WireGuard: Melampaui Konfigurasi Dasar

 (sloonz.github.io)
3 poin oleh GN⁺ 2024-11-25 | 1 komentar | Bagikan ke WhatsApp

  • Konfigurasi Dasar

    • Berbagi pengalaman tentang upaya mengganti OpenVPN dengan WireGuard.
    • Ringkasan konfigurasi dasar:
      • Membuat pasangan kunci untuk server dan klien masing-masing.
      • Menentukan jaringan VPN dan alamat IP.
      • Menulis lalu menjalankan file konfigurasi server dan klien.
      • Dengan menggunakan namespace jaringan, koneksi VPN dan internet dapat dipisahkan.

  • NAT

    • Menyelesaikan masalah pada beberapa aplikasi yang tidak berfungsi di balik NAT.
    • Masalah NAT dapat diatasi dengan menggunakan UPnP.
    • Karena WireGuard secara bawaan tidak mendukung UPnP, diperlukan konfigurasi manual.
    • Fitur UPnP dapat ditambahkan melalui instalasi dan konfigurasi miniupnpd.

  • IPv6

    • Cara yang lebih baik untuk menyelesaikan masalah NAT adalah dengan tidak menggunakan NAT.
    • Dengan menggunakan IPv6, alamat yang dapat dirutekan secara publik dapat diberikan tanpa NAT.
    • Dengan menetapkan alamat IPv6 ke server dan klien, komunikasi tetap dapat dilakukan tanpa NAT.
    • Melalui konfigurasi IPv6, akses dari internet publik dimungkinkan tanpa UPnP.

Bacaan terkait

1 komentar

 
GN⁺ 2024-11-25
Komentar Hacker News

  • Ingin menyiapkan server pribadi dan menyediakan layanan yang bisa diakses dari web. Berhasil menggunakan Caddy untuk memetakan subdomain ke layanan, tetapi Tailscale Magic DNS tidak mendukung subdomain. Ingin menyiapkan pihole untuk membuat server DNS pribadi sebagai solusinya. Bertanya-tanya apakah ini batasan WireGuard

  • Menemukan situs yang berguna saat menyiapkan WireGuard: Procustodibus Wireguard Topologies

  • Dengan menyiapkan record DNS dinamis untuk memetakan nama host ke IP dinamis jaringan rumah, penggunaan VPN pribadi menjadi mungkin. Dengan ini, layanan lokal bisa diakses dari jarak jauh tanpa diekspos ke internet publik

  • Ada kesalahpahaman bahwa NAT wajib saat menggunakan WireGuard. Sebenarnya, jika host tujuan mengenali server WireGuard sebagai gateway, routing subnet biasa akan bekerja dengan baik. Cukup dengan menyiapkan rute statis pada router utama

  • Bertanya apakah ada buku bagus yang membahas prinsip, implementasi, dan konfigurasi WireGuard. Katanya buku terkait IPSEC banyak, tetapi yang membahas WireGuard jarang

  • Merasa aneh bahwa di WireGuard tidak ada cara mudah untuk menyalurkan semua trafik kecuali IP tertentu. Harus membuat daftar semua CIDR selain IP tertentu itu secara terprogram

  • Menyayangkan tidak adanya fitur RBAC. WireGuard memang lebih cepat daripada OpenVPN, tetapi karena RBAC, untuk karyawan dan kontraktor tetap harus memakai OpenVPN

  • Sedang menggunakan WireGuard dan IPv6, tetapi fitur delegasi prefiks IPv6 tidak berfungsi. Ingin agar perangkat bisa memilih dan mengubah alamatnya sendiri seperti pada subnet Ethernet biasa

  • Di WireGuard, belum berhasil membuat port forwarding berfungsi dengan benar tanpa masquerading. Untuk mempertahankan source IP, harus menambahkan 0.0.0.0/0 ke AllowedIPs, tetapi ini menghalangi respons aplikasi kembali ke sumber

  • Sedang membangun infrastruktur berbasis IPv6. Ingin memanfaatkan kriptografi modern dan desain stateless dari WireGuard, tetapi tanpa mengadopsi skema alamat WireGuard dan tetap mempertahankan skema alamat IPv6