原文鏈接:https://fuckcloudnative.io/posts/wireguard-docs-theory/
WireGuard 是由 Jason Donenfeld 等人用 C 語言編寫的一個開源 威屁恩 協(xié)議,被視為下一代 威屁恩 協(xié)議�,旨在解決許多困擾 IPSec/IKEv2�����、Open威屁恩 或 L2TP 等其他 威屁恩 協(xié)議的問題�����。它與 Tinc 和 MeshBird 等現(xiàn)代 威屁恩 產(chǎn)品有一些相似之處��,即加密技術(shù)先進(jìn)����、配置簡單��。從 2020 年 1 月開始���,它已經(jīng)并入了 Linux 內(nèi)核的 5.6 版本,這意味著大多數(shù) Linux 發(fā)行版的用戶將擁有一個開箱即用的 WireGuard����。
無論你是想破墻而出,還是想在服務(wù)器之間組網(wǎng)�,WireGuard 都不會讓你失望,它就是組網(wǎng)的『樂高積木』�����,就像 ZFS 是構(gòu)建文件系統(tǒng)的『樂高積木』一樣。
WireGuard 與其他 威屁恩 協(xié)議的性能測試對比:
可以看到 WireGuard 直接碾壓其他 威屁恩 協(xié)議�。再來說說 Open威屁恩,大約有 10 萬行代碼�����,而 WireGuard 只有大概 4000 行代碼��,代碼庫相當(dāng)精簡��,簡直就是件藝術(shù)品啊����。你再看看 Open威屁恩 的性能,算了不說了����。
WireGuard 優(yōu)點:
配置精簡,可直接使用默認(rèn)值
只需最少的密鑰管理工作�����,每個主機只需要 1 個公鑰和 1 個私鑰。
就像普通的以太網(wǎng)接口一樣����,以 Linux 內(nèi)核模塊的形式運行,資源占用小�。
能夠?qū)⒉糠至髁炕蛩辛髁客ㄟ^ 威屁恩 傳送到局域網(wǎng)內(nèi)的任意主機。
能夠在網(wǎng)絡(luò)故障恢復(fù)之后自動重連�,戳到了其他 威屁恩 的痛處。
比目前主流的 威屁恩 協(xié)議�,連接速度要更快,延遲更低(見上圖)�����。
使用了更先進(jìn)的加密技術(shù)�����,具有前向加密和抗降級攻擊的能力�����。
支持任何類型的二層網(wǎng)絡(luò)通信�����,例如 ARP���、DHCP 和 ICMP�����,而不僅僅是 TCP/HTTP�����。
可以運行在主機中為容器之間提供通信���,也可以運行在容器中為主機之間提供通信。
WireGuard 不能做的事:
當(dāng)然����,你可以使用 WireGuard 作為底層協(xié)議來實現(xiàn)自己想要的功能����,從而彌補上述這些缺憾����。
本系列 WireGuard 教程分為兩個部分���,第一部分偏理論�����,第二部分偏實踐�。本文是第一部分����,下面開始正文教程。
1. WireGuard 術(shù)語
Peer/Node/Device
連接到 威屁恩 并為自己注冊一個 威屁恩 子網(wǎng)地址(如 192.0.2.3)的主機�。還可以通過使用逗號分隔的 CIDR 指定子網(wǎng)范圍,為其自身地址以外的 IP 地址選擇路由��。
中繼服務(wù)器(Bounce Server)
一個公網(wǎng)可達(dá)的對等節(jié)點�,可以將流量中繼到 NAT 后面的其他對等節(jié)點。Bounce Server 并不是特殊的節(jié)點�,它和其他對等節(jié)點一樣,唯一的區(qū)別是它有公網(wǎng) IP���,并且開啟了內(nèi)核級別的 IP 轉(zhuǎn)發(fā)���,可以將 威屁恩 的流量轉(zhuǎn)發(fā)到其他客戶端。
子網(wǎng)(Subnet)
一組私有 IP�����,例如 192.0.2.1-255 或 192.168.1.1/24����,一般在 NAT 后面,例如辦公室局域網(wǎng)或家庭網(wǎng)絡(luò)�。
CIDR 表示法
這是一種使用掩碼表示子網(wǎng)大小的方式,這個不用解釋了��。
NAT
子網(wǎng)的私有 IP 地址由路由器提供��,通過公網(wǎng)無法直接訪問私有子網(wǎng)設(shè)備����,需要通過 NAT 做網(wǎng)絡(luò)地址轉(zhuǎn)換。路由器會跟蹤發(fā)出的連接�,并將響應(yīng)轉(zhuǎn)發(fā)到正確的內(nèi)部 IP。
公開端點(Public Endpoint)
節(jié)點的公網(wǎng) IP 地址:端口����,例如 123.124.125.126:1234�����,或者直接使用域名 some.domain.tld:1234���。如果對等節(jié)點不在同一子網(wǎng)中,那么節(jié)點的公開端點必須使用公網(wǎng) IP 地址����。
私鑰(Private key)
單個節(jié)點的 WireGuard 私鑰,生成方法是:wg genkey > example.key�。
公鑰(Public key)
單個節(jié)點的 WireGuard 公鑰,生成方式為:wg pubkey < example.key > example.key.pub��。
DNS
域名服務(wù)器�����,用于將域名解析為 威屁恩 客戶端的 IP����,不讓 DNS請求泄漏到 威屁恩 之外。
2. WireGuard 工作原理
中繼服務(wù)器工作原理
中繼服務(wù)器(Bounce Server)和普通的對等節(jié)點一樣��,它能夠在 NAT 后面的 威屁恩 客戶端之間充當(dāng)中繼服務(wù)器,可以將收到的任何 威屁恩 子網(wǎng)流量轉(zhuǎn)發(fā)到正確的對等節(jié)點����。事實上 WireGuard 并不關(guān)心流量是如何轉(zhuǎn)發(fā)的,這個由系統(tǒng)內(nèi)核和 iptables 規(guī)則處理���。
如果所有的對等節(jié)點都是公網(wǎng)可達(dá)的,則不需要考慮中繼服務(wù)器�,只有當(dāng)有對等節(jié)點位于 NAT 后面時才需要考慮。
在 WireGuard 里��,客戶端和服務(wù)端基本是平等的��,差別只是誰主動連接誰而已����。雙方都會監(jiān)聽一個 UDP 端口,誰主動連接���,誰就是客戶端��。主動連接的客戶端需要指定對端的公網(wǎng)地址和端口��,被動連接的服務(wù)端不需要指定其他對等節(jié)點的地址和端口���。如果客戶端和服務(wù)端都位于 NAT 后面�����,需要加一個中繼服務(wù)器�,客戶端和服務(wù)端都指定中繼服務(wù)器作為對等節(jié)點���,它們的通信流量會先進(jìn)入中繼服務(wù)器�����,然后再轉(zhuǎn)發(fā)到對端���。
WireGuard 是支持漫游的,也就是說����,雙方不管誰的地址變動了,WireGuard 在看到對方從新地址說話的時候�����,就會記住它的新地址(跟 mosh 一樣,不過是雙向的)��。所以雙方要是一直保持在線����,并且通信足夠頻繁的話(比如配置 persistent-keepalive),兩邊的 IP 都不固定也不影響的�。
Wireguard 如何路由流量
利用 WireGuard 可以組建非常復(fù)雜的網(wǎng)絡(luò)拓?fù)洌@里主要介紹幾個典型的拓?fù)洌?/p>
① 端到端直接連接
這是最簡單的拓?fù)?�,所有的?jié)點要么在同一個局域網(wǎng)����,要么直接通過公網(wǎng)訪問����,這樣 WireGuard 可以直接連接到對端,不需要中繼跳轉(zhuǎn)��。
② 一端位于 NAT 后面��,另一端直接通過公網(wǎng)暴露
這種情況下�����,最簡單的方案是:通過公網(wǎng)暴露的一端作為服務(wù)端,另一端指定服務(wù)端的公網(wǎng)地址和端口�,然后通過 persistent-keepalive 選項維持長連接,讓 NAT 記得對應(yīng)的映射關(guān)系����。
③ 兩端都位于 NAT 后面,通過中繼服務(wù)器連接
大多數(shù)情況下����,當(dāng)通信雙方都在 NAT 后面的時候,NAT 會做源端口隨機化處理�,直接連接可能比較困難?�?梢约右粋€中繼服務(wù)器����,通信雙方都將中繼服務(wù)器作為對端,然后維持長連接���,流量就會通過中繼服務(wù)器進(jìn)行轉(zhuǎn)發(fā)��。
④ 兩端都位于 NAT 后面��,通過 UDP NAT 打洞
上面也提到了�����,當(dāng)通信雙方都在 NAT 后面的時候��,直接連接不太現(xiàn)實�,因為大多數(shù) NAT 路由器對源端口的隨機化相當(dāng)嚴(yán)格,不可能提前為雙方協(xié)調(diào)一個固定開放的端口�����。必須使用一個信令服務(wù)器(STUN)���,它會在中間溝通分配給對方哪些隨機源端口���。通信雙方都會和公共信令服務(wù)器進(jìn)行初始連接����,然后它記錄下隨機的源端口,并將其返回給客戶端����。這其實就是現(xiàn)代 P2P 網(wǎng)絡(luò)中 WebRTC 的工作原理。有時候�,即使有了信令服務(wù)器和兩端已知的源端口,也無法直接連接,因為 NAT 路由器嚴(yán)格規(guī)定只接受來自原始目的地址(信令服務(wù)器)的流量�����,會要求新開一個隨機源端口來接受來自其他 IP 的流量(比如其他客戶端試圖使用原來的通信源端口)�。運營商級別的 NAT 就是這么干的,比如蜂窩網(wǎng)絡(luò)和一些企業(yè)網(wǎng)絡(luò)�,它們專門用這種方法來防止打洞連接。更多細(xì)節(jié)請參考下一部分的 NAT 到 NAT 連接實踐的章節(jié)����。
如果某一端同時連接了多個對端,當(dāng)它想訪問某個 IP 時��,如果有具體的路由可用����,則優(yōu)先使用具體的路由,否則就會將流量轉(zhuǎn)發(fā)到中繼服務(wù)器����,然后中繼服務(wù)器再根據(jù)系統(tǒng)路由表進(jìn)行轉(zhuǎn)發(fā)。你可以通過測量 ping 的時間來計算每一跳的長度����,并通過檢查對端的輸出(wg show wg0)來找到 WireGuard 對一個給定地址的路由方式���。
WireGuard 報文格式
WireGuard 使用加密的 UDP 報文來封裝所有的數(shù)據(jù),UDP 不保證數(shù)據(jù)包一定能送達(dá)�����,也不保證按順序到達(dá)�,但隧道內(nèi)的 TCP 連接可以保證數(shù)據(jù)有效交付。WireGuard 的報文格式如下圖所示:
關(guān)于 WireGuard 報文的更多信息可以參考下面幾篇文檔:
WireGuard 的性能
WireGuard 聲稱其性能比大多數(shù) 威屁恩 協(xié)議更好���,但這個事情有很多爭議�,比如某些加密方式支持硬件層面的加速���。
WireGuard 直接在內(nèi)核層面處理路由���,直接使用系統(tǒng)內(nèi)核的加密模塊來加密數(shù)據(jù),和 Linux 原本內(nèi)置的密碼子系統(tǒng)共存�����,原有的子系統(tǒng)能通過 API 使用 WireGuard 的 Zinc 密碼庫��。WireGuard 使用 UDP 協(xié)議傳輸數(shù)據(jù)���,在不使用的情況下默認(rèn)不會傳輸任何 UDP 數(shù)據(jù)包�����,所以比常規(guī) 威屁恩 省電很多�����,可以像 55 一樣一直掛著使用���,速度相比其他 威屁恩 也是壓倒性優(yōu)勢。
關(guān)于性能比較的更多信息可以參考下面幾篇文檔:
WireGuard 安全模型
WireGuard 使用以下加密技術(shù)來保障數(shù)據(jù)的安全:
使用 ChaCha20 進(jìn)行對稱加密�,使用 Poly1305 進(jìn)行數(shù)據(jù)驗證。
利用 Curve25519 進(jìn)行密鑰交換���。
使用 BLAKE2 作為哈希函數(shù)���。
使用 HKDF 進(jìn)行解密。
WireGuard 的加密技術(shù)本質(zhì)上是 Trevor Perrin 的 Noise 框架的實例化�,它簡單高效,其他的 威屁恩 都是通過一系列協(xié)商��、握手和復(fù)雜的狀態(tài)機來保障安全性�����。WireGuard 就相當(dāng)于 威屁恩 協(xié)議中的 qmail,代碼量比其他 威屁恩 協(xié)議少了好幾個數(shù)量級����。
關(guān)于 WireGuard 加密的更多資料請參考下方鏈接:
WireGuard 密鑰管理
WireGuard 通過為每個對等節(jié)點提供簡單的公鑰和私鑰來實現(xiàn)雙向認(rèn)證,每個對等節(jié)點在設(shè)置階段生成密鑰�,且只在對等節(jié)點之間共享密鑰。每個節(jié)點除了公鑰和私鑰����,不再需要其他證書或預(yù)共享密鑰。
在更大規(guī)模的部署中����,可以使用 Ansible 或 Kubernetes Secrets 等單獨的服務(wù)來處理密鑰的生成、分發(fā)和銷毀����。
下面是一些有助于密鑰分發(fā)和部署的服務(wù):
如果你不想在 wg0.conf 配置文件中直接硬編碼,可以從文件或命令中讀取密鑰��,這使得通過第三方服務(wù)管理密鑰變得更加容易:
[Interface]
...
PostUp = wg set %i private-key /etc/wireguard/wg0.key <(cat /some/path/%i/privkey)
從技術(shù)上講����,多個服務(wù)端之間可以共享相同的私鑰,只要客戶端不使用相同的密鑰同時連接到兩個服務(wù)器��。但有時客戶端會需要同時連接多臺服務(wù)器��,例如����,你可以使用 DNS 輪詢來均衡兩臺服務(wù)器之間的連接,這兩臺服務(wù)器配置相同���。大多數(shù)情況下��,每個對等節(jié)點都應(yīng)該使用獨立的的公鑰和私鑰����,這樣每個對等節(jié)點都不能讀取到對方的流量�����,保障了安全性��。
該文章在 2024/7/24 18:54:39 編輯過
400 186 1886
