內(nèi)網(wǎng)穿透之wireguard組網(wǎng)

1、內(nèi)網(wǎng)穿透之 wireguard組網(wǎng)演講人：xxx目錄CONTENTS1324背景內(nèi)網(wǎng)穿透wireguard方法wireguard優(yōu)勢為了滿足部分對數(shù)據(jù)量要求大且對數(shù)據(jù)存儲方便的人，一般會使用以下的幾種 方式來存儲數(shù)據(jù)：數(shù)據(jù)存儲的方式：隨身攜帶存儲設(shè)備移動硬盤U盤網(wǎng)盤百度網(wǎng)盤阿里云盤其他網(wǎng)盤局域網(wǎng)存儲服務(wù)個人搭建的家庭 NAS（只有家里的 網(wǎng)絡(luò)環(huán)境下，才能使 用的存儲系統(tǒng)）在我國，由于網(wǎng)民眾多，運營商無法保證為每 一個寬帶用戶提供全球唯一的公網(wǎng)IPv4地址。 因此很多用戶會發(fā)現(xiàn)通過路由器端查看到的 WAN端IP與百度“IP”關(guān)鍵詞所得到的IP不一 致，并且前者的IP為一個私有IP?；ヂ?lián)網(wǎng)迅速發(fā)展

2、，節(jié)點數(shù)量急劇增長，原來設(shè) 計的IP地址位數(shù)不夠了（IPv4中規(guī)定IP地址長 度為32，共有232-1個地址），但它已經(jīng)被 廣泛應(yīng)用，是現(xiàn)在互聯(lián)網(wǎng)的基礎(chǔ)，想擴容也不 是一蹴而就的事（IPv6就是升級版，但目前還 不是主流）。網(wǎng)絡(luò)現(xiàn)狀：目錄CONTENTS1324背景內(nèi)網(wǎng)穿透wireguard方法wireguard優(yōu)勢內(nèi)網(wǎng)和外網(wǎng)內(nèi)網(wǎng)：是內(nèi)部建立的局域網(wǎng)絡(luò) 或辦公網(wǎng)絡(luò)外網(wǎng)：外網(wǎng)就不經(jīng)路由器或交 換機就可以上網(wǎng)的網(wǎng)絡(luò)，可以 直接被外界所訪問到。無需經(jīng) 如何設(shè)備，直接連接電腦。內(nèi)網(wǎng)穿透內(nèi)網(wǎng)穿透：就是可以讓你 的局域網(wǎng)中的電腦實現(xiàn)外 網(wǎng)訪問功能內(nèi)網(wǎng)穿透的實現(xiàn)方式DDNS（動態(tài)域名解析）：一 般的用戶可以

3、和運營商溝通， 運營商了解的你訴求后，會給 你分配一個動態(tài)的公網(wǎng)ip只要 你沒有重啟或重撥，這個ip就 只有你可以用，但是不支持80 和443端口；通過一臺公網(wǎng)服務(wù)器做轉(zhuǎn)發(fā)： 需要你自己購買一臺具有公網(wǎng)ip 的服務(wù)器，通過不同的技術(shù)手 段來實現(xiàn)內(nèi)網(wǎng)穿透。目錄CONTENTS1324背景內(nèi)網(wǎng)穿透wireguard方法wireguard優(yōu)勢wireguard簡介WireGuard是一款極其簡單但快速的現(xiàn)代VPN，它利用了最先進的加密技術(shù)。它的目標是比IPsec更快、更簡單、更精簡、更有用，它要比OpenVPN有更高的性 能。WireGuard也是一種通用VPN，適用于多種不同的環(huán)境。它最初是為Li

4、nux內(nèi)核 發(fā)布的，現(xiàn)在是跨平臺的（Windows、macOS、BSD、iOS、Android），并且 可以廣泛部署。它目前正在大力開發(fā)中，但已經(jīng)被認為是業(yè)界最安全、最易使用、 最簡單的VPN解決方案wireguard簡介在Linux中，加密隧道的標準解決方案是IPsec，它使用Linux轉(zhuǎn)換(“xfrm”)層WireGuard沒有提供復(fù)雜的IPsec和xfrm層，而是提供了一個虛擬接口(例如wg0)，然后可以使用標準的ip和ifconfig實用程序?qū)ζ溥M行管理。使用私鑰(以及可選的預(yù)共享對 稱密鑰和它將安全通信的對等點的各種公鑰配置接口之后，隧道就簡單地工作了。與 IPsec相比，WireG

5、uard簡單明了，不容易發(fā)生災(zāi)難性故障和配置錯誤。wireguard加密機制WG 使用的 ECDH 是 DH 算法 的變種，使用了橢圓曲線來增強 性能和安全性。通過 DH 算法，網(wǎng)絡(luò)的兩端可以 在不安全的網(wǎng)絡(luò)中協(xié)商出來用來 加密要傳輸?shù)臄?shù)據(jù)的密鑰。之后， 數(shù)據(jù)流就可以用這個密鑰進行高 效地做對稱加密。Martin E Hellman，Bailey W Diffie 和 Ralph C. Merklewireguard如何路由流量端到端直接連接：這是最簡單的拓撲，所有的節(jié)點要么在同一個局域網(wǎng)，要么直接通過公網(wǎng)訪問，這樣 WireGuard 可以直接連接到對端，不需要中繼跳轉(zhuǎn)。一端位于 NAT 后

6、面，另一端直接通過公網(wǎng)暴露：這種情況下，最簡單的方案是：通過公網(wǎng)暴露的一端作為服務(wù)端，另一端指定服務(wù)端 的公網(wǎng)地址和端口，然后通過 persistent-keepalive 選項維持長連接，讓 NAT 記得 對應(yīng)的映射關(guān)系。兩端都位于 NAT 后面，通過中繼服務(wù)器連接：大多數(shù)情況下，當通信雙方都在 NAT 后面的時候，NAT 會做源端口隨機化處理，直 接連接可能比較困難。可以加一個中繼服務(wù)器，通信雙方都將中繼服務(wù)器作為對端， 然后維持長連接，流量就會通過中繼服務(wù)器進行轉(zhuǎn)發(fā)。WireGuard穿透預(yù)期效果圖wireguard搭建流程1432環(huán)境搭建流量轉(zhuǎn)發(fā)peer節(jié)點搭建中繼服務(wù)器搭建第一步：環(huán)

7、境搭建這里簡單介紹下centos7中如何安裝wireguardsudo yum install epel-release elrepo-releasesudo yum install yum-plugin-elreposudo yum install kmod-wireguard wireguard-tools第二步：中繼服務(wù)器搭建1. 生成服務(wù)器端密鑰 cd /etc/wireguard/ umask 077wg genkey | tee server_private_key | wg pubkey server_public_key2. 創(chuàng)建服務(wù)器配置文件vi /etc/wireguard

8、/wg0.conf 文件內(nèi)容為：InterfaceAddress = 10.0.0.1/24 SaveConfig = truePrivateKey = 服務(wù)器的私鑰（在服務(wù)器上生 成的server_private_key文件）ListenPort = 51820第三步：peer1客戶端搭建客戶創(chuàng)建密匙和服務(wù)端一樣，這里只貼出來，配置文件的內(nèi)容InterfaceAddress = 10.0.0.2/32 PrivateKey = 客戶端的私鑰 DNS = 10.0.0.1PeerPublicKey = 服務(wù)器的公鑰Endpoint = 服務(wù)器的物理ip地址:51820 AllowedIPs =

9、 0.0.0.0/0 PersistentKeepalive = 25第三步：peer2客戶端搭建：InterfaceAddress = 10.0.0.3/32 PrivateKey = 客戶端的私鑰 DNS = 10.0.0.1PeerPublicKey = 服務(wù)器的公鑰Endpoint = 服務(wù)器的物理ip地址:51820 AllowedIPs = 0.0.0.0/0 PersistentKeepalive = 25第四步：添加流量轉(zhuǎn)發(fā)cd /etc/wireguard vim wg0.confPostUp = iptables -A FORWARD -i %i -j ACCEPT; ip

10、tables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o wg0-j MASQUERADEPostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o wg0-j MASQUERADE目錄CONTENTS1324背景內(nèi)網(wǎng)穿透wireguard方法wireguard優(yōu)勢WireGuard的優(yōu)勢：更輕便：以Linux內(nèi)核模塊的形式運行，資源占用小。更高效：相比目前主流的IPSec、OpenVirtual Private Network等協(xié)議， WireGuard的效率要更高。更快速：比目前主流的Vi