P2P不同内网主机通讯之利用虚拟局域网方式

2024-11-09 21 0

最近刷到某作者被抓,我想深入学习一下点到点通讯,创个系列一步一步来

两台不同内网主机无法直接通信,有多种方式解决,这里采取利用个人vps建立一个虚拟专用网络

目的: 绕过 对称型NAT限制,使主机之间可以直接通信

辉皮恩(虚拟专用网络):通过在公共网络上建立加密通道,使两台主机仿佛处于同一局域网内

我们将使用 WireGuard来搭建 ,因为它性能高、配置简单。

1、在 VPS 上安装并配置 WireGuard 服务器。

2、在每台主机上安装并配置 WireGuard 客户端。

3、通过 虚拟局域网进行通信,使用虚拟 IP 地址。

服务端安装配置

下载wireguard

sudo apt install wireguard

查看/etc/wireguard目录下没有任何文件,这是正常的,因为还没有生成密钥和配置文件。

cd /etc/wireguard

生成服务器的私钥和公钥

先设置文件权限掩码,确保密钥文件的安全性

umask 077 
生成服务器的私钥和公钥root@VM-24-16-debian:/etc/wireguard# wg genkey | tee privatekey | wg > publickey
root@VM-24-16-debian:/etc/wireguard# ls -al
总用量 12
drwx------  2 root root 4096 11月  4 15:23 .
drwxr-xr-x 99 root root 4096 11月  4 15:18 ..
-rw-------  1 root root   45 11月  4 15:23 privatekey
-rw-------  1 root root    0 11月  4 15:23 publickey

权限为-rw-------

创建wireguard配置权限

nano /etc/wireguard/wg0.conf

也可以使用vi编辑

添加如下规则:

[Interface]
PrivateKey = <服务器私钥内容>
Address = 10.0.0.1/24
ListenPort = 51820
#<服务器私钥内容>:将 /etc/wireguard/privatekey 文件中的内容复制粘贴到这里
#Address:虚拟局域网 服务器的虚拟 IP 地址,您可以根据需要更改,但客户端需要对应配置
#ListenPort:WireGuard 监听的端口,默认是 51820,也可以更改为其他未被占用的端口。
# 防火墙规则和 IP 转发(可选,根据您的需求)
PostUp = sysctl -w net.ipv4.ip_forward=1
PostUp = iptables -A FORWARD -i %i -j ACCEPT
PostUp = iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = sysctl -w net.ipv4.ip_forward=0
PostDown = iptables -D FORWARD -i %i -j ACCEPT
PostDown = iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
#PostUp 和 PostDown:这些命令在接口启动和关闭时执行,用于配置防火墙规则和启用 IP 转发。#如果您的服务器没有安装 iptables 或使用其他防火墙,可以根据情况修改或删除这些行。

记得#<服务器私钥内容>:将 /etc/wireguard/privatekey 文件中的内容复制粘贴到这里

启动WireGuard服务

确保配置文件权限正确 600

chmod 600 /etc/wireguard/wg0.conf

启动WireGuard接口

wg-quick up wg0

验证wireguard接口状态

wg-quick up wg0

设置开机自启

systemctl enable [email protected]

这里,[email protected]是 WireGuard 软件包在安装时自动提供的一个 systemd 服务模板,用于管理 WireGuard 网络接口。[email protected]中的wg0会替换模板中的%i,对应于wg-quick@****0.service敏感词辉皮恩注解了。 其中%i是一个占位符,代表要管理的 WireGuard 接口名称。

具体内容通过以下命令查看了解[email protected]服务模板的内容。这里不再详细解释

cat /lib/systemd/system/[email protected]

我这里执行的时候报错:

root@VM-24-16-debian:/etc/wireguard# systemctl enable [email protected]

Invalid unit name "[email protected]" was escaped as "\x5bemail\xc2\xa0protected\x5d" (maybe you should use systemd-escape?)

Failed to enable unit: Unit file \x5bemail\xc2\xa0protected\x5d.service does not exist.

是由于终端或命令行中,@符号后面的内容被误认为是电子邮件地址,导致命令被错误解析

可以使用单引号括起服务名称 , 防止特殊字符被误解析。

systemctl enable 'wg-quick@wg0'

windows客户端安装配置

官网下载

https://www.wireguard.com/install/

选择windows install 下载后执行安装

生成密钥对

由于 Windows 客户端没有内置的命令行工具来生成密钥,我们可以使用 WireGuard 提供的图形界面或使用命令行工具wg

需要管理员权限打开

cd "C:/Program Files\WireGuard"
wg genkey > client_privatekey
wg pubkey < client_privatekey > client_publickey

然后通过type查看

type client_privatekey
type client_publickey

配置客户端

新建一个空隧道

在新建窗口进行配置

[Interface]
PrivateKey = <客户端私钥>
Address = 10.0.0.2/32  # 第一个客户端使用10.0.0.2,第二个使用10.0.0.3
DNS = 8.8.8.8  # 可选
[Peer]
PublicKey = <服务器公钥>
PresharedKey = <预共享密钥,可选>
Endpoint = <VPS_IP>:51820
AllowedIPs = 10.0.0.0/24
PersistentKeepalive = 25

可以查看对应文件进行填入

PrivateKey:填写生成的客户端私钥。
Address:客户端的虚拟 IP 地址,每个客户端应使用不同的 IP。
PublicKey:填写服务器的公钥(需要从服务器获取)。
Endpoint:服务器的公网 IP 地址和 WireGuard 监听的端口(通常为 51820)。
AllowedIPs:指定通过虚拟机局域网传输的 IP 范围,0.0.0.0/0 表示所有流量都通过虚拟局域网 。

在vps上添加客户端公钥

编辑/etc/wireguard/wg0.conf文件。

添加客户端信息

[Peer]
PublicKey = <客户端公钥>
AllowedIPs = 10.0.0.2/32  # 对应客户端的虚拟 IP

注意:

  • 如果有多个客户端,重复进行添加,并且进行修改对应信息
  • [Interface][Peer]部分之间应有一个空行。
  • 注释行应单独占一行,或放在配置项的末尾,并使用空格分隔。

重启wireguard服务

systemctl restart 'wg-quick@wg0'

如果出错可以采用手动方式,先暂停清除后,重新启动

sudo wg-quick down wg0  #确保接口关闭
ip link show wg0				#验证接口是否关闭
sudo ip link delete wg0 #如果仍存在手动删除
sudo systemctl stop wg-quick@wg0	#停止wiredguid服务
sudo pkill -f wg-quick						#可能有残留进程,进行终止
sudo systemctl start wg-quick@wg0	#重新启动服务
sudo systemctl status wg-quick@wg0#检查服务状态
ip link show wg0									#验证接口是否正常创建

通过ping测试连接

ping 10.0.0.1

请注意:测试前确保防火墙规则添加

可以通过: 允许端口51820的 UDP 流量:

sudo ufw allow 51820/udp
或者:sudo iptables -A INPUT -p udp --dport 51820 -j ACCEPT

可能出现的问题: 服务器配置中,PostUpPostDown使用了eth0作为网卡名称。然而,您的服务器可能使用了不同的网卡名称,例如ens3eth1等。

可以使用ip addr 查看网卡名称

此时客户端和服务端连接便已经成功

重复上述步骤配置第二个客户端

第二个客户端的Address应为10.0.0.3/24

在服务器的配置文件中添加第二个客户端的[Peer]AllowedIPs10.0.0.3/32

此时两台主机便仿佛处于同一局域网内

遇到问题

解决 debian10 git不到wireguard问题

使用的是 Debian 10(buster)或更早的版本,需要启用 backports 仓库来安装 WireGuard。

1. 编辑 sources.list 文件

使用您喜欢的文本编辑器(如 nano)打开/etc/apt/sources.list文件:

sudo nano /etc/apt/sources.list

2. 添加 backports 仓库

在文件末尾添加以下行:

deb http://deb.debian.org/debian buster-backports main

3. 保存并退出

  • Ctrl + O保存文件。
  • Enter确认文件名。
  • Ctrl + X退出编辑器。

4. 更新软件包列表

sudo apt update

5. 安装 WireGuard

sudo apt install wireguard -t buster-backports

参考链接:

组网神器WireGuard安装与配置教程(超详细)_wirguard-CSDN博客

WireGuard 教程:WireGuard 的工作原理 - 知乎


4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。

本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!

程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)

相关文章

webpack打包站点,js文件名批量获取思路
加密对抗靶场enctypt——labs通关
【论文速读】| 注意力是实现基于大语言模型的代码漏洞定位的关键
蓝队技术——Sysmon识别检测宏病毒
内网渗透学习|powershell上线cs
LLM attack中的API调用安全问题及靶场实践

发布评论