megrxu

使用 WireGuard 配置一個 IPv6 Tunnel

Nov 30, 2019   #WireGuard  #Network 

WireGuard 可以用來建立安全的點對點的連線。INRIA 的研究人員於 2019 五月發表了對於該協議的一份機器證明

We contribute proofs for correctness, message secrecy, forward secrecy, mutual authentication, session uniqueness, and resistance against key compromise impersonation, identity mis-binding, and replay attacks.

更換了實驗室以後,同時也喪失了連線到教育網 IPv6 的能力,只能在寢室、或者是使用機房伺服器訪問,非常不方便。於是想透過 WireGuard 建立一個從實驗室電腦到機房伺服器的隧道,實現在實驗室電腦上也能訪問公網 IPv6。

安裝

實驗室電腦是 Arch Linux,核心使用的是官方核心,因此裝好 wireguard-toolswireguard-arch 即可。(更新:如果使用較新的核心, wireguard 模組預設已被啟用,則不再需要安裝 DKMS 核心模組,但如果是使用的其他版本的核心,則還可能需要安裝對應版本的軟體包)

在 Ubuntu 上則需要自己新增相應的源再安裝:

1
2

sudo add-apt-repository ppa:wireguard/wireguard
sudo apt install wireguard

配置

配置的方法網路上已經有很多教程,比如 WireGuard 的官方教程,Linode 的教程和 Arch Linux Wiki 上的教程,都比較靠譜,並且大同小異。

另外,如果沒有裝 linux-headers 的話,在 ip link add dev wg0 type wireguard 時會報 Error: Unknown device type. 錯誤,務必裝上自己核心版本對應的 headers 。 (更新:接前文更新,如果不再需要安裝 DKMS 的 wireguard 核心模組,則安裝核心標頭檔案也是不必須的)

原生配置檔案中的欄位副作用

一個教訓是:Peers 塊中的 AllowedIPs 不能隨意設定

  • 如果是 Server 端的配置,需要允許擁有對應公鑰的裝置 IP ,並且設定好掩碼。
  • 如果是 Client 端的配置,看情況配置:
    • 只是為了異地組網,把不同機器連起來,則只需要填入該子網的 IP 段
    • 想要訪問內(外)網路,Server 在內(外)網,則需要將要訪問的對應的內(外)網 IP 段填入。
      • 經典的配置就是 0.0.0.0/0 , ::/0,本機上所有流量都被轉發給伺服器了。(伺服器作為一個 VPN Server)
      • 如果想在外地連入校內網,則可以寫 10.0.0.0/8

AllowIPs 這個欄位通常彷彿都是人畜無害的(只是來個流量再判斷一下 IP 決定是否 drop 嘛)。但是在 WireGuard 上是有副作用的:它會新增路由,以便能夠使用 WireGuard 建立的那個網路。

所以,想象一下,如果在 Server 上設定了 AllowedIPs = 0.0.0.0, ::/0,會發生什麼?

答案
  • 如果沒有別的網絡卡,伺服器上的幾乎所有區域網 IPv4 流量都會透過 wg。
  • 而此時,大機率已經無法連線到該伺服器了。

    您好!我想借用一下機房的鑰匙。

最終配置檔案

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14

# Server
[Interface]
ListenPort = [PORT]
PrivateKey = <PrivateKey>
Address = 192.168.0.2/24, fd23:23:23::2/64
# 用 iptables 設定包轉發,注意將 <dev-name> 替換為 Server 上對應的網絡卡裝置名字
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o <dev-name> -j MASQUERADE; ip6tables -A FORWARD -i %i -j ACCEPT; ip6tables -t nat -A POSTROUTING -o <dev-name> -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o <dev-name> -j MASQUERADE; ip6tables -D FORWARD -i %i -j ACCEPT; ip6tables -t nat -D POSTROUTING -o <dev-name> -j MASQUERADE

[Peer]
PublicKey = <PublicKey>
# 只允許一個 IP
AllowedIPs = 192.168.0.3/32, fd23:23:23::3/128
Endpoint = <IP>:[PORT]

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12

# Client
[Interface]
ListenPort = [PORT]
PrivateKey = <PrivateKey>
Address = 192.168.0.3/24, fd23:23:23::3/64

[Peer]
PublicKey = <PublicKey>
# IPv4 正常用就好了,目的只是 enable IPv6。
# 這裡我偷了一下懶,把所有 IPv6 流量都指向伺服器了,這樣一來客戶端本地鏈路上的 IPv6 就無法正常訪問了(不過也通常沒什麼用)。
AllowedIPs = 192.168.0.2/32, ::/0
Endpoint = <IP>:[PORT]

最後終於:

WG IPv6
WG IPv6

Bonus: 遷移到 Systemd

後來我逐漸將自己的網路配置完全遷移到 systemd-networkd,根據 Arch Linux 優秀的文件,需要兩個檔案來配置 wireguard 連線。 其中 .netdev 檔案用於設定網路裝置,.network 用於配置路由等(此時 .netdev 中的 AllowedIPs 欄位終於幾乎對本機網路沒有副作用了,很合理)。摘錄如下。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25

# /etc/systemd/network/99-<name>.netdev
[NetDev]
Name=<name>
Kind=wireguard
Description=WireGuard tunnel for Container Network

[WireGuard]
ListenPort=<port>
PrivateKey=<private-key>

[WireGuardPeer]
PublicKey=<public-key>
AllowedIPs=<ips>
Endpoint=<endpoint>

# /etc/systemd/network/99-<name>.network
[Match]
Name=<name>

[Network]
Address=<address>

[Route]
Destination=<destination>
Scope=link

更詳細的說明可參閱文件