DEV Community: Gabriel Tetzner Menegueti

Setting up a VPN with Wireguard Server on AWS EC2.

Gabriel Tetzner Menegueti — Fri, 04 Aug 2023 15:32:54 +0000

Github

wireguard-tutorial

Requirements

An account on a cloud platform that offers a virtual machine (e.g. AWS, Azure, Google Cloud, etc.).
Ubuntu 20.04 Server Virtual Machine.
A public IP address assigned to your VM.
UDP port 51820 open to incoming traffic from all sources (0.0.0.0/0).
The region chosen to raise the machine in this tutorial was South America (São Paulo, Brazil) (sa-east-1), but choose your preferred region.

Caption: Configuring the opening of port 51820 UDP for the instance launched on AWS.
Caption: Instance configuration with public IP and port 51820 UDP open.

Introduction

In this tutorial, we will set up a WireGuard VPN server on an Ubuntu 20.04 instance running on AWS.

WireGuard is a user-friendly VPN solution that utilizes end-to-end encryption, making it more efficient than IPSEC and faster than OpenVPN.

1. Server WireGuard Configuration

Step 1: Launch an Instance on AWS EC2

First, we need to launch an Ubuntu 20.04 instance on AWS.

Note: The usage is from Ubuntu 20.04, but can be from a recent version.

Step 2: Install WireGuard

After your instance is up and running, we can proceed to install WireGuard using the following commands in the terminal:



$ sudo apt update

Next we will install the Wireguard package:



$ sudo apt install wireguard

Caption: Running the apt update and apt install wireguard commands on the AWS instance.

Step 3: Configuring Wireguard Server on AWS instance

With the package installed, we now need to set up the WireGuard server on the AWS instance.

But, we need to create the directory for generating the wireguard files, run the command:



$ sudo mkdir /etc/wireguard/

Great! Now let's generate the appropriate private and public keys for the Wireguard server:



$ wg genkey | sudo tee /etc/wireguard/privatekey | wg pubkey | sudo tee /etc/wireguard/publickey

For a greater understanding, a Wireguard tunnel is encrypted using an asymmetric, i.e. dual key, encryption system. Your private key is unique and should never be shared, unlike the public key which is what will be shared to the VPN clients.

Now we will need to create and configure the Wireguard interface file that will serve as the gateway within our VPN.

Create and edit the file wg0.conf:



$ sudo nano /etc/wireguard/wg0.conf

wg0 is the configuration file for the wg0 interface.

Enter the following settings:



[Interface]
Address = 10.0.0.1/24
SaveConfig = true
ListenPort = 51820
PrivateKey = private_key
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

Caption: Configuring wg0.conf file on wireguard server.

Note: In the text above, the phrase "-o eth0" means that it is your machine's default network interface (and that would be the one that knows the AWS outgoing gateway), i.e. if it is different, you should replace it with the appropriate name. To check which is the correct interface this is, just run the command:



$ ip -c a

You should see something like this, like:

Caption: Checking the machine's default network interface.

To continue, replace with the private key you generated earlier. The AllowedIPs option specifies the IP address range that will be routed through the VPN.

Step 4: Start the WireGuard Service
Once the configuration is complete, we can start the WireGuard service:



$ sudo systemctl enable wg-quick@wg0
$ sudo systemctl start wg-quick@wg0

Step 5: Enable IP Forwarding

To allow traffic to pass through the VPN, we need to enable IP forwarding with the following commands:



$ echo "net.ipv4.ip_forward = 1" | sudo tee -a /etc/sysctl.conf



$ sudo sysctl -p

Let me explain each setting:

The [Interface] section defines the server's network information, including the IP address of the wg0 interface that the WireGuard server will use, the network CIDR block (10.0.0.0/24), and the port the server will listen on for incoming connections (51820).

The SaveConfig option is set to true, so that the settings can be saved and retained after a system restart.

The PrivateKey option is the private key for the WireGuard server, which is used for authentication and encryption of connections. It is important that this key is kept secure and not shared with anyone.

The PostUp and PostDown options are the commands that will be executed after creating the wg0 interface and after removing it, respectively. These commands add and remove the necessary firewall rules to allow traffic to pass through the tunnel created by the VPN and to redirect traffic to the outgoing interface of the virtual machine.

Now let's turn on this wg0 interface, use the following command:



$ sudo wg-quick up wg0

2. Client WireGuard Configuration

At the client:
Run the following commands:



$ sudo apt update



$ sudo apt install wireguard

Create the wireguard directory:



$ sudo mkdir /etc/wireguard/

Generate the client's private and public keys:



$ wg genkey | sudo tee /etc/wireguard/privatekey | wg pubkey | sudo tee /etc/wireguard/publickey

Create and edit the wg0.conf file on the client:



$ sudo nano /etc/wireguard/wg0.conf

Set the following settings:



[Interface]
PrivateKey = privatekey_client
Address = 10.0.0.2/24

[Peer]
PublicKey = publickey_server
Endpoint = ipaddress_server:51820
AllowedIPs = 0.0.0.0/0

Caption: Setting up client wireguard file.
Note: The file here is named as wg7, but could be wg0.

The [Interface] section defines the client's network information, including the IP address of the wg0 interface that the Wireguard client will use, i.e. 10.0.0.2/24 and the client's private key.

In the peer configuration, you should point to the server's public key by replacing it in the PublicKey field. The endpoint would be the public IP address of your WireGuard server, along with the configured port. Lastly, specify the allowed network, which in this tutorial is set as 0.0.0.0/0, meaning that all your traffic will be routed through the WireGuard server.

Once this is done, you must now add your client's public key to your wireguard server, to do this, use the following command:



$ sudo wg set wg0 peer clientpublickey allowed-ips 10.0.0.2

Now bring up the wireguard tunnel as a client:



$ sudo wg-quick up wg0

Caption: Raising wireguard tunnel on client.

3. Tests

To perform some initial tests, you should:
Ping to the wireguard gateway server:
At the client:



$ ping 10.0.0.1

Caption: Running a ping test to the gateway (server IP address).

Make sure your public IP is the same as the machine on AWS or another cloud provider:
(https://whatismyipaddress.com/)

Your IP address should be the same as the public IPv4 of your AWS machine (As the region I picked up the machine was in São Paulo, it got the address from there).

4. References

Os primeiros passos com freeRouter

Gabriel Tetzner Menegueti — Thu, 06 Oct 2022 16:20:57 +0000

Sobre

freeRouter é definido como um roteador livre e grátis, também é um canivete suíço de rede, ele é desenvolvido para suportar protocolos de roteamento, cripto, encaminhamento, encapsulamento e túnel. freeRouter não trabalha com roteamento global, cada interface roteada deve estar em uma tabela de roteamento virtual.

Começo

Requisitos

Requisitos é ter um sistema operacional com o java instalado.

Instalação

A maneira mais fácil de rodar o freeRouter é ele virtualizado em um jar.

Porém existem outras maneiras, já que isso é necessário para os testes que só possam serem executados em um ambiente específico.

As outras maneiras são:

Rodando em uma VM.
Rodando em uma VM na nuvem.
Rodando em um equipamento físico.

Observações

Neste tutorial, vamos rodar o freeRouter através de um jar, nos outros casos, a instalação ocorre através de um script de instalação, recomendo não fazer isso em sua máquina, pois o freeRouter toma conta da sua máquina e você perde seu sistema.
A maneira através do jar é segura também, já que estaremos isolando um ambiente da sua máquina, ou seja, emulado.

Rodando o freeRouter em um arquivo jar.

Linux

Instalando o java

$ sudo apt-get install default-jre-headless --no-install-recommends

Baixando o arquivo .jar

# wget freertr.org/rtr.jar

Agora vamos montar uma topologia linear com dois roteadores freeRouter rodando e configurando uma conexão entre duas interfaces ethernet.

Topology

Criando arquivos da configuração da topologia

R1-HW.txt

$ sudo nano r1-hw.txt

int eth1 ethernet 0000.1111.0001 127.0.0.1 26011 127.0.0.1 26021
tcp2vrf 1123 v1 23

Isto é necessário, para determinar que você terá uma interface ethernet1 do tipo Ethernet com um endereço físico definido, porém você acaba definindo esta configuração de uma maneira lógica, a outra parte é a ligação da sua interface via uma porta, ou seja, sua interface é ligada via sockets para uma outra ponta que será uma outra interface que você definir, no caso do nosso tutorial. O tcp2vrf vai fazer uma ligação entre uma porta da nossa máquina host para uma porta utilizada dentro do nosso roteador, nesse caso como estaremos utilizando o serviço de acesso via telnet, precisaremos dessa configuração para acessar via nossa rede local.

R1-SW.txt

$ sudo nano r1-sw.txt

hostname r1
buggy
!
logging file debug ../binTmp/zzz39r1-log.run
!
vrf definition v1
 exit
!
interface ethernet1
 vrf for v1
 ipv4 address 1.1.1.1 255.255.255.0
 no shutdown
 no log-link-change
 exit
!
!
server telnet tester
 security protocol telnet
 no exec authorization
 no login authentication
 vrf v1
 exit
!
!
end

Aqui definimos várias configurações de software, primeiro o hostname que será o nome que ele vai atribuir ao seu roteador, a vrf, que vai criar uma tabela de roteamento separada para o nosso uso, a interface ethernet1 com as configurações de vrf forwarding definidas, o endereçamento IPv4 e que esta interface vai está ligada, e por último o server telnet para ter o acesso ao roteador.

R2-HW.txt

$ sudo nano r2-hw.txt

int eth1 ethernet 0000.2222.0001 127.0.0.1 26021 127.0.0.1 26011
tcp2vrf 2223 v1 23

R2-SW.txt

$ sudo nano r2-sw.txt

hostname r2
buggy
!
logging file debug ../binTmp/zzz39r1-log.run
!
vrf definition v1
 exit
!
interface ethernet1
 vrf for v1
 ipv4 address 1.1.1.2 255.255.255.0
 no shutdown
 no log-link-change
 exit
!
!
server telnet tester
 security protocol telnet
 no exec authorization
 no login authentication
 vrf v1
 exit
!
!
end

Executando o freeRouter

Execute os dois roteadores na sua pasta das configurações

$ java -jar rtr.jar routersc r1-hw.txt r1-sw.txt

$ java -jar rtr.jar routersc r2-hw.txt r2-sw.txt

Acesso aos roteadores

Mesmo com o acesso a partir da execução do jar, é possível acessar o freeRouter através de um telnet, lembrando que na configuração sw.txt, definimos um server telnet através da porta 23 mapeando para a nossa máquina a porta 1123 e 2223.
R1

$ telnet 127.0.0.1 1123

$ telnet 127.0.0.1 2223

Teste de conectividade

Faça um teste de conectividade simples entre as duas interfaces Ethernet:
R1:

r1# ping 1.1.1.2 vrf v1

É esperado que seu ping funcione para a outra interface Ethernet:

pinging 1.1.1.2, src=null, vrf=v1, cnt=5, len=64, df=false, tim=1000, gap=0, ttl=255, tos=0, sgt=0, flow=0, fill=0, alrt=-1, sweep=false, multi=false
!!!!!
result=100.0%, recv/sent/lost/err=5/5/0/0, took 66, min/avg/max/dev rtt=0/1.2/4/2.1, ttl 255/255/255/0.0, tos 0/0.0/0/0.0

Obrigado pela sua atenção pessoal. Em breve teremos vídeos sobre os tipos de conexões e outras soluções que o freeRtr entrega, e explicando alguma dessas configurações.

Meus contatos

Email: tetzdesen@gmail.com
Linkedin: https://www.linkedin.com/in/gabriel-tetzner/
Github: https://github.com/Tetzdesen

Capturando tráfego com tcpdump

Gabriel Tetzner Menegueti — Thu, 11 Aug 2022 16:34:00 +0000

Sobre

Tutorial desenvolvido para capturar tráfego de rede com a ferramenta tcpdump.

AVISO

Não me responsabilizo pelo o uso desses tutoriais/estudos para fins malignos. Esses tutoriais/estudos são voltados para pessoas de interesse na área de Segurança da Informação e Perícia Forense Computacional.
Todos esses tutoriais/estudos foram testados em ambientes isolados por mim.
Lembrem-se de que usar essas informações para hackear ou invadir dispositivos alheios é CRIME previsto na Lei 14.155/2021.

Ambientes usados

Maquina Virtual Kali Linux (Atacante)
Maquina Virtual com Windows (Alvo)

Instalação

$ sudo apt update -y

$ sudo apt install tcpdump -y

Iniciando captura do tráfego

Capturar pacotes de host específico

$ sudo tcpdump -v host (ipaddress) -w captura.pcap

Capturar pacotes da rede específica

$ sudo tcpdump -v net (networkaddress/mask) -w captura.pcap

ou

$ tcpdump captura.pcap

Teste

$ sudo tcpdump -v host 192.168.15.143 -w capturas.pcap

Recomendação

Visualizar com Wireshark ou programas com o mesmo proposito.

Imagens do tráfego capturado

Monitorando sua máquina com o Prometheus

Gabriel Tetzner Menegueti — Tue, 03 May 2022 17:46:00 +0000

Sobre

Tutorial desenvolvido para o monitoramento de recursos de uma máquina, utilizando um exportador do prometheus (node exporter).

Dependências e tecnologias

Configurações

Atualize os repositórios

$ sudo apt update

Instale Docker e Docker-compose

$ sudo apt install docker.io
$ sudo apt install docker-compose

Crie um diretório do arquivo docker-compose

$ sudo mkdir docker

Crie o arquivo do docker-compose

$ cd docker
$ touch docker-compose.yml

Abre o arquivo e cole a seguinte configuração

version: '3'
services:
  prometheus:
    image: prom/prometheus:latest
    container_name: prometheus
    ports:
    - 9090:9090
    command:
    - --config.file=/etc/prometheus/prometheus.yml
    volumes:
    - /etc/prometheus/prometheus.yml:/etc/prometheus/prometheus.yml:ro
    restart: always

  grafana:
    image: grafana/grafana:latest
    container_name: grafana-server
    user: "1000"
    environment:
    - GF_SECURITY_ADMIN_PASSWORD=tutorial2022
    depends_on:
    - prometheus
    ports:
    - 3000:3000
    restart: always

  node-exporter:
    image: prom/node-exporter
    container_name: node-exporter
    restart: always
    ports: 
    - 9100:9100

Crie o diretório do arquivo de configuração Prometheus

$ sudo mkdir /etc/prometheus

Depois crie o arquivo de configuração do Prometheus

$ sudo touch /etc/prometheus/prometheus.yml

Abre o arquivo e cole a seguinte configuração

global:
    scrape_interval: 5s
    evaluation_interval: 5s
scrape_configs:
  - job_name: 'prometheus'
    scrape_interval: 5s
    static_configs:
         - targets: ['yourip:9090']
    metrics_path: "/metrics"

  - job_name: node-exporter
    scrape_interval: 5s
    static_configs:
         - targets: ['yourip:9100']
    metrics_path: "/metrics"

Cheque seu IP

$ ifconfig

Com seu editor de texto preferido mude o IP na configuração do prometheus

$ sudo nano /etc/prometheus/prometheus.yml

Levante os container's no diretório docker

$ sudo docker-compose up -d

DEV Community: Gabriel Tetzner Menegueti

Setting up a VPN with Wireguard Server on AWS EC2.

Github

Requirements

Introduction

Os primeiros passos com freeRouter

Sobre

Começo

Requisitos

Instalação

Observações

Rodando o freeRouter em um arquivo jar.

Linux

Instalando o java

Baixando o arquivo .jar

Topology

Criando arquivos da configuração da topologia

R1-HW.txt

R1-SW.txt

R2-HW.txt

R2-SW.txt

Executando o freeRouter

Execute os dois roteadores na sua pasta das configurações

Acesso aos roteadores

Teste de conectividade

Obrigado pela sua atenção pessoal. Em breve teremos vídeos sobre os tipos de conexões e outras soluções que o freeRtr entrega, e explicando alguma dessas configurações.

Meus contatos

Capturando tráfego com tcpdump

Sobre

AVISO

Ambientes usados

Instalação

Iniciando captura do tráfego

Capturar pacotes de host específico

Capturar pacotes da rede específica

ou

Teste

Recomendação

Imagens do tráfego capturado

Monitorando sua máquina com o Prometheus

Sobre

Dependências e tecnologias

Configurações

Atualize os repositórios

Instale Docker e Docker-compose

Crie um diretório do arquivo docker-compose

Crie o arquivo do docker-compose

Abre o arquivo e cole a seguinte configuração

Crie o diretório do arquivo de configuração Prometheus

Depois crie o arquivo de configuração do Prometheus

Abre o arquivo e cole a seguinte configuração

Cheque seu IP

Com seu editor de texto preferido mude o IP na configuração do prometheus

Levante os container's no diretório docker

Cheque se Server Prometheus foi levantado

Cheque se o Grafana Server foi levantado

Verificação

Verificação Prometheus

Verificação Grafana

Acesse o dashboard do node exporter e faça o download