WireGuard: Temel Yapılandırmanın Ötesinde

 (sloonz.github.io)
3 puan yazan GN⁺ 2024-11-25 | 1 yorum | WhatsApp'ta paylaş

  • Temel yapılandırma

    • OpenVPN'i WireGuard ile değiştirme girişimine dair deneyim paylaşımı.
    • Temel yapılandırmanın özeti:
      • Sunucu ve istemcinin her biri için anahtar çifti oluşturma.
      • VPN ağı ve IP adreslerini belirleme.
      • Sunucu ve istemci yapılandırma dosyalarını yazma ve çalıştırma.
      • Ağ namespace'leri kullanılarak VPN ile internet bağlantısı ayrılabilir.

  • NAT

    • NAT arkasında çalışmayan bazı uygulamaların sorunlarını çözme.
    • NAT sorunları UPnP kullanılarak çözülebilir.
    • WireGuard varsayılan olarak UPnP'yi desteklemediği için manuel yapılandırma gerekir.
    • miniupnpd kurulumu ve yapılandırmasıyla UPnP işlevi eklenebilir.

  • IPv6

    • NAT sorunlarını çözmenin daha iyi yolu NAT kullanmamaktır.
    • IPv6 kullanılarak NAT olmadan herkese açık yönlendirilebilir adresler atanabilir.
    • Sunucu ve istemciye IPv6 adresleri atanarak NAT olmadan da iletişim kurulabilir.
    • IPv6 yapılandırması sayesinde UPnP olmadan da genel internetten erişim mümkün olur.

İlgili okumalar

1 yorum

 
GN⁺ 2024-11-25
Hacker News yorumları

  • Kişisel bir sunucu kurup web üzerinden erişilebilen hizmetler sunmak istiyor. Caddy kullanarak alt alan adlarını hizmetlere eşlemeyi başarmış, ancak Tailscale Magic DNS alt alan adlarını desteklemiyor. Bunu çözmek için pihole kurarak kişisel bir DNS sunucusu oluşturmak istiyor. Bunun Wireguard'ın bir sınırlaması olup olmadığını merak ediyor

  • Wireguard yapılandırırken faydalı bir site bulmuş: Procustodibus Wireguard Topologies

  • Dinamik DNS kaydı ayarlayıp ana bilgisayar adını ev ağının dinamik IP'sine eşlerseniz kişisel VPN kullanımı mümkün hale gelir. Bu sayede yerel hizmetlere onları genel internete açmadan uzaktan erişebilirsiniz

  • Wireguard kullanırken NAT'ın zorunlu olduğuna dair bir yanlış anlama var. Aslında hedef ana bilgisayar Wireguard sunucusunu ağ geçidi olarak görürse normal alt ağ yönlendirmesi gayet iyi çalışır. Varsayılan yönlendiricide statik rota tanımlamak yeterlidir

  • Wireguard'ın çalışma prensiplerini, uygulamasını ve yapılandırmasını ele alan iyi bir kitap olup olmadığını merak ediyor. IPSEC ile ilgili çok sayıda kitap var ama Wireguard için nadir olduğunu söylüyor

  • Wireguard'da belirli bir IP hariç tüm trafiği tünellemenin kolay bir yolu olmamasını tuhaf buluyor. Belirli bir IP hariç tüm CIDR listesini programatik olarak üretmek gerekiyor

  • RBAC özelliğinin olmaması can sıkıcı. Wireguard, OpenVPN'den daha hızlı ama RBAC yüzünden çalışanlar ve yükleniciler için OpenVPN kullanmak zorunda kalıyor

  • Wireguard ve IPv6 kullanıyor, ancak IPv6 prefix delegation özelliği çalışmıyor. Cihazların normal bir Ethernet alt ağı gibi kendi adreslerini seçip değiştirebilmesini istiyor

  • Wireguard'da port yönlendirmeyi masquerading olmadan düzgün çalıştıramıyor. Kaynak IP'yi korumak için AllowedIPs'e 0.0.0.0/0 eklemek gerekiyor, ancak bu da uygulamanın yanıtlarının kaynağa geri dönmesini engelliyor

  • IPv6 tabanlı bir altyapı kuruyor. Wireguard'ın modern şifrelemesi ve stateless tasarımından yararlanırken Wireguard adresleme şemasını benimsemeden IPv6 adresleme şemasını korumak istiyor