WireGuard: बेसिक कॉन्फ़िगरेशन से आगे

 (sloonz.github.io)
3 पॉइंट द्वारा GN⁺ 2024-11-25 | 1 टिप्पणियां | WhatsApp पर शेयर करें

  • बुनियादी सेटअप

    • OpenVPN को WireGuard से बदलने की कोशिश के अनुभव साझा किए गए हैं.
    • बुनियादी सेटअप का सार:
      • सर्वर और क्लाइंट, दोनों के लिए key pair बनाना.
      • VPN नेटवर्क और IP address तय करना.
      • सर्वर और क्लाइंट configuration file लिखकर चलाना.
      • network namespace का उपयोग करके VPN और इंटरनेट कनेक्शन को अलग किया जा सकता है.

  • NAT

    • NAT के पीछे काम न करने वाले कुछ applications की समस्या का समाधान.
    • UPnP का उपयोग करके NAT की समस्या हल की जा सकती है.
    • WireGuard डिफ़ॉल्ट रूप से UPnP को सपोर्ट नहीं करता, इसलिए manual setup की ज़रूरत होती है.
    • miniupnpd को install और configure करके UPnP functionality जोड़ी जा सकती है.

  • IPv6

    • NAT की समस्या हल करने का बेहतर तरीका है NAT का उपयोग न करना.
    • IPv6 का उपयोग करके NAT के बिना publicly routable address दिए जा सकते हैं.
    • सर्वर और क्लाइंट को IPv6 address देकर NAT के बिना भी संचार संभव है.
    • IPv6 configuration के जरिए UPnP के बिना भी public internet से access संभव है.

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2024-11-25
Hacker News राय

  • कोई अपना निजी सर्वर सेट अप करके वेब से एक्सेस होने वाली सेवाएँ उपलब्ध कराना चाहता है। Caddy का उपयोग करके subdomain को सेवाओं से मैप करने में सफलता मिली, लेकिन Tailscale Magic DNS subdomain को सपोर्ट नहीं करता। इसे हल करने के लिए pihole सेट अप करके निजी DNS सर्वर बनाना चाहता है। वह पूछ रहा है कि क्या यह Wireguard की सीमा है

  • Wireguard कॉन्फ़िगरेशन के समय उपयोगी एक साइट मिली: Procustodibus Wireguard Topologies

  • dynamic DNS record सेट करके host name को home network के dynamic IP से मैप किया जाए तो निजी VPN का उपयोग संभव हो जाता है। इससे बाहरी इंटरनेट पर एक्सपोज़ किए बिना भी लोकल सेवाओं को रिमोट से एक्सेस किया जा सकता है

  • Wireguard के उपयोग में NAT अनिवार्य है, ऐसा एक भ्रम है। वास्तव में यदि destination host Wireguard सर्वर को gateway के रूप में पहचानता है तो सामान्य subnet routing ठीक से काम करती है। डिफ़ॉल्ट router पर static route सेट करना ही काफ़ी है

  • वह जानना चाहता है कि Wireguard के सिद्धांत, implementation और configuration पर कोई अच्छी किताब है या नहीं। उसका कहना है कि IPSEC पर किताबें बहुत हैं, लेकिन Wireguard पर कम मिलती हैं

  • उसे यह अजीब लगता है कि Wireguard में किसी खास IP को छोड़कर बाकी सभी ट्रैफ़िक को tunnel करने का आसान तरीका नहीं है। इसके लिए उस खास IP को छोड़कर बाकी सभी CIDR सूचियाँ प्रोग्रामेटिक तरीके से बनानी पड़ती हैं

  • RBAC फीचर न होने का अफ़सोस है। Wireguard, OpenVPN से तेज़ है, लेकिन RBAC की वजह से कर्मचारियों और contractors के लिए OpenVPN इस्तेमाल करना पड़ता है

  • वह Wireguard और IPv6 का उपयोग कर रहा है, लेकिन IPv6 prefix delegation काम नहीं कर रहा। वह चाहता है कि सामान्य Ethernet subnet की तरह डिवाइस अपने पते खुद चुन सकें और बदल सकें

  • Wireguard में port forwarding को masquerading के बिना ठीक से काम नहीं करा पा रहा। source IP बनाए रखने के लिए AllowedIPs में 0.0.0.0/0 जोड़ना पड़ता है, लेकिन इससे application के response वापस source तक जाने में रुकावट आती है

  • वह IPv6 आधारित infrastructure बना रहा है। वह Wireguard की आधुनिक cryptography और stateless design का लाभ लेना चाहता है, लेकिन Wireguard address scheme अपनाने के बजाय IPv6 address scheme बनाए रखना चाहता है