sorunsallar (1)
  • linode'un misafir ettiği vps'imde ve üzerinde pi-hole çalıştırdığım ev şebekeme bağlı raspberry pi'da bir kaç aydır kullandığım vpn protokolü. iphone telefonum 7/24 pi'da çalışan wireguard'a bağlı. geleneksel vpn yazılımlarına kıyasla kurulum ve ayar aşırı kolay. bir defa bile sorun çıkmadı, bağlantı hızı ve kopan bağlantı sonrasinda yeniden bağlanma hızı da çok iyi. üstelik tcp yerine udp üzerinden çalıştığı için bir sunucuda wireguard çalışıyor mu çalışmıyor mu tespiti olanaksız zira wireguard izin verdiği anahtarla şifrelenmemiş paketleri görmezden geliyor. dolayısıyla sansürlenmesi mümkün değil. şimdiye kadar kullandığım en şık (bkz: elegant) yazılımlar arasındadır kesinlikle.

    edit: yanına da dnsmasq kurarsanız bağlandığınız sitelerin internet servis sağlayıcınızı dolayısıyla asıl ip adresinizi tespit etme riskini de azaltırsınız. (bkz: dns leak)

    şu adreste kurulumu kolay anlaşılır şekilde anlatılmış: https://snikt.net/…d-with-a-raspberry-pi-as-server/
  • https://www.wireguard.com/ adresinden incelenebilecek yeni ve buyuk ihtimalle gelecekte en yaygin bir sekilde kullanilacak olan vpn protokolu. daha o kadar yeni ki windows yazilimi hazir degil. hali hazirda bazi vpn firmalari desteklemekte. farki, openvpn ve diger vpn protokollerinden cok daha hizli bir sekilde vpn hizmetinden faydalanmaniz ve minimalist bir kod yapisina sahip olmasi. bu sekilde audit yapilmasi da cok kolaylasmis oluyor. guvenlik konusunda da gunumuzun en modern sifreleme teknolojilerini kullaniyor. hali hazirda resmi auditlerden gecmis durumda. ben birkac gundur ios'da aktif olarak kullaniyorum. openvpn'e gore baglanti hizinda daglar kadar fark var. inanilmaz hizli. vpn servere baglanmasi da cok hizli. openvpn'de sifreleme yuzunden cok hiz kaybi yasiyorsunuz. wireguard'da boyle bir problem yok. saniyorum windows versiyonu da ciktiktan sonra zamanla openvpn'in yerini rahatlikla alacak gibi gorunuyor.

    son olarak tabiki de acik kaynak kodlu bir yazilim.
  • gün itibarı ile superonline, tt ve vodafone'da yasaklanmış protokol. bu da superonline'dan gelen cevap;

    "merhaba,
    5651 sayılı kanun, 6. madde, ç) fıkrası uyarınca btk kuralları gereği vpn erişimleri sol bireysel altyapıda engellenmiştir. teknik bir problem yoktur, bilginize.
    saygılarımla."

    işin komik tarafı "bireysel" işlerim için sahip olduğum linux noduna outline kurup "bireysel" çıkış yapmam 5 dakika kadar sürdü. şirkette uzak bağlantı için kullandığımız wireguard ağı kaput oldu. küfür edecek kadar bile enerjim yok.
  • 1.0 sürümü linux 5.6'yla yayınlanmış.
  • az önce shadowsocks ile superonline'ın uyguladığı throttling olayını aştığım protokol. hem de chacha20-ietf-poly1305 ile!

    server:
    $ ss-server -s 0.0.0.0 -p 1337 -k "shadowsocks şifresi" -m chacha20-ietf-poly1305 -u
    -s 0.0.0.0: dinlenilecek adres, hepsinden dinlemek için 0.0.0.0 kalsın
    -p 1337: dinlenilecek port (1024+)
    -u yerine -u*: tcp relay iptal

    client:
    $ ss-tunnel -s x.x.x.x -p 1337 -b 10.0.0.2 -l 51820 -l* y.y.y.y:51820 -k "shadowsocks şifresi" -m chacha20-ietf-poly1305 -u
    -s x.x.x.x: server'ın ip adresi
    -p 1337: serverdaki dinlenilen port
    -b 10.0.0.2: lokal dinlenilecek adres
    -l 51820: lokal dinlenilecek port
    -l* y.y.y.y:51820: wireguard'ın serverda dinlediği adres/port

    sonra da wireguard client:
    [peer]
    publickey = publickey
    allowedips = 0.0.0.0/1, 128.0.0.0/1
    endpoint = 10.0.0.2:51820
  • superonline'ın deep packet inspection ile ya headerındaki paket tipine göre, ya da handshake boyutunun sabit olması nedeniyle filtreleyebildiğine kanaat getirdiğim protokol. bu iki alanı herhangi bir şekilde obfuscate ederseniz trafik değerleri ve performansı normale dönüyor.

    örnek olarak tavsiye edebileceğim library udpack. ha yok direkt binary isterim derseniz udpmask:

    (server 1.2.3.4)
    ~/udpmask-master $ make
    ~/udpmask-master $ ./udpmask -m server -c 10.0.0.2 -o 51820 -p 51819

    -c 10.0.0.2: serverda wireguard'ın dinlediği adres
    -o 51820: serverda wireguard'ın dinlediği port
    -p 51819: client'ın paketleri göndereceği, firewall'dan izinli ve boş bi port

    (client 10.2.3.4)
    ~/udpmask-master $ make
    ~/udpmask-master $ ./udpmask -m client -c 1.2.3.4 -o 51819 -p 51820

    -c 1.2.3.4: server adresi
    -o 51819: udpmask'in paketleri göndereceği server portu (server'ın -p değeri)
    -p 51820: lokal, boş port

    ve wireguard client:

    [peer]
    publickey = publickey
    allowedips = 0.0.0.0/1, 128.0.0.0/1
    endpoint = 10.2.3.4:51820
  • bi üstteki entry'ye istinaden, bende biraz bilgi vermek istedim.

    ben de kendim digital ocean'dan kiraladığım bi vps üstünde wireguard ile (bkz: pihole) birlikte çalıştırıyorum. 4 dolarlık sunucu bana yetiyor. fazla fazla yetecektir eğer tek amacınız vpn kurmak ise. ben pihole ile birlikte kullanıyorum böylece reklamları da engellemiş oluyorum. gerçekten kurması ve ayağa kaldırması acayip kolay.

    step by step yapılcaklar (hali hazırda temel olarak az çok linux'e hakim olduğunuzu varsayıyorum):
    - digital ocean'dan bir vps kiralanır (veya herhangi bir sağlayıcı farketmez)
    - root olarak giriş yapılır. sistem güncellenir, yeni kullanıcı oluşturulur, sudo yetkisi verilir, root ile ssh kapatılır (ufak bi güvenlik önlemi size kalmış bu kısımlar)
    - docker-compose kurulur (debian/ubuntu ve türevleri için: apt-get install -y docker-compose)
    - sudo yazmadan docker kullanmak için şu komut çalıştırılır: sudo gpasswd -a $user docker
    - ve son olarak, home dizininde, veya artık nerde çalıştırmak istiyosanız, yeni bi klasör oluşturup, içinde docker-compose.yml isminde bi dosya oluşturuyoruz.
    - oluşturduğumuz dosyaya aşağıdaki herşeyi yapıştırıyoruz:

    ************************************************************
    version: "3"

    networks:
    private_network:
    ipam:
    driver: default
    config:
    - subnet: 10.2.0.0/24

    services:
    wireguard:
    depends_on: pihole
    image: linuxserver/wireguard
    container_name: wireguard
    cap_add:
    - net_admın
    - sys_module
    environment:
    - puıd=1000
    - pgıd=1000
    - tz=europe/ıstanbul
    - serverport=51820
    - peers=1
    - peerdns=10.2.0.100
    - ınternal_subnet=10.6.0.0

    volumes:
    - ./wireguard:/config
    - /lib/modules:/lib/modules
    ports:
    - "51820:51820/udp"
    dns:
    - 10.2.0.100
    sysctls:
    - net.ipv4.conf.all.src_valid_mark=1
    restart: unless-stopped
    networks:
    private_network:
    ipv4_address: 10.2.0.3

    pihole:
    container_name: pihole
    image: pihole/pihole:latest
    restart: unless-stopped
    hostname: pihole
    dns:
    - 127.0.0.1
    environment:
    tz: "europe/ıstanbul"
    webpassword: "admin"
    serverıp: 10.2.0.100
    volumes:
    - "./etc-pihole/:/etc/pihole/"
    - "./etc-dnsmasq.d/:/etc/dnsmasq.d/"
    cap_add:
    - net_admın
    networks:
    private_network:
    ipv4_address: 10.2.0.100
    ************************************************************

    - son olarak, docker-compose up -d yazıp çalıştırıyoruz
    - veee vpn sunucumuz hazır. telefondan wireguard uygulamasını indirip qr kodu taratıp vpn'e bağlanabiliriz.
    - qr kodu görmek için: docker exec -it wireguard /app/show-peer 1
    - qr codu scan edip bağlanıyoruz. bu kadar
    - pihole arayüzüne erişmek için: http://10.2.0.100/admin bu adresten erişebilirz. şifre admin. docker compose dosyanızdan bunları isterseniz değiştirebilirsiniz.

    vee bu şekilde. artık sizin de kendi vpn sunucunuz var. güle güle kullanın

    edit: link patlamış. direk koydum config dosyasını boşlukları eklersiniz.
  • diğer vpn protokollerine göre çok daha hızlı bağlanan vpn protokolü. open vpn 3-4 saniyede bağlanırken bu neredeyse anında bağlanıyor lan çok garipsedim*. şaka bir yana hakikatten hızlı ve kullanımı da bayağı kolay bir protokol kendisi.

    kullanmak için mullvad vpn'den hesap açıp kullanım süresi aldıktan sonra mullvad wireguard config generatordan anahtar oluşturup (server olarak "hepsi" seçeneğini seçmek daha mantıklı zira teker teker bütün serverlar'a ayrı anahtar oluşturmak yerine hepsini tek seferde indirmenize olanak sağlıyor) config dosyasını indiriyoruz. ardından wireguardın official sayfasından kullandığımız işletim sistemine uyumlu olan versiyonunu indiriyoruz (windows versiyonu yeni çıktı artık 3.parti uygulamaları kullanmanıza gerek yok ve tehlikeli). uygulamada dosya ile bağlantı ekle deyip hangi server'a bağlanmak istiyorsak o server'ın config dosyasını wireguard'dan aldığımız config dosyaları arasından seçiyoruz ve nur topu gibi bir vpn elde ediyoruz.

    ayriyeten superbox kullanıyorsanız 4.5g ağı üzerinden bağlanabileceğiniz nadir vpn protokollerinden biridir.
  • openvpn için şükür edenler sayesinde şimdi küfür ediyor. bu kadar kusursuz ve hafif bir çözüm bir daha üretilemez vpn alanında.
    db sunucusunu wireguard ile app sunucusuna bağlayarak mongodb orospusunu kontrol altına alabilir, güvenli bir hale getirebilirsiniz.
  • deneysel olsa da hali hazırda openvpn'den 4 kat daha hızlı foss vpn protokolü. kendi vps sunucumda openvpn'i tamamen silip wireguard kullanmaya başladım. kurulumu da oldukça basittir.

    benchmark
    vpn amaçlı konfigürasyon
hesabın var mı? giriş yap