Manuale Utente (Inglese)

Ogni tunnel WireGuard è un'interfaccia di sistema che opera al terzo livello (rete) del modello OSI. Il traffico può essere instradato al suo interno e le policy di accesso IP possono essere configurate (schermo di rete).

L'interfaccia WireGuard ha diversi parametri di configurazione principali: coppia di chiavi privata e pubblica, indirizzo e porta di ascolto.

Quando si crea l'interfaccia WireGuard, sarà necessario creare una coppia di chiavi di crittografia — Privata e Pubblica, nonché assegnare l'indirizzo IP interno del dispositivo nel tunnel VPN e determinare il numero della porta di ascolto sul lato del server VPN.

Le chiavi Private e Pubbliche sono usate per proteggere la connessione. Queste chiavi sono utilizzate per autenticare i membri. Le chiavi pubbliche e private sono una coppia di chiavi che vengono create (generate) simultaneamente. Gli algoritmi crittografici prevedono l'uso congiunto di tale coppia di chiavi. Entrambe le chiavi devono 'corrispondere' alla parte crittografata dell'informazione. Ad esempio, se la crittografia viene eseguita con la chiave privata, la decrittografia può essere eseguita solo con la chiave pubblica.

È necessario generare le chiavi di crittografia su entrambi i lati del tunnel VPN. Durante la configurazione della connessione, sarà necessario scambiare solo le chiavi pubbliche su entrambi i lati del tunnel VPN.

Per quanto riguarda l'indirizzo interno dell'interfaccia del tunnel, deve essere un indirizzo idoneo dall'intervallo privato, ma non deve corrispondere alle altre sottoreti sul router Keenetic stesso. Questo indirizzo IP è specificato nel formato IP/bitmask (ad es., 10.11.12.1/24). È necessario impostare indirizzi diversi sul client VPN e sul server VPN, ma devono appartenere alla stessa sottorete. Ad esempio, 172.16.82.1/24 sul server e 172.16.82.2/24 sul client.

Sarà necessario specificare il numero della porta di ascolto sul lato del server VPN, che verrà utilizzata per le connessioni in entrata all'interfaccia WireGuard. È possibile impostare un numero di porta casuale (ad esempio, 16632); la cosa più importante è che non sia bloccata dal tuo ISP e non corrisponda alle porte già aperte di altri servizi sul router.

Quindi, è necessario aggiungere peer. Un peer è un membro o un client di una connessione specifica. È possibile creare più peer in una connessione VPN, ad esempio, per connettersi a un server VPN da vari computer o dispositivi mobili.

Ogni peer è caratterizzato in modo univoco dalla chiave pubblica del lato remoto. Sarà necessario specificare una chiave pubblica per il dispositivo, l'indirizzo IP interno del tunnel e le sottoreti consentite nelle impostazioni del peer sull'altro lato del tunnel VPN.

L'elenco delle sottoreti consentite (IP consentiti) è un parametro speciale nelle impostazioni del peer. Si tratta di aree di indirizzo da cui questo peer può ricevere traffico (indirizzi IP di origine) e a cui può essere inviato traffico (indirizzi IP di destinazione). Tecnicamente, questi indirizzi vengono utilizzati per crittografare e decrittografare il traffico. Questa tecnologia è chiamata Crypto Routing ed è una caratteristica fondamentale di WireGuard. È necessario aggiungere una sottorete 0.0.0.0/0 per consentire la trasmissione a qualsiasi indirizzo.

È essenziale specificare l'indirizzo IP pubblico o il nome di dominio del server VPN WireGuard sul lato del client VPN e specificare la porta di ascolto a cui si connetterà il client VPN (ad esempio, myrouter01.keenetic.pro:16632). Sui client VPN, questo campo è solitamente chiamato Punto finale remoto.

È inoltre necessario specificare l'intervallo dei tentativi di verifica dell'attività del peer nelle sue impostazioni. Si tratta di un controllo interno dell'accessibilità del lato remoto della connessione inviando pacchetti keepalive nel tunnel. Per impostazione predefinita, il valore di 'Keepalive persistente' nelle impostazioni del peer di Keenetic è di 30 secondi, ma di solito sono sufficienti 10 o 15 secondi tra un controllo e l'altro.

WireGuard ha un concetto di routing delle chiavi di crittografia che utilizza associazioni di chiavi private a ciascuna interfaccia di rete. La connessione VPN viene inizializzata condividendo le chiavi pubbliche ed è simile al modello SSH.

Le chiavi di crittografia sono assegnate a un elenco di indirizzi IP VPN consentiti nel tunnel. L'accesso all'elenco di indirizzi IP è consentito sull'interfaccia di rete. Quando il server accetta e decrittografa un pacchetto autenticato, il suo campo di origine viene controllato. Se corrisponde a quello specificato nel campo ''IP consentiti' del peer autenticato, l'interfaccia WireGuard accetterà il pacchetto. Quando si invia un pacchetto in uscita, l'indirizzo IP di destinazione viene controllato per determinarne la legittimità e sulla sua base viene selezionato il peer appropriato. Quindi il pacchetto viene firmato con la sua chiave, crittografato con la chiave del peer e inviato all'indirizzo pubblico e alla porta del peer (al Punto finale remoto). Tutti i pacchetti IP ricevuti sull'interfaccia WireGuard sono incapsulati in UDP e consegnati in sicurezza ad altri peer.

WireGuard protegge i dati dell'utente con tipi di crittografia avanzati: Curve25519 per lo scambio di chiavi, ChaCha20 per la crittografia, Poly1305 per l'autenticazione dei dati, SipHash per le chiavi hash e BLAKE2 per l'hashing.

Il processo di Crypto Routing consente di fornire a un utente un traffico affidabile fino al 100% e garantisce un'elevata sicurezza e prestazioni all'uscita dell'interfaccia.