasyRSA-3.2.1.tgz
chmod 700 EasyRSA-3.2.1
cd EasyRSA-3.2.1

wget https://github.com/OpenVPN/easy-rsa/releases/download/v3.2.1/EasyRSA-3.2.1.tgz

tar -xvzf EasyRSA-3.2.1.tgz && rm EasyRSA-3.2.1.tgz

chmod 700 EasyRSA-3.2.1

cd EasyRSA-3.2.1

В каталоге EasyRSA Создать файл «vars»

set_var EASYRSA_REQ_COUNTRY    "RUS"
set_var EASYRSA_REQ_PROVINCE   "Moscow"
set_var EASYRSA_REQ_CITY       "Moscow City"
set_var EASYRSA_REQ_ORG        "Our Company Name"
set_var EASYRSA_REQ_EMAIL      "sysadmin@company.ru"
set_var EASYRSA_REQ_OU         "LLC"
set_var EASYRSA_ALGO           "ec"
set_var EASYRSA_DIGEST         "sha512"

set_var EASYRSA_REQ_COUNTRY "RUS"

set_var EASYRSA_REQ_PROVINCE "Moscow"

set_var EASYRSA_REQ_CITY "Moscow City"

set_var EASYRSA_REQ_ORG "Our Company Name"

set_var EASYRSA_REQ_EMAIL "sysadmin@company.ru"

set_var EASYRSA_REQ_OU "LLC"

set_var EASYRSA_ALGO "ec"

set_var EASYRSA_DIGEST "sha512"

Создать корневой сертификат и сертификат для OpenVPN:
(Для второго понадобится passphrase от первого)

./easyrsa init-pki &amp;&amp; ./easyrsa build-ca nopass
./easyrsa build-server-full server nopass

1 2	./easyrsa init-pki && ./easyrsa build-ca nopass ./easyrsa build-server-full server nopass

dh.pem сертификат нужно создать, даже если он не будет использоваться:

openssl dhparam -out /etc/openvpn/dh.pem 2048

1	openssl dhparam -out /etc/openvpn/dh.pem 2048

На сервере OpenVPN

Скопировать файлы сертификатов в каталог Openvpn:

sudo scp -P 22 user@CA:/home/user/EasyRSA-3.2.1/{pki/ca.crt,pki/issued/server.crt,pki/private/server.key} /etc/openvpn/server/

1	sudo scp -P 22 user@CA:/home/user/EasyRSA-3.2.1/{pki/ca.crt,pki/issued/server.crt,pki/private/server.key} /etc/openvpn/server/

Создать /etc/openvpn/server.conf:

port 1194
#proto tcp
proto udp
dev tun
ca ca.crt
dh dh.pem
cert server.crt
key server.key
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
cipher AES-256-CBC
;client-to-client
keepalive 10 120
persist-key
persist-tun
user nobody
group nogroup
verb 3

port 1194

#proto tcp

proto udp

dev tun

ca ca.crt

dh dh.pem

cert server.crt

key server.key

server 10.8.0.0 255.255.255.0

push "redirect-gateway def1 bypass-dhcp"

push "dhcp-option DNS 8.8.8.8"

cipher AES-256-CBC

;client-to-client

keepalive 10 120

persist-key

persist-tun

user nobody

group nogroup

verb 3

Настраиваем IP форвардинг и iptables:

 echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
 sysctl -p
iptables -t nat -A POSTROUTING --src 10.8.0.0/8 -o enp0s3 -j MASQUERADE
iptables -A FORWARD -s 10.8.0.0/8 -j ACCEPT
iptables -A INPUT -p tcp --dport 1194 -j ACCEPT

echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf

sysctl -p

iptables -t nat -A POSTROUTING --src 10.8.0.0/8 -o enp0s3 -j MASQUERADE

iptables -A FORWARD -s 10.8.0.0/8 -j ACCEPT

iptables -A INPUT -p tcp --dport 1194 -j ACCEPT

Проверка:

sudo systemctl start openvpn@server
sudo systemctl status openvpn@server
nc -zv -u 192.168.0.100 1194

sudo systemctl start openvpn@server

sudo systemctl status openvpn@server

nc -zv -u 192.168.0.100 1194

Создание клиентов на сервере Openvpn

На сервере CA
Создать ключ клиента и скопировать его на сервер OpenVPN (команда ниже):

./easyrsa build-client-full client1 nopass

1	./easyrsa build-client-full client1 nopass

На сервере OpenVPN:

mkdir -p ~/client-configs/keys # Каталог для ключей клиентов
mkdir -p ~/client-configs/files # Каталог для конфигов

1 2	mkdir -p ~/client-configs/keys # Каталог для ключей клиентов mkdir -p ~/client-configs/files # Каталог для конфигов

Создать шаблон конфига ~/client-configs/base.conf:

client
dev tun
#proto tcp
proto udp
remote YOUR_SERVER_IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
cipher AES-256-CBC
auth-nocache
verb 3

client

dev tun

#proto tcp

proto udp

remote YOUR_SERVER_IP 1194

resolv-retry infinite

nobind

persist-key

persist-tun

cipher AES-256-CBC

auth-nocache

verb 3

Скопировать ключи клиента и ca:

scp -P 22 user@CA:/home/user/EasyRSA-3.2.1/{pki/issued/client1.crt,pki/private/client1.key} /home/user/client-configs/keys/
sudo cp /etc/openvpn/server/ /home/user/client-configs/keys/
sudo chmod -R 700 ~/client-configs
sudo chown user:user -R ~/client-configs

scp -P 22 user@CA:/home/user/EasyRSA-3.2.1/{pki/issued/client1.crt,pki/private/client1.key} /home/user/client-configs/keys/

sudo cp /etc/openvpn/server/ /home/user/client-configs/keys/

sudo chmod -R 700 ~/client-configs

sudo chown user:user -R ~/client-configs

Создать скрипт создания конфига ~/client-configs/make_config.sh:
(добавление tls закоментировано)

#!/bin/bash
 
# First argument: Client identifier
 
KEY_DIR=~/client-configs/keys
OUTPUT_DIR=~/client-configs/files
BASE_CONFIG=~/client-configs/base.conf
 
cat ${BASE_CONFIG} \
    <(echo -e '<ca>') \
    ${KEY_DIR}/ca.crt \
    <(echo -e '</ca>\n<cert>') \
    ${KEY_DIR}/${1}.crt \
    <(echo -e '</cert>\n<key>') \
    ${KEY_DIR}/${1}.key \
#    <(echo -e '</key>\n<tls-crypt>') \ # строка заменена на следующую
    <(echo -e '</key>') \
#    ${KEY_DIR}/ta.key \
#    <(echo -e '</tls-crypt>') \
    > ${OUTPUT_DIR}/${1}.ovpn

#!/bin/bash

# First argument: Client identifier

KEY_DIR=~/client-configs/keys

OUTPUT_DIR=~/client-configs/files

BASE_CONFIG=~/client-configs/base.conf

cat ${BASE_CONFIG} \

<(echo -e '<ca>') \

${KEY_DIR}/ca.crt \

<(echo -e '</ca>\n<cert>') \

${KEY_DIR}/${1}.crt \

<(echo -e '</cert>\n<key>') \

${KEY_DIR}/${1}.key \

# <(echo -e '</key>\n<tls-crypt>') \ # строка заменена на следующую

<(echo -e '</key>') \

# ${KEY_DIR}/ta.key \

# <(echo -e '</tls-crypt>') \

> ${OUTPUT_DIR}/${1}.ovpn

Сделать файл исполняемым, созданный client.ovpn использовать на клиенте:

 sudo chmod 700 ~/client-configs/make_config.sh
 ~/client-configs/make_config.sh client1

1 2	sudo chmod 700 ~/client-configs/make_config.sh ~/client-configs/make_config.sh client1

Glatos.RU

Записки Системного администратора

Архив метки: vpn

Настройка WireGuard в Ubuntu

Настройка OpenVPN в Ubuntu