問:WireGuard是一種流行的VPN協議,不單止免費,而且翻牆效率高。對中國聽眾而言,用WireGuard VPN協議有甚麼好處?又要具備甚麼條件才能將WireGuard VPN的翻牆實力發揮到極致?
李建軍:WireGuard VPN是用UDP傳信包的VPN協定,由於UDP有發送後不理的特性,並不像TCP為基礎的傳信包,要維持雙方通訊,因此在保安上較容易被察覺。加上WireGuard VPN的程式寫得十分之輕巧,速度比以往的VPN都要高,甚至在現代的家用路由器上,都可以很容易就設定好Wireguard VPN的主機,更加不用說一般的VPS主機。而且可以配合動態DNS服務,中國當局要封鎖也不是這樣容易。因此,WireGuard VPN很適合小規模自行搭建翻牆主機。
至於要用盡WireGuard VPN翻牆實力,有兩個方法,如果你海外有親友,可以問一問他們的路由器有否內置WireGuard VPN主機功能,如果有的話,基本上只要你設定好你的動態DNS帳戶,將帳戶資料設在路由器內,基本上可以一鍵完成。而你要設定你電腦或手機客戶端都很容易,在手機,裝了WireGuard VPN客戶端,再掃一掃你海外親友主機的QR碼就可以。至於電腦,一般設好WireGuard VPN後,路由器都會產生一個簡易設定檔,將檔案加入WireGuard VPN客戶端軟件就大功告成。而用海外親友的機好處在於,你的IP是一般家用的IP,中國當局不容易察覺你正在翻牆,因為家用的IP很多時都會連接中國的科網公司,而若當局亂攔截與家用IP的連結,很容易造成問題,因此,當局一般會投鼠忌器。
而假如你有基本Linux知識,可以考慮在海外租用廉價的VPS主機後,再自行建立 WireGuard VPN主機。現時主要提供VPS服務的公司,都提供標準化的WireGuard VPN主機安裝程序,當然,如果你的Linux知識更深一層的話,可以乾脆自己依照WireGuard VPN網站的程序去安裝,再按自己的需要加以調節。
問:不少VPN軟件都有可能在使用時留下通訊紀錄,例如洩露IP連接。那麼若使用WireGuard VPN,又應該如何處置,以盡量確保通信安全不留痕跡?
李建軍:如果你是向海外親友借用其家中IP以及家用路由器作VPN主機之用,他們必須是值得信任的人選,因為家用路由器仍然會保留少量WireGuard VPN連接紀錄的資料,例如連接的IP,以及連接的時間等等。一般而言,由於家用路由器記憶容量十分之有限,技術上只要你對向你提供家用路由器的海外親友要求每天重新啟動一次路由器,有關資料便會銷毀。
至於自行搭建的VPS,你可以每隔一段時間,就重新建立WireGuard VPN主機,連IP都一併更換,這樣中國當局就很難鎖定你的主機,如果配合動態DNS功能就更為理想。基本上,透過不斷變動VPS以及域名這種打游擊的手法,中國當局察覺你在利用VPN翻牆上網的可能性會大大減低。
問:WireGuard VPN在加密方面的技術如何?他們用的加密演算法金鑰長度,又是否足夠?
李建軍:WireGuard VPN的技術理念,與傳統的VPN有點不同。傳統VPN很多都依賴標準的AES演算法,而且都需要硬件有AES演算法加速去配合;但WireGuard VPN是不同的環節有不同演算法去負責,而且這些演算法都不需要特定硬件去支援,再加上WireGuard VPN設計是如果有任何地方出現可能漏洞都會立即在防火牆層面中斷連線,因此,中國當局很難用傳統方法去突破WireGuard VPN的通訊,這個亦是為何家用路由器這樣運算力相當弱的機器,都可以充當WireGuard VPN主機的原因。
再加上WireGuard VPN開放源碼的特性,全世界技術高手都會對其源代碼進行研究,因此,很大程度上,WireGuard VPN的通訊是十分之安全可靠,至少在推出至今,都不像其他VPN協定有不少牽連廣泛的保安漏洞出現,而需要大規模的更新。