Témakörök

MikroTik RouterOS 7 - WireGuard

1 0
2022.09.08. 17:58

Folytatódik a MikroTik RouterOS 7-et és annak főbb funkcióit / újdonságait bemutató sorozatunk. A mai epizódban a már korábban is érintett VPN technológiával foglalkozunk, azon belül is egy új beépített funkcióval, ami nem más, mint a WireGuard. A videóban minden fontos információt megtudhattok a WireGuardról, illetve gyakorlati példákon keresztül szemléltetjük konfigurálási lehetőségeit, előnyeit, valamint kisebb buktatóit.

Először nézzük meg azt, hogy az UDP alapú WireGuard milyen lehetőségeket és funkcionalitást kínál számunkra az eddig megszokott VPN megoldásokhoz képest. A klienseket mindeddig valamilyen fajta kapcsolat alapú VPN megoldással (PPTP, L2TP, SSTP stb.) csatlakoztattuk hálózatunkhoz. Ezen megoldások mellett a NAT-olás folyamatos kihívás és feladat elé állította a hálózatot felügyelő rendszergazdákat. A WireGuard számos eddigi nehézségre kínál egzakt egyszerű és könnyen paraméterezhető megoldást, de természetesen itt is vannak apróbb buktatók és áthidalandó problémás részek. A WireGuard használatakor valós kapcsolat nem történik a szerver és a kliens berendezés között. Információcsere megvalósul, de nincs meg az a klasszikus konnektivitás, amely miatt oly sokszor fő a fejünk amikor megszakad a VPN kapcsolat egy esetleges roaming vagy egyéb hálózati esemény közepette.

A kliens szerver kapcsolat párosításához a WireGuard un. crypto-cookie-kat használ melynek segítségével köti össze az adott kliens-t a szerverrel. Működés közbeni viselkedése nagyon hasonlít a kulcs alapú SSH-hoz. Vannak privát és publikus kulcsok, melyeket egymással megosztva történik a kommunikáció. A titkosításokat HASH-elési eljárásokat a legújabb és leghatékonyabb megoldásokkal végzi. Egyedüli veszélye, hogy ezek „bedrótozva” szerepelnek az alkalmazásba így, ha esetlegesen valamelyik kompromittálódik minél hamarabb szükséges a frissített verziót kiadni adott platformra és elvégezni a frissítést a hálózatbiztonság érdekében.

A WireGuard egy Layer 3-as VPN így az ezen átmenő forgalom nem bridgelhető. Cserébe mind IPV4 és IPV6 protokoll-t is szem előtt tartották így 4 to 6 tunnel, 6 to 4 tunnel vagy pusztán IPv4 és IPv6 átvitelére is. A fragmentáció miatt fontos kérdés az overhead méret mely IPv6 esetén 80byte míg IPv4 esetén 60byte. A WireGuard további előnye a gyorsasága mely az OpenVPN-nel összehasonlítva a 4x-es.

Konfigurációja rendkívül egyszerű és könnyen paraméterezhető mind RouterOS oldalról mind pedig kliens oldalról. Ezeket a lépéseket és az apróbb finomításokat mutatjuk be nektek fenti videónkban.

Hozzászólás írása

Hozzászólások

Ez a blogbejegyzés csak belépve kommentelhető!

Még nincs egy hozzászólás sem.