共计 4276 个字符,预计需要花费 11 分钟才能阅读完成。
系列文章概述
通过一系列 Wireguard 文章,咱们冀望达到以下目标:
把握常识:
- 什么是 VPN
- 什么是 WireGuard
- WireGuard 外围概念
- 什么是 Netmaker?为什么要用 Netmaker?Netmaker 和 WireGuard 的关系是什么?
入手指标:
- 装置 WireGuard
- 装置 Netmaker
实现 WireGuard Full Mesh 网络,网络包含以下节点,并实现全副的互联互通
- 阿里、腾讯、华为、百度、天翼云服务器节点
- 家庭 NAS 节点
- 家庭台式机
- 办公笔记本
- 安卓手机
- 实现基于 WireGuard Full Mesh 网络的 K8S 网络
上面来一一道来。
系列文章中,援用了大量官网和米开朗基杨博客的材料,感激伟人的肩膀。❤️❤️❤️
什么是 VPN?
虚构专用网络(VPN)是通过互联网从设施到网络的加密连贯。加密连贯有助于确保安全传输敏感数据。它能够避免未经受权的人窃听流量,并容许用户近程进行工作。VPN 技术宽泛用于企业环境。
VPN 的用处
- 企业用处:通过互联网将业务网络安全地连贯在一起的办法;
- 企业用处:容许员工从家中或通过互联网近程工作来拜访业务网络;增强对近程员工的爱护,以便他们可能随时随地通过任何设施工作。商务旅客常常应用 VPN 在旅途中拜访其业务网络,包含其所有本地网络资源。本地资源不用间接裸露在互联网上,这进步了安全性。
- 家庭用处:旅行时拜访您的家庭网络:您还能够设置本人的 VPN,以便在旅行时拜访本人的网络。这将容许您通过互联网拜访 Windows 远程桌面或家里 NAS 设施,应用本地文件共享,并通过互联网玩游戏,就像您在同一局域网(局域网)上一样。
- 其余用处:拜访受区域限度的网站,爱护您的浏览流动免受公共 Wi-Fi 的窥探等。
为什么企业会应用 VPN?
VPN 是一种 经济高效 的形式,能够平安地将近程用户连贯到企业网络,同时还能够进步连贯速度。借助 VPN,企业能够应用高带宽的第三方互联网接入,而不是低廉的专用 WAN(广域网)链接或短途近程拨号链接。
近程拜访
近程拜访 VPN 可平安地连贯公司办公室外的设施。这些设施称为端点,可能是笔记本电脑、平板电脑或智能手机。VPN 技术的提高容许在端点上进行安全检查,以确保它们在连贯之前满足特定的姿态。将近程拜访视为计算机到网络。
站点到站点
站点到站点 VPN 通过 Internet 将公司办公室连贯到分支机构。当间隔使得在这些办公室之间建设间接网络连接不切实际时,将应用站点到站点 VPN。专用设备用于建设和保护连贯。将站点到站点拜访视为网络到网络。
虚构专用网络(VPN)如何工作?
VPN 通过通过互联网建设的加密连贯来扩大企业网络。因为流量在设施和网络之间是加密的,因而流量在传输过程中放弃私密。员工能够在办公室外工作,但仍可平安地连贯到公司网络。甚至智能手机和平板电脑也能够通过 VPN 连贯。
当您将计算机(或其余设施,如智能手机或平板电脑)连贯到 VPN 时,计算机的行为就像与 VPN 位于同一本地网络上一样。您的所有网络流量都通过与 VPN 的平安连贯发送。因为您的计算机的行为就像在网络上一样,因而即便您位于世界的另一端,也能够平安地拜访本地网络资源。
当您在连贯到 VPN 时浏览网页时,您的计算机会通过加密的 VPN 连贯与网站分割。VPN 为您转发申请,并通过平安连贯将来自网站的响应转发回去。
什么是 VPN 隧道?
「隧道」是 VPN 建设的加密连贯,以便虚构网络上的流量能够通过 Internet 平安地发送。来自计算机或智能手机等设施的 VPN 流量在通过 VPN 隧道时会进行加密。
VPN 流量是否加密?
是的,个别企业虚构网络上的流量是通过在 Internet 上建设加密连贯(称为隧道)来平安发送的。来自计算机、平板电脑或智能手机等设施的 VPN 流量在通过此隧道时会进行加密。而后,异地员工能够应用虚构网络拜访企业网络。
VPN 类型
WireGuard 呈现之前,常见的 VPN 类型有:
- PPTP
- L2TP/IPsec
- SSL VPN
- OpenVPN
{% note danger %}
⚡️ 危险:
PPTP 连贯可能不平安,通过此协定传输的数据易受网络攻击。
{% endnote %}
SSL VPN 的次要劣势
它内置于古代 Web 浏览器中
SSL VPN 性能曾经内置于古代 Web 浏览器中,容许来自任何反对 Internet 的地位的用户启动 Web 浏览器以建设近程拜访 VPN 连贯。SSL VPN 技术不仅能够帮忙进步员工的工作效率,还能够升高 VPN 客户端软件和反对的老本。
大多数用户不须要装置客户端软件
SSL VPN 应用 SSL 协定及其后继者传输层安全性(TLS)在近程用户和外部网络资源之间提供平安连贯。因为大多数 Web 浏览器当初都有 SSL / TLS,因而用户通常不须要装置客户端软件即可应用 SSL VPN。这就是为什么 SSL VPN 也被称为「无客户端 VPN」或「Web VPN」。
它对最终用户非常灵活
SSL VPN 也易于应用。不同的 IPsec VPN 供应商可能有不同的实现和配置要求。但 SSL VPN 只要求用户领有古代 Web 浏览器。用户甚至能够抉择本人喜爱的 Web 浏览器,而不受操作系统的限度。
SSL VPN 的个别危险
与用户凭据相干的危险
VPN 安全性的弱小水平取决于用于在 VPN 连贯的近程端对用户和设施进行身份验证的办法。简略的身份验证办法容易受到明码 ” 破解 ” 攻打,窃听甚至社会工程攻打。双重身份验证是提供对企业网络的平安近程拜访的最低要求。
来自近程计算机的威逼流传
近程拜访是网络安全的次要威逼媒介。不满足公司平安要求的近程计算机可能会将病毒感染(如蠕虫或病毒)从其本地网络环境转发到外部网络。近程计算机上的最新防病毒软件对于升高此危险至关重要。
拆分隧道
当 VPN 隧道的近程端的设施同时与专用网络和专用网络替换网络流量,而不首先将所有网络流量放在 VPN 隧道内时,就会产生拆分隧道。这可能容许共享网络上的攻击者毁坏近程计算机并取得对专用网络的网络拜访权限。
平安机制
VPN 不能使在线连贯齐全匿名,但它们通常能够减少隐衷和安全性。为了避免隐衷信息泄露,vpn 通常只容许应用隧道协定和加密技术进行通过身份验证的近程拜访。
VPN 平安模型提供:
- 机密性,这样即便网络流量在包级别被嗅探(参见网络嗅探器和深度包查看),攻击者也只会看到加密的数据
- 发送方认证,避免非法用户拜访 VPN
- 音讯完整性,以检测篡改已传输音讯的任何实例。
平安 VPN 协定包含:
- IPsec:Internet 协定平安 (IPsec) 最后是由 Internet 工程工作组 (IETF) 为 IPv6 开发的,在 RFC 6434 将其作为举荐规范之前,它在所有遵循规范的 IPv6 实现中都是必须的,这种基于规范的平安协定也广泛应用于 IPv4 和第二层隧道协定。它的设计满足大多数平安指标:可用性、完整性和机密性。IPsec 采纳加密技术,将 IP 报文封装在 IPsec 报文中。反封装产生在隧道的末端,在那里原始的 IP 包被解密并转发到它预期的目的地。
- SSL VPN:传输层平安 (SSL/TLS) 能够对整个网络的流量进行隧道化(就像它在 OpenVPN 我的项目和 SoftEther VPN 我的项目中所做的那样)或爱护单个连贯。许多供应商通过 SSL 提供近程拜访 VPN 性能。SSL VPN 能够从 IPsec 遇到网络地址转换和防火墙规定问题的中央连贯。
- DTLS:数据报传输层平安 (DTLS) - 在 Cisco AnyConnect VPN 和 OpenConnect VPN 中应用,以解决 SSL/TLS 与 TCP 上的隧道连贯的问题 (TCP 上的隧道连贯会导致大的提早和连贯停止)。
- MPPE:微软点对点加密 (MPPE) 与点对点隧道协定 (Point-to-Point Tunneling Protocol) 一起工作,并在其余平台上的几个兼容实现中工作。
- SSTP:微软安全套接字隧道协定 (SSTP) 通过 SSL/TLS 通道传输点对点协定 (PPP) 或二层隧道协定 (SSTP 在 Windows Server 2008 和 Windows Vista Service Pack 1 中被引入)。
- MPVPN:多路径虚构专用网 (MPVPN)。Ragula 零碎开发公司领有注册商标“MPVPN”
- Secure Shell(SSH)VPN – OpenSSH 提供 VPN 隧道(不同于端口转发),以爱护与网络或网络间链路的近程连贯。OpenSSH 服务器提供无限数量的并发隧道。VPN 性能自身不反对集体身份验证
- WireGuard 是一种协定。在 2020 年,WireGuard 反对被增加到 Linux 和 Android 内核中,凋谢它被 VPN 提供商采纳。默认状况下,WireGuard 应用 Curve25519 进行密钥替换,应用 ChaCha20 进行加密,但也包含在客户端和服务器之间预共享对称密钥的能力
- IKEv2 是 Internet Key Exchange volume 2 的缩写。它由微软和思科创立,并与 IPSec 一起用于加密和身份验证。它次要用于挪动设施,无论是 3G 还是 4G LTE 网络,因为当连贯失落时,它能够无效地重新加入。
认证
在建设平安 VPN 隧道之前,必须对隧道端点进行身份验证。用户创立的近程接入 vpn 可能应用明码、生物特色、双因素认证或其余加密办法。网络到网络的隧道通常应用明码或数字证书。它们永恒地存储密钥以容许隧道主动建设,而不须要管理员的干涉。
VPN 拓扑的类型
3 种次要的 VPN 拓扑
VPN 拓扑指定作为 VPN 一部分的对等方和网络以及它们如何相互连接。以下是三种次要拓扑类型的疾速概述:
核心辐射型 (Hub-and-spoke)
在此 VPN 拓扑中,多个近程设施(辐射)与地方设施(核心)平安地通信。在集线器和每个分支之间扩大一个独自的平安隧道。点对点 (Point-to-point)
建设此拓扑须要将两个终结点指定为将间接互相通信的对等设施。任一设施都能够启动连贯。全网状网络 (Full mesh)
在这种拓扑中,这种拓扑在简单的网络中运行良好,网络中的每个设施都能够通过惟一的 IPsec 隧道与所有其余设施进行通信。
隐式反对的拓扑
还能够将三种次要的 VPN 拓扑组合在一起,以创立更简单的拓扑,包含:
- 局部网状网络 (Partial mesh)
这是一种网络,其中某些设施以全网状拓扑进行组织,而其余设施则造成与某些齐全网状设施的核心辐射型或点对点连贯。 - 分层核心辐射 (Tiered hub-and-spoke)
这是核心辐射型拓扑的网络,其中设施能够充当一个或多个拓扑中的核心,而在其余拓扑中充当分支。容许从分支组到其最间接核心的流量。 - 连贯核心辐射型 (Joined hub-and-spoke)
这是两种拓扑(核心辐射型、点对点或全网格)的组合,它们连贯以造成点对点隧道。