Rematando con WireGuard

Un detalle final e xa temos a VPN lista.

O teu traballo:

Coas IP debidas? Facemos ping dunha á outra? O firewall que permita todo para as probas? As configuracións de servidor e cliente como dixemos estes días?

Agora imos permitir que o servidor dea feito reenvíos. Na máquina servidor tecleamos:
sudo nano /etc/sysctl.conf

Modificamos e poñemos:
net.ipv4.ip_forward=1
net.ipv6.conf.all.forwarding=1

Comprobamos que nos fixo caso con:
sudo sysctl -p

Podemos facer ping usando as IP do túnel? Dende o cliente fai ping ao servidor.
ping 10.66.66.1
sen paralo fai ping dende o servidor ao cliente. Como se ve por Wireshark?
ping 10.66.66.2

Agora imos conectarnos ao servidor usando ssh pero en troques de usar as IP de eth0 usaremos as da nosa rede privada:

1. Comprobar que o servizo ssh está arrancado no servidor:
   sudo systemctl status ssh
2. Conectarse dende o cliente:
   ssh maripili@10.66.66.1
3. Facer algunhas bricadeiras no servidor: fabricar carpetas e ficheiros no escritorio, comprobar a IP e consultar ficheiros de configuración.
4. Modificouse algo cando executas o comando wg
5. Fai todo esto con wireshark capturando tráfico por eth0 e despois por wg0

• Imaxina que o cliente quere cambiar a IP, que sería todo o que tedes que modificar?
• Agora resulta que queremos crear un túnel distinto con IP 10.10.10.xx e fabricar outro ficheiro de configuración á que imos chamar wg1.conf

Por se queredes obter información sobre WireGuard esta páxina está moi ben

VPN con WireGuard: cliente

Xa temos listo o servidor de WireGuard? Pois agora que teña clientes. Usamos outra máquina virtual con linux para convertela en cliente. Que debemos facer? Practicamente o mesmo. Xa veredes, eu copio e pego 😉

O teu traballo:

• • Coma sempre actualizamos apt e despois instalamos:
    sudo apt install wireguard
  • Entramos no directorio como root cd /etc/wireguard
  • Xeramos as chaves pública e privada de golpe:
    wg genkey | tee chavePrivadaCliente | wg pubkey > chavePublicaCliente.pub
  • Mirade destes ficheiros e copiade o contido da chavePrivadaCliente
  • Imos fabricar o ficheiro de configuración:
    nano /etc/wireguard/wg0.conf
  • Introducimos os datos da rede virtual, certo!! cambiamos a IP:
    [Interface]
Address=10.66.66.2/24
  • Agora engadimos a chave que xeramos hai un chisco: cat chavePrivadaCliente wg0.conf
  • Lembrade teclear PrivateKey=  A mín quédame algo así:

• Gardamos e arrancamos a interfaz virtual con:
  systemctl start wg-quick@wg0
• Como sabe de quen  é cliente? Engadimos no ficheiro de configuración:
  [Peer]
PublicKey=chave pública do servidor
Endpoint=172.16.xxxxx do servidor:1194
AllowedIPs=10.66.66.1/32
• O servidor ten que estar informado dos datos do cliente. Volvemos ao servidor de WireGuard e no ficheiro /etc/wireguard/wg0.conf que tiñamos fabricado pasámoslle os datos do cliente recén creado:

• [Peer]
  PublicKey=chave pública do cliente
  AllowedIPs=10.66.66.2/32

• Gardamos e arrancamos a interfaz virtual con:
  systemctl start wg-quick@wg0

Máis información

VPN con WireGuard: servidor

Imos tratar das redes privadas virtuais. Consultaremos este documento para entendelas e despois imos montar unha nas nosas máquinas.
Para aprender sobre VPN na empresa botade un ollo a  este documento do incibe.es

O teu traballo:

Imos montar unha VPN empregando WireGuard coa axuda desta páxina web:

• Coma sempre actualizamos apt e despois instalamos:
  sudo apt install wireguard
• Entramos no directorio como superusuario cd /etc/wireguard
• Xeramos as chaves pública e privada de golpe:
• wg genkey | tee chavePrivada | wg pubkey > chavePublica.pub
• Mirade destes ficheiros e copiade o contido da chavePrivada
• Imos fabricar o ficheiro de configuración:
  nano /etc/wireguard/wg0.conf
• Introducimos os datos dunha rede virtual privada:
  [Interface]
Address=10.66.66.1/24
• Xusto despois, tecleamos o porto que escollemos:
  ListenPort=1194
• Agora engadimos a chave que xeramos hai un chisco:
  cat chavePrivada >> wg0.conf
•  A mín quédame algo así:
• Gardamos e arrancamos a interfaz virtual con:
  systemctl start wg-quick@wg0
• Miramos se temos esa outra intefaz de rede co tradicional ip addr Cal é a IP de wireguard? Podes facer ping a esa IP?
• Existe un comandito rápido para saber se todo vai ben: wg

Escenario para iptables

Agora tócavos facer un script co que configurar iptables para que a túa máquina virtual verifique as seguintes condicións. Debes usar  módulo state en tres regras, polo menos.

O teu traballo:

• O firewall debe permitir só facer ping a outra máquina.
• Consultar só ao servidor DNS
• Permitir o acceso http/https
• Permitir acceder ao teu Windows por ssh

Sube as seguintes capturas:

1. O listado de regras de iptables (non o script) visto dende Windows.
2. Demostración de que non se fai ping a 8.8.8.8
3. Obtén a IP do museodelprado.es indo polo servidor indicado.
4. Podes ver a páxina web de https://www.farodevigo.es  na túa kali? Explica a razón.

Exercicio con iptables

Imos repasar  iptables cun novo escenario como o mostrado no debuxo.

O teu traballo:

Seguindo  o documento do que xa falamos vai boa trata de facer un script que cando se execute verifique as condicións que nos piden.Usa o módulo -state

Pista: revisa a páxina 49 e as seguintes.