欧美成人精品手机在线观看_69视频国产_动漫精品第一页_日韩中文字幕网 - 日本欧美一区二区

LOGO OA教程 ERP教程 模切知識交流 PMS教程 CRM教程 開發文檔 其他文檔  
 
網站管理員

WireGuard 教程:WireGuard 的工作原理

admin
2024年7月24日 18:54 本文熱度 827

原文鏈接:https://fuckcloudnative.io/posts/wireguard-docs-theory/

WireGuard 是由 Jason Donenfeld 等人用 C 語言編寫的一個開源 威屁恩 協議,被視為下一代 威屁恩 協議,旨在解決許多困擾 IPSec/IKEv2Open威屁恩 或 L2TP 等其他 威屁恩 協議的問題。它與 Tinc 和 MeshBird 等現代 威屁恩 產品有一些相似之處,即加密技術先進、配置簡單。從 2020 年 1 月開始,它已經并入了 Linux 內核的 5.6 版本,這意味著大多數 Linux 發行版的用戶將擁有一個開箱即用的 WireGuard。

無論你是想破墻而出,還是想在服務器之間組網,WireGuard 都不會讓你失望,它就是組網的『樂高積木』,就像 ZFS 是構建文件系統的『樂高積木』一樣。

WireGuard 與其他 威屁恩 協議的性能測試對比:

可以看到 WireGuard 直接碾壓其他 威屁恩 協議。再來說說 Open威屁恩,大約有 10 萬行代碼,而 WireGuard 只有大概 4000 行代碼,代碼庫相當精簡,簡直就是件藝術品啊。你再看看 Open威屁恩 的性能,算了不說了。

WireGuard 優點:

  • 配置精簡,可直接使用默認值

  • 只需最少的密鑰管理工作,每個主機只需要 1 個公鑰和 1 個私鑰。

  • 就像普通的以太網接口一樣,以 Linux 內核模塊的形式運行,資源占用小。

  • 能夠將部分流量或所有流量通過 威屁恩 傳送到局域網內的任意主機。

  • 能夠在網絡故障恢復之后自動重連,戳到了其他 威屁恩 的痛處。

  • 比目前主流的 威屁恩 協議,連接速度要更快,延遲更低(見上圖)。

  • 使用了更先進的加密技術,具有前向加密和抗降級攻擊的能力。

  • 支持任何類型的二層網絡通信,例如 ARPDHCP 和 ICMP,而不僅僅是 TCP/HTTP。

  • 可以運行在主機中為容器之間提供通信,也可以運行在容器中為主機之間提供通信。

WireGuard 不能做的事:

  • 類似 gossip 協議實現網絡自愈。

  • 通過信令服務器突破雙重 NAT。

  • 通過中央服務器自動分配和撤銷密鑰。

  • 發送原始的二層以太網幀。

當然,你可以使用 WireGuard 作為底層協議來實現自己想要的功能,從而彌補上述這些缺憾。

本系列 WireGuard 教程分為兩個部分,第一部分偏理論,第二部分偏實踐。本文是第一部分,下面開始正文教程。


1. WireGuard 術語

Peer/Node/Device

連接到 威屁恩 并為自己注冊一個 威屁恩 子網地址(如 192.0.2.3)的主機。還可以通過使用逗號分隔的 CIDR 指定子網范圍,為其自身地址以外的 IP 地址選擇路由。

中繼服務器(Bounce Server)

一個公網可達的對等節點,可以將流量中繼到 NAT 后面的其他對等節點。Bounce Server 并不是特殊的節點,它和其他對等節點一樣,唯一的區別是它有公網 IP,并且開啟了內核級別的 IP 轉發,可以將 威屁恩 的流量轉發到其他客戶端。

子網(Subnet)

一組私有 IP,例如 192.0.2.1-255 或 192.168.1.1/24,一般在 NAT 后面,例如辦公室局域網或家庭網絡。

CIDR 表示法

這是一種使用掩碼表示子網大小的方式,這個不用解釋了。

NAT

子網的私有 IP 地址由路由器提供,通過公網無法直接訪問私有子網設備,需要通過 NAT 做網絡地址轉換。路由器會跟蹤發出的連接,并將響應轉發到正確的內部 IP。

公開端點(Public Endpoint)

節點的公網 IP 地址:端口,例如 123.124.125.126:1234,或者直接使用域名 some.domain.tld:1234。如果對等節點不在同一子網中,那么節點的公開端點必須使用公網 IP 地址。

私鑰(Private key)

單個節點的 WireGuard 私鑰,生成方法是:wg genkey > example.key

公鑰(Public key)

單個節點的 WireGuard 公鑰,生成方式為:wg pubkey < example.key > example.key.pub

DNS

域名服務器,用于將域名解析為 威屁恩 客戶端的 IP,不讓 DNS請求泄漏到 威屁恩 之外。


2. WireGuard 工作原理

中繼服務器工作原理

中繼服務器(Bounce Server)和普通的對等節點一樣,它能夠在 NAT 后面的 威屁恩 客戶端之間充當中繼服務器,可以將收到的任何 威屁恩 子網流量轉發到正確的對等節點。事實上 WireGuard 并不關心流量是如何轉發的,這個由系統內核和 iptables 規則處理。

如果所有的對等節點都是公網可達的,則不需要考慮中繼服務器,只有當有對等節點位于 NAT 后面時才需要考慮。

在 WireGuard 里,客戶端和服務端基本是平等的,差別只是誰主動連接誰而已。雙方都會監聽一個 UDP 端口,誰主動連接,誰就是客戶端。主動連接的客戶端需要指定對端的公網地址和端口,被動連接的服務端不需要指定其他對等節點的地址和端口。如果客戶端和服務端都位于 NAT 后面,需要加一個中繼服務器,客戶端和服務端都指定中繼服務器作為對等節點,它們的通信流量會先進入中繼服務器,然后再轉發到對端。

WireGuard 是支持漫游的,也就是說,雙方不管誰的地址變動了,WireGuard 在看到對方從新地址說話的時候,就會記住它的新地址(跟 mosh 一樣,不過是雙向的)。所以雙方要是一直保持在線,并且通信足夠頻繁的話(比如配置 persistent-keepalive),兩邊的 IP 都不固定也不影響的。

Wireguard 如何路由流量

利用 WireGuard 可以組建非常復雜的網絡拓撲,這里主要介紹幾個典型的拓撲:

① 端到端直接連接

這是最簡單的拓撲,所有的節點要么在同一個局域網,要么直接通過公網訪問,這樣 WireGuard 可以直接連接到對端,不需要中繼跳轉。

② 一端位于 NAT 后面,另一端直接通過公網暴露

這種情況下,最簡單的方案是:通過公網暴露的一端作為服務端,另一端指定服務端的公網地址和端口,然后通過 persistent-keepalive 選項維持長連接,讓 NAT 記得對應的映射關系。

③ 兩端都位于 NAT 后面,通過中繼服務器連接

大多數情況下,當通信雙方都在 NAT 后面的時候,NAT 會做源端口隨機化處理,直接連接可能比較困難。可以加一個中繼服務器,通信雙方都將中繼服務器作為對端,然后維持長連接,流量就會通過中繼服務器進行轉發。

④ 兩端都位于 NAT 后面,通過 UDP NAT 打洞

上面也提到了,當通信雙方都在 NAT 后面的時候,直接連接不太現實,因為大多數 NAT 路由器對源端口的隨機化相當嚴格,不可能提前為雙方協調一個固定開放的端口。必須使用一個信令服務器(STUN),它會在中間溝通分配給對方哪些隨機源端口。通信雙方都會和公共信令服務器進行初始連接,然后它記錄下隨機的源端口,并將其返回給客戶端。這其實就是現代 P2P 網絡中 WebRTC 的工作原理。有時候,即使有了信令服務器和兩端已知的源端口,也無法直接連接,因為 NAT 路由器嚴格規定只接受來自原始目的地址(信令服務器)的流量,會要求新開一個隨機源端口來接受來自其他 IP 的流量(比如其他客戶端試圖使用原來的通信源端口)。運營商級別的 NAT 就是這么干的,比如蜂窩網絡和一些企業網絡,它們專門用這種方法來防止打洞連接。更多細節請參考下一部分的 NAT 到 NAT 連接實踐的章節。

如果某一端同時連接了多個對端,當它想訪問某個 IP 時,如果有具體的路由可用,則優先使用具體的路由,否則就會將流量轉發到中繼服務器,然后中繼服務器再根據系統路由表進行轉發。你可以通過測量 ping 的時間來計算每一跳的長度,并通過檢查對端的輸出(wg show wg0)來找到 WireGuard 對一個給定地址的路由方式。

WireGuard 報文格式

WireGuard 使用加密的 UDP 報文來封裝所有的數據,UDP 不保證數據包一定能送達,也不保證按順序到達,但隧道內的 TCP 連接可以保證數據有效交付。WireGuard 的報文格式如下圖所示:

關于 WireGuard 報文的更多信息可以參考下面幾篇文檔:

WireGuard 的性能

WireGuard 聲稱其性能比大多數 威屁恩 協議更好,但這個事情有很多爭議,比如某些加密方式支持硬件層面的加速。

WireGuard 直接在內核層面處理路由,直接使用系統內核的加密模塊來加密數據,和 Linux 原本內置的密碼子系統共存,原有的子系統能通過 API 使用 WireGuard 的 Zinc 密碼庫。WireGuard 使用 UDP 協議傳輸數據,在不使用的情況下默認不會傳輸任何 UDP 數據包,所以比常規 威屁恩 省電很多,可以像 55 一樣一直掛著使用,速度相比其他 威屁恩 也是壓倒性優勢。

關于性能比較的更多信息可以參考下面幾篇文檔:

WireGuard 安全模型

WireGuard 使用以下加密技術來保障數據的安全:

  • 使用 ChaCha20 進行對稱加密,使用 Poly1305 進行數據驗證。

  • 利用 Curve25519 進行密鑰交換。

  • 使用 BLAKE2 作為哈希函數。

  • 使用 HKDF 進行解密。

WireGuard 的加密技術本質上是 Trevor Perrin 的 Noise 框架的實例化,它簡單高效,其他的 威屁恩 都是通過一系列協商、握手和復雜的狀態機來保障安全性。WireGuard 就相當于 威屁恩 協議中的 qmail,代碼量比其他 威屁恩 協議少了好幾個數量級。

關于 WireGuard 加密的更多資料請參考下方鏈接:

WireGuard 密鑰管理

WireGuard 通過為每個對等節點提供簡單的公鑰和私鑰來實現雙向認證,每個對等節點在設置階段生成密鑰,且只在對等節點之間共享密鑰。每個節點除了公鑰和私鑰,不再需要其他證書或預共享密鑰。

在更大規模的部署中,可以使用 Ansible 或 Kubernetes Secrets 等單獨的服務來處理密鑰的生成、分發和銷毀。

下面是一些有助于密鑰分發和部署的服務:

如果你不想在 wg0.conf 配置文件中直接硬編碼,可以從文件或命令中讀取密鑰,這使得通過第三方服務管理密鑰變得更加容易:

[Interface]
...
PostUp = wg set %i private-key /etc/wireguard/wg0.key <(cat /some/path/%i/privkey)

從技術上講,多個服務端之間可以共享相同的私鑰,只要客戶端不使用相同的密鑰同時連接到兩個服務器。但有時客戶端會需要同時連接多臺服務器,例如,你可以使用 DNS 輪詢來均衡兩臺服務器之間的連接,這兩臺服務器配置相同。大多數情況下,每個對等節點都應該使用獨立的的公鑰和私鑰,這樣每個對等節點都不能讀取到對方的流量,保障了安全性。


該文章在 2024/7/24 18:54:39 編輯過
關鍵字查詢
相關文章
正在查詢...
點晴ERP是一款針對中小制造業的專業生產管理軟件系統,系統成熟度和易用性得到了國內大量中小企業的青睞。
點晴PMS碼頭管理系統主要針對港口碼頭集裝箱與散貨日常運作、調度、堆場、車隊、財務費用、相關報表等業務管理,結合碼頭的業務特點,圍繞調度、堆場作業而開發的。集技術的先進性、管理的有效性于一體,是物流碼頭及其他港口類企業的高效ERP管理信息系統。
點晴WMS倉儲管理系統提供了貨物產品管理,銷售管理,采購管理,倉儲管理,倉庫管理,保質期管理,貨位管理,庫位管理,生產管理,WMS管理系統,標簽打印,條形碼,二維碼管理,批號管理軟件。
點晴免費OA是一款軟件和通用服務都免費,不限功能、不限時間、不限用戶的免費OA協同辦公管理系統。
Copyright 2010-2025 ClickSun All Rights Reserved