הגדרת שרת VPN משלך עם WireGuard וחיבור מאנדרואיד היא אחת הדרכים הקלות ביותר להשיג... גישה מרחוק מאובטחת לרשת הביתית שלך או ל-VPS שלךלמרות שבמבט ראשון זה אולי נראה מרתיע לראות פקודות, מפתחות וקבצי תצורה, במציאות התהליך הוא די מכני אם תעקבו אחר השלבים ברוגע.
במדריך זה תלמדו כיצד לפרוס שרת WireGuard על לינוקס (לדוגמה, על VPS עם אובונטו) ולהתחבר ממכשיר הנייד אנדרואיד שלכם כדי שתוכלו... גש לרשת ה-LAN, ה-NAS, מצלמות ה-IP, הנתבים שלך, או גלש באינטרנט כאילו היית בבית.בנוסף, הוא מסביר מושגי רקע, טיפים לאבטחה, דוגמאות לתצורה, וכיצד למנף שמות דומיין מקומיים כדי להפוך את הגישה מרחוק לנוחה וחלקה.
מה זה WireGuard ומדוע להשתמש בו לגישה מרחוק מאנדרואיד
WireGuard הוא פרוטוקול VPN מודרני שבולט בזכות היותו הרבה יותר פשוט, מהיר ובטוח מאשר חלופות קלאסיות כמו OpenVPN או IPsec. היישום שלה מינימליסטי (כמה אלפי שורות קוד) ומסתמך על קריפטוגרפיה מתקדמת כמו Curve25519, ChaCha20, Poly1305 או BLAKE2s.
הפילוסופיה שלהם מתמקדת בתצורה הקיימת בצורה ברורה ככל האפשר: לכל מכשיר יש זוג מפתחות ציבורי/פרטיאתה מגדיר רק כמה אפשרויות (IP פנימי, פורט, כתובות IP מותרות...) וזה כל מה שאתה צריך למנהרה מוצפנת תקינה. אין עשרות פרמטרים מוצפנים או קבצים מלאים בהנחיות קשות להבנה.
מבחינת ביצועים, WireGuard עובד רק דרך UDP ואף ניתן לשלב אותו בליבת לינוקס, מה שמתורגם ל... השהייה נמוכה, מהירויות גבוהות וניצול יעיל של משאביםזה בולט במיוחד כשמתחברים מאנדרואיד באמצעות רשתות סלולריות או WiFi באיכות משתנה.
יתרון רב עוצמה נוסף הוא ש-WireGuard הוא זהו שירות חוצה פלטפורמות ויש לו אפליקציות רשמיות לאנדרואיד, iOS, Windows, macOS ו- Linux.משמעות הדבר היא שתוכלו להגדיר את השרת על גבי VPS או נתב תואם ולהתחבר מהמכשיר הנייד שלכם פשוט על ידי ייבוא קובץ .conf או סריקת קוד QR.
דרישות מוקדמות לפני הגדרת שרת WireGuard
לפני שאתם מתחילים להקליד פקודות, מומלץ לוודא שיש לכם את האלמנטים הבסיסיים שאתם צריכים מוכנים. שרת VPN של WireGuard נגיש מאנדרואידזה יחסוך לכם הרבה זמן וטעויות טיפשיות בדרך.
הגישה הנפוצה ביותר היא להשתמש בשרת VPS או בשרת לינוקס ייעודי, שם תתקינו את השירות. אובונטו 22.04 היא אחת האפשרויות הנוחות ביותרמכיוון שהוא כולל את WireGuard במאגרים הרשמיים ויש הרבה תיעוד, אבל כל הפצה מודרנית תעשה את העבודה.
תצטרך גם משתמש עם הרשאות ניהול, או root ישיר או משתמש עם sudoמכיוון שתתקינו חבילות, תשנו הגדרות רשת ותאפשרו העברת IP, חשוב שתהיה לכם גישת SSH לשרת ותדעו כיצד להתחבר מהמחשב שלכם.
לבסוף, תזדקק ללקוח כדי להתחבר לשרת הזה: זה יכול להיות שלך אנדרואיד נייד עם אפליקציית WireGuard הרשמיתאלא גם מערכות אחרות (Windows, macOS, Linux, iOS). במאמר זה נתמקד ספציפית באנדרואיד, אם כי תראו שקובץ התצורה כמעט זהה עבור כולן.
הגדרת שרת לינוקס: שדרוג והתקנה של WireGuard
לאחר ש-VPS או שרת כבר מאותחלים ומותקנים עם Ubuntu 22.04 (או גרסה דומה), הצעד הסביר הראשון הוא עדכון חבילות מערכת כדי לוודא שהכל מעודכן ושלא יישארו איתכם שגיאות או פגיעויות ידועות.
התחבר לשרת דרך SSH והפעל:
apt update
apt upgrade -y
הפקודה הראשונה מרעננת את רשימת החבילות במאגרים, והשנייה מעדכן את החבילות שכבר מותקנות לגרסאות האחרונות שלהם באופן אוטומטי. זה עשוי לקחת קצת זמן, במיוחד אם השרת חדש או שלא עודכן זמן מה.
לאחר שהמערכת מעודכנת, המשך להתקין את WireGuard מהמאגרים הרשמיים עם:
apt install -y wireguard
פקודה זו תתקין את החבילה הראשית, כלי עזר כגון wg ו-wg-quick ובמידת הצורך, מודול הליבה הנדרש ייטען. חלק מהמדריכים יציגו במפורש גם את השימוש ב:
modprobe wireguard
פקודה זו פשוט כופה טעינה ידנית של מודול WireGuard לתוך הליבה, דבר שיכול להיות שימושי. אם מסיבה כלשהי המודול לא נטען אוטומטית או אם אתם נמצאים בסביבה קצת יותר יוצאת דופן.
יצירת מפתחות ומבנה תצורת שרת בסיסי
לב ליבה של מערכת WireGuard הוא ניהול המפתחות שלה, ולכן הצעד הבא הוא צור את זוג המפתחות הפרטי והציבורי של השרתכל התצורה ממוקמת בדרך כלל בתיקייה הסטנדרטית /etc/wireguard/.
היכנסו לספרייה הזו עם:
cd /etc/wireguard/
כדי להגן על המפתחות, מומלץ תחילה להתאים את מסיכת ההרשאה המוגדרת כברירת מחדל כך שהקבצים שנוצרו יהיו הרשאות מגבילות ואינן ניתנות לקריאה על ידי משתמשים אחרים של המערכת. זה נעשה באמצעות:
umask 077
לאחר מכן, צור את זוג המפתחות של השרת בצורה פשוטה:
wg genkey > privatekey
wg pubkey < privatekey > publickey
את הקובץ מפתח פרטי יש לשמור את המפתח הפרטי בצורה מאובטחת ולא לשתף אותו לעולם, בעוד שאת המפתח הציבורי ניתן להפיץ ללקוחות מורשים. כדי לחזק עוד יותר את האבטחה, יש להתאים במפורש את הרשאות המפתח הפרטי:
chmod 600 privatekey
אם ברצונך לראות את תוכן המקשים על המסך, תוכל להשתמש בזנב פשוט:
tail privatekey publickey
זה ייתן לך תצוגה של המחרוזות שתצטרך להעתיק לקובץ התצורה wg0.conf ולתצורות הלקוח. תמיד מכבדים מה ציבורי ומה פרטי.
יצירה ועריכה של קובץ wg0.conf בשרת
WireGuard מאורגן על ידי ממשקים וירטואליים, אשר על פי המוסכמה נקראים בדרך כלל wg0, wg1 וכו'.לכל ממשק יש קובץ תצורה משלו ב-/etc/wireguard/. במקרה שלנו, ניצור wg0.conf כממשק הראשי.
כדי לערוך את הקובץ, ניתן להשתמש בכל עורך טקסט במצב קונסולה, אך מדריכים רבים ממליצים על nano בשל פשטותו. אם הוא עדיין לא מותקן אצלכם, ניתן להוסיף אותו באמצעות:
apt install -y nano
לאחר שתקבלו אותו, צרו ופתחו את קובץ תצורת השרת:
nano /etc/wireguard/wg0.conf
לפני כתיבת התצורה, מומלץ לברר את שם ממשק הרשת הפיזי שדרכו השרת מתחבר לאינטרנט, מכיוון ש... תצטרך את זה עבור כלל ה-NATלשם כך, השתמשו ב:
ip a
בהרבה שרתים של VPS הממשק נקרא ens3, eth0, enp0s3 או דומים, והוא יהיה זה שיוקצה לו כתובת ה-IP הציבורית או ה-IP הפנימית שדרכה אתם מתחברים דרך SSH.
דוגמה מלאה לבלוק בשרת יכולה להיות:
PrivateKey = <tu_clave_privada_servidor>
Address = 10.30.0.1/24
ListenPort = 51928
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o <nombre_interfaz_salida> -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o <nombre_interfaz_salida> -j MASQUERADE
בדוגמה זו אתה מקצה את כתובת ה-IP הפנימית לשרת. 10.30.0.1/24 בתוך ה-VPNאתה מאזין בפורט UDP 51928 ומוסיף כללי iptables כדי לאפשר העברה והחלת NAT כאשר ממשק wg0 עולה (PostUp) ומסיר את הכללים האלה כשהוא יורד (PostDown).
זכרו שבננו ניתן לחסוך עם Ctrl + A ולצאת עם Ctrl + Xלאחר השמירה, wg0.conf יהיה הבסיס עליו תוסיפו את העמיתים (לקוחות) השונים בהמשך.
הפעלת העברת IP ואת שירות WireGuard בשרת
כדי שלקוחות המחוברים דרך WireGuard יוכלו לגשת לאינטרנט או לרשתות אחרות מאחורי השרת, חיוני הפעל העברת חבילות IP ברמת המערכת. זה נעשה על ידי עריכת תצורת sysctl.
במקרים רבים, די בהפעלה פשוטה של הפעולות הבאות:
echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
echo "net.ipv6.conf.all.forwarding=1" >> /etc/sysctl.conf
sysctl -p
פעולה זו מפעילה העברה עבור IPv4 ו-IPv6 כאחד וטוענת מחדש את פרמטרי הליבה באמצעות `sysctl -p`. חשוב לא לשכוח שלב זה, כי אם העברה מושבתת, תהיה לך מנהרה, אבל לא תוכל להגיע לרשת המקומית או לאינטרנט. מהלקוחות.
כעת ניתן להפעיל את שירות WireGuard המשויך ל-wg0 באמצעות הפקודה wg-quick, אשר מפשטת מאוד את ניהול הממשק:
systemctl start wg-quick@wg0
אם ברצונך שממשק WireGuard יופעל אוטומטית בכל אתחול של השרת, הפעל את השירות באמצעות:
systemctl enable wg-quick@wg0
כדי לבדוק אם השירות פעיל, ניתן לבדוק את סטטוס השירות:
systemctl status wg-quick@wg0
הסטטוס אמור להופיע כך פעיל (רץ)בנוסף, ניתן להשתמש בפקודה:
wg
כדי לצפות במידע בזמן אמת אודות הממשק, המפתחות, עמיתים שתצורתם נקבעה והתעבורה המועברת דרך המנהרה.
הוספת לקוחות לשרת: מחשב, טלפון נייד אנדרואיד ומכשירים אחרים
לאחר שחלק השרת פועל, עליך להתחיל להוסיף לקוחות שיתחברו כעמיתים. עבור כל מכשיר שברצונך להתחבר (מחשב, טלפון, טאבלט, נתב לקוח וכו') עליך ליצור זוג מפתחות חדש ולהקצות לו כתובת IP בתוך רשת ה-VPN.
לשם פשטות, מנהלים רבים יוצרים מפתחות לקוח ישירות בשרת, אם כי מנקודת מבט של אבטחה, האידיאל יהיה ליצור אותם במכשיר הלקוח עצמו ולהעביר רק את המפתח הציבורי לשרת. התהליך זהה, לכן נבחן את המקרה הפשוט של יצירת המפתחות ב-/etc/wireguard/.
לדוגמה, עבור מחשב שולחני ניתן לבצע את הפעולות הבאות:
wg genkey > mypc_privatekey
wg pubkey < mypc_privatekey > mypc_publickey
ולמכשיר הנייד אנדרואיד שלך:
wg genkey > myphone_privatekey
wg pubkey < myphone_privatekey > myphone_publickey
עם פשוט:
ls
תראה את כל הקבצים המרכזיים. ועם:
tail mypc_publickey myphone_publickey
תוכלו לראות את הערכים שלהם על המסך. את המפתחות הציבוריים הללו תדביקו בקובץ wg0.conf של השרת בתוך בלוקים נפרדים, ותקצו לכל אחד מהם כתובת IP של המנהרה.
פתחו שוב את wg0.conf:
nano wg0.conf
והוסף את הגדרות הלקוח, לדוגמה:
PublicKey = <clave_publica_mipc>
AllowedIPs = 10.30.0.2/32
מפתח ציבורי =
כתובות IP מותרות = 10.30.0.3/32
בשורות אלו אתה מציין שהעמית שהמפתח הציבורי שלו תואם ל-mypc_publickey ישתמש בכתובת ה-IP 10.30.0.2 בתוך ה-VPN, וכי מכשיר האנדרואיד ישתמש בגרסה 10.30.0.3AllowedIPs עם /32 מרמזים שמדובר בכתובת IP אישית, דבר נפוץ בתצורות של road-warrior.
שמור את השינויים והפעל מחדש את השירות כדי שהשרת יוכל לקרוא את התצורה החדשה:
systemctl restart wg-quick@wg0
בכל פעם שאתה משנה את wg0.conf בשרת (לדוגמה, כדי להוסיף או להסיר עמיתים) תצטרך להטעין את השירות כדי שהשינויים ייכנסו לתוקף, `systemctl status wg-quick@wg0` חדש יאשר שהכל עדיין ירוק.
יצירת קבצי תצורה עבור לקוחות
לאחר שהעמיתים רשומים כעת בשרת, השלב הבא הוא להכין את קבצי ה-.conf שבהם הלקוחות ישתמשו כדי להתחבר. קבצים אלה מכילים את המפתח הפרטי של הלקוח, כתובת ה-IP של המנהרה שלו, DNS ופרטי השרת (מפתח ציבורי, IP ופורט).
בהתאם לדוגמה, עבור המחשב האישי ניתן ליצור קובץ mypc.conf ב-/etc/wireguard/:
nano mypc.conf
ולכתוב משהו דומה ל:
PrivateKey = <clave_privada_mipc>
Address = 10.30.0.2/32
DNS = 8.8.8.8
מפתח ציבורי =
נקודת קצה = :51928
כתובות IP מותרות = 0.0.0.0/0
PersistentKeepalive = 20
סעיף זה מתאר את צד הלקוח: המפתח הפרטי של המכשיר, כתובת ה-IP שלו ברשת WireGuard, ושרת ה-DNS בו ישתמש כאשר המנהרה פעילה. השרת מוגדר בסעיף `defines`, תוך ציון... המפתח הציבורי שלך, כתובת ה-IP או הדומיין שדרכם תוכל להגיע אליו והפורט שהגדרת קודם לכן (51928 בדוגמה זו).
הגדרת AllowedIPs = 0.0.0.0/0 מנתבת את כל תעבורת הלקוח דרך ה-VPN (אופייני כאשר ברצונך להסתיר את כתובת ה-IP האמיתית שלך או להשתמש תמיד בכתובת ה-IP של השרת). אם ברצונך להגיע רק לתת-רשתות מרוחקות מסוימות, תוכל להגביל זאת, לדוגמה, ל-10.30.0.0/24 או 192.168.0.0/24, בהתאם לטופולוגיית הרשת שלך.
הפרמטר PersistentKeepalive שומר על חילופי חבילות קטנים ותקופתיים כדי למנוע סגירת החיבור כאשר הלקוח נמצא מאחורי NAT או חומות אש שמנתקות חיבורים לא פעילים. ערך של 20-25 שניות בדרך כלל עובד היטב. עבור לקוחות סלולריים המחוברים באמצעות 4G/5G.
תצורה ספציפית ללקוח אנדרואיד עם WireGuard
עבור אנדרואיד הגישה זהה לחלוטין לזו של המחשב האישי: הנייד זקוק למפתח פרטי משלו, המוקצה לו. כתובת ה-IP של המנהרה שלה והמפתח הציבורי של השרת מוצגים כמקור הפניה.ניתן לייצר את המפתחות בשרת עצמו (כמו שעשינו קודם) או ישירות מאפליקציית האנדרואיד.
בעקבות התהליך הקודם, אמורים להיות לך כבר יוצרים את `myphone_privatekey` ו-`myphone_publickey` ב-`/etc/wireguard/`. עדיין עליך לרשום את תצורת הלקוח, אותה תייבא לאחר מכן למכשיר הנייד. קובץ לדוגמה עבור אנדרואיד יכול להיות:
nano myphone.conf
ובתוך:
PrivateKey = <clave_privada_mitelefono>
Address = 10.30.0.3/32
DNS = 8.8.8.8
מפתח ציבורי =
נקודת קצה = :51928
כתובות IP מותרות = 0.0.0.0/0
PersistentKeepalive = 20
קובץ זה מכיל את כל מה שדרוש לאפליקציית WireGuard הרשמית באנדרואיד לתפקד. צור את המנהרה וניהול משא ומתן על לחיצת היד עם השרתהחלק המסובך כאן הוא להעביר את הקובץ הזה לטלפון בצורה מאובטחת, תוך הימנעות, ככל האפשר, מהשארת עקבות לא בטוחים לאורך הדרך.
בסביבת מעבדה, ניתן להגדיר שרת אינטרנט (לדוגמה, Apache), להעתיק את myphone.conf לקובץ השורש של המסמך ולהוריד אותו מדפדפן אנדרואיד. עם זאת, בתרחיש אמיתי, מומלץ יותר... השתמשו בשיטות כגון USB, כלי סנכרון מוצפנים, או, אפילו טוב יותר, קוד QR שנוצר מהשרת עצמו.
לשם כך, ניתן להתקין את כלי השירות qrencode בשרת:
apt install -y qrencode
ומתיקיית התצורה לבצע:
qrencode -t ansiutf8 -r myphone.conf
פקודה זו תציג קוד QR בתווים בטרמינל, אותו תוכלו לסרוק. ישירות מאפליקציית WireGuard באנדרואיד שימוש באפשרות להוסיף מנהרה חדשה דרך "סריקה מקוד QR". כך אין צורך לשלוח את הקובץ בדוא"ל או להעלות אותו לשירותים חיצוניים.
הגדרת גישה לרשת LAN מרחוק, DNS ושמות דומיין מקומיים
מלבד יצירת המנהרה הבסיסית, לעתים קרובות מה שאתה רוצה הוא להיות מסוגל לגשת מהטלפון הנייד אנדרואיד שלך אל התקני LAN של שרת, כגון NAS, מצלמת IP, נתב או שרת פנימי, המשתמשים בשמות הדומיין המקומיים שלהם במקום לשנן כתובות IP.
נתבים מסוימים הפועלים כשרתי WireGuard (לדוגמה, מותגים מסוימים המשלבים שרת VPN בקושחה שלהם) כוללים מדור לניהול שמות מקומיים אלה. בתוך לוח ניהול האינטרנט, בדרך כלל תמצאו אפשרויות כגון רשת → DNS → עריכת מארחים, שממנו ניתן להגדיר זוגות IP/שם (לדוגמה, 192.168.1.50 nas-casa.local).
אם הנתב שלך אינו מפענח באופן אוטומטי דומיינים מקומיים בצורה נכונה, תוכל להוסיף ידנית ערכים עבור המכשירים שברצונך שיהיו נגישים אליהם דרך ה-VPN וליישם את השינויים. פעולה זו מבטיחה שגם הנתב עצמו וגם כל לקוח המשתמש ב-DNS שלו יוכלו לפתור את הבעיה. פתור את השמות הפנימיים הללו בצורה נכונה.
שרתי WireGuard המוטמעים בנתבים עם גרסאות קושחה שונות כוללים לעתים קרובות הגדרות ספציפיות המאפשרות גישה מרחוק לרשת ה-LAN. לדוגמה, ממשקים מסוימים מציעים אפשרויות בשם "אפשר גישה מרחוק לתת-רשת ה-LAN" או "גישה מרחוק ל-LAN" שעליך להפעיל במקטע התצורה של שרת WireGuard.
הפעלת אפשרות זו הופכת את הנתב והמכשירים ברשת המקומית לנגישים דרך המנהרה, מה שמאפשר לך להגיע אליהם מרשת הלקוח (לדוגמה, רשת ה-LAN הביתית המשנית שלך או רשת הסלולר של אנדרואיד) השירותים הפנימיים של נתב השרת והציוד ברשת ה-LAN הראשית.
במקרים רבים, נתבים אלה מאפשרים לך לייצא את פרופיל התצורה של WireGuard לשימוש בלקוחות חיצוניים. מהכרטיסייה "שרת WireGuard", בדרך כלל תוכל ליצור קובץ .conf שכבר כולל את כתובת ה-IP של המנהרה, את ה-DNS הנכון (המצביע לכתובת ה-IP של ממשק המנהרה של השרת), ואת כל הפרמטרים הדרושים כדי להתחבר מנתב לקוח אחר או מאפליקציית המובייל.
אימות, פתרון בעיות ואבטחה ב-WireGuard
לאחר שהגדרת את המנהרה וייבאת את התצורה לאנדרואיד, הבדיקה הראשונה היא לוודא ש... לחיצת יד זה הושלם בהצלחה. אפליקציית WireGuard במכשיר הנייד שלך תציג את סטטוס המנהרה ואת חותמות הזמן האחרונות של לחיצת היד.
בשרת, הפעל את הפקודה הבאה:
wg
זה יראה לכם, עבור כל עמית, את המפתח הציבורי, כתובת ה-IP של נקודת הקצה שממנה הוא מתחבר, לחיצת היד האחרונה והבייטים שהועברו. אם אתם רואים שהפעילות האחרונה ריקה או ישנה מאוד, סביר להניח שמדובר בלקוח. ייתכן שהוא לא מתחבר, או שיש בעיה בחומת אש או בהעברת פורטים..
אם אין חיבור, בדוק שפורט ה-UDP שתצורתו נקבעה (לדוגמה, 51928 או 51820) פתוח כראוי בחומת האש של השרת ובכל הנתבים הביניים. זכור שאם השרת שלך נמצא מאחורי נתב ביתי, תצטרך... העברת פורטים של פורט UDP של WireGuard לכתובת ה-IP הפנימית של השרת.
אם המנהרה פעילה אך אין לך גישה לאינטרנט מהלקוח, ודא שהעברת חבילות (net.ipv4.ip_forward ו- net.ipv6.conf.all.forwarding) מופעלת ושכלל ה-NAT ב-iptables הוחל כהלכה על הממשק היוצא הנכון (eth0, ens3 וכו').
בעיות DNS בדרך כלל מתבטאות בכך שניתן לבצע פינג לכתובות IP ספציפיות, אך לא פותרים שמות דומייןבמקרה כזה, ודא שבקובץ תצורת הלקוח (אנדרואיד, מחשב, נתב לקוח) שדה ה-DNS מצביע לשרת הנכון: זה יכול להיות DNS ציבורי (8.8.8.8, 1.1.1.1) או כתובת ה-IP של מנהרת השרת אם ברצונך שהוא ישמש גם כרזולוטור.
מבחינת אבטחה, מעבר לחוסן הקריפטוגרפי של הפרוטוקול, הדברים הבאים הם בסיסיים:
- הגנה על מפתחות פרטיים ולעולם לא לשתף אותם.
- להגביל ככל האפשר את כתובות IP מותרות של כל עמית כך שתהיה להם גישה רק למה שחשוב בהחלט.
- השתמש ביציאות UDP לא סטנדרטיות כדי להפחית רעש מסורקים אוטומטיים.
- שמרו על המערכת, וכמובן, על WireGuard עצמה מעודכנת.
- החל כללי חומת אש נוספים על הגבל את מי שיכול לגשת לפורט WireGuard בשרת שלך.
כל מערך האמצעים הזה הופך את ה-VPN שלכם עם WireGuard לא רק למהיר ופונקציונלי, אלא גם לחזק כנגד התקפות נפוצות המנצלות תצורות שגויות או רשלנות בניהול מפתחות.
עם כל השלבים הללו, יהיה לכם שרת WireGuard מוגדר כראוי, עם גישה מרחוק מאנדרואיד וממערכות אחרות, תעבורה מוצפנת, יכולת גלישה מלאה במנהרה ויכולת גישה למכשירים הביתיים או המשרדיים שלכם באמצעות שמות דומיין פנימיים; בקיצור, דרך אלגנטית למדי ל... קח את הרשת שלך איתך לכל מקום שאתה הולך בלי לשבור את הראש.
