Volledige WireGuard-gids: Installasie, sleutels en gevorderde konfigurasie

As jy op soek is na 'n Skynprivaatnetwerk wat vinnig, veilig en maklik is om te ontplooi, WireGuard Dit is die beste wat jy vandag kan gebruik. Met 'n minimalistiese ontwerp en moderne kriptografie is dit ideaal vir tuisgebruikers, professionele persone en korporatiewe omgewings, beide op rekenaars en op mobiele toestelle en routers.

In hierdie praktiese gids vind jy alles van die basiese beginsels tot die Gevorderde konfigurasieInstallasie op Linux (Ubuntu/Debian/CentOS), sleutels, bediener- en kliëntlêers, IP-aanstuur, NAT/Firewall, toepassings op Windows/macOS/Android/iOS, gesplete tunneling, werkverrigting, probleemoplossing en versoenbaarheid met platforms soos OPNsense, pfSense, QNAP, Mikrotik of Teltonika.

Wat is WireGuard en hoekom dit kies?

WireGuard is 'n oopbron VPN-protokol en sagteware wat ontwerp is om te skep L3-geënkripteerde tonnels oor UDPDit staan ​​uit in vergelyking met OpenVPN of IPsec as gevolg van sy eenvoud, werkverrigting en laer latensie, en steun op moderne algoritmes soos Curve25519, ChaCha20-Poly1305, BLAKE2, SipHash24 en HKDF.

Die kodebasis is baie klein (ongeveer duisende lyne), wat oudits vergemaklik, aanvalsoppervlak verminder en onderhoud verbeter. Dit is ook in die Linux-kern geïntegreer, wat dit moontlik maak hoë oordragkoerse en rats reaksie selfs op beskeie hardeware.

 

Dit is multiplatform: daar is amptelike toepassings vir Windows, macOS, Linux, Android en iOS, en ondersteuning vir router/firewall-georiënteerde stelsels soos OPNsense. Dit is ook beskikbaar vir omgewings soos FreeBSD, OpenBSD, en NAS en virtualiseringsplatforms.

Hoe dit binne werk

 

WireGuard vestig 'n geïnkripteerde tonnel tussen eweknieë (portuurgroep) geïdentifiseer deur sleutels. Elke toestel genereer 'n sleutelpaar (privaat/publiek) en deel slegs sy openbare sleutel met die ander kant; van daar af word alle verkeer geïnkripteer en geverifieer.

Richtlijn Toegelate IP's Definieer beide die uitgaande roetering (watter verkeer deur die tonnel moet gaan) en die lys van geldige bronne wat die afgeleë eweknie sal aanvaar nadat 'n pakkie suksesvol gedekripteer is. Hierdie benadering staan ​​bekend as Cryptokey Routing en vereenvoudig verkeersbeleid aansienlik.

WireGuard is uitstekend met die Roaming- As jou kliënt se IP verander (bv. jy spring van Wi-Fi na 4G/5G), word die sessie deursigtig en baie vinnig herstel. Dit ondersteun ook doodskakelaar om verkeer uit die tonnel te blokkeer as die VPN afgaan.

Installasie op Linux: Ubuntu/Debian/CentOS

Op Ubuntu is WireGuard beskikbaar in die amptelike repos. Dateer die pakkette op en installeer dan die sagteware om die module en gereedskap te kry. wg en wg-quick.

apt update && apt upgrade -y
apt install wireguard -y
modprobe wireguard

In Debian se stabiele stelsel kan jy staatmaak op onstabiele takbewaarplekke indien nodig, deur die aanbevole metode te volg en met sorg in produksie:

sudo sh -c 'echo deb https://deb.debian.org/debian/ unstable main > /etc/apt/sources.list.d/unstable.list'
sudo sh -c 'printf "Package: *\nPin: release a=unstable\nPin-Priority: 90\n" > /etc/apt/preferences.d/limit-unstable'
sudo apt update
sudo apt install wireguard

In CentOS 8.3 is die vloei soortgelyk: jy aktiveer EPEL/ElRepo-bewaarplekke indien nodig en installeer dan die pakket. WireGuard en ooreenstemmende modules.

Sleutelgenerering

Elke eweknie moet sy eie hê privaat/publieke sleutelpaarPas umask toe om toestemmings te beperk en sleutels vir die bediener en kliënte te genereer.

umask 077
wg genkey | tee privatekey | wg pubkey > publickey

Herhaal op elke toestel. Moet nooit die privaat sleutel en stoor albei veilig. Indien u verkies, skep lêers met verskillende name, byvoorbeeld privaatsleutelbediener y openbarebedienersleutel.

Bedieneropstelling

Skep die hooflêer in /etc/wireguard/wg0.confKen 'n VPN-subnet toe (wat nie op jou regte LAN gebruik word nie), die UDP-poort en voeg 'n blok by [Eweknie] per gemagtigde kliënt.

[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = <clave_privada_servidor>

# Cliente 1
[Peer]
PublicKey = <clave_publica_cliente1>
AllowedIPs = 10.0.0.2/32

Jy kan ook 'n ander subnet gebruik, byvoorbeeld 192.168.2.0/24, en groei saam met verskeie eweknieë. Vir vinnige ontplooiings is dit algemeen om te gebruik wg-vinnig met wgN.conf-lêers.

Kliëntkonfigurasie

Skep byvoorbeeld 'n lêer op die kliënt wg0-kliënt.conf, met sy private sleutel, tonneladres, opsionele DNS, en die bediener se eweknie met sy publieke eindpunt en poort.

[Interface]
PrivateKey = <clave_privada_cliente>
Address = 10.0.0.2/24
DNS = 8.8.8.8

[Peer]
PublicKey = <clave_publica_servidor>
Endpoint = <ip_publica_servidor>:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25

As jy sit Toegelate IP's = 0.0.0.0/0 Alle verkeer sal deur die VPN gaan; as jy slegs spesifieke bedienernetwerke wil bereik, beperk dit tot die nodige subnette en jy sal verminder latency en verbruik.

IP-aanstuur en NAT op die bediener

Aktiveer aanstuur sodat kliënte toegang tot die internet deur die bediener kan kry. Pas veranderinge onmiddellik toe met sysctl.

echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf
echo 'net.ipv6.conf.all.forwarding=1' >> /etc/sysctl.conf
sysctl -p

Konfigureer NAT met iptables vir die VPN-subnet, stel die WAN-koppelvlak in (byvoorbeeld, et0):

iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADE

Maak dit volhardend met die toepaslike pakkette en stoorreëls wat toegepas moet word op die herlaai van die stelsel.

apt install -y iptables-persistent netfilter-persistent
netfilter-persistent save

Opstart en verifikasie

Maak die koppelvlak oop en aktiveer die diens om met die stelsel te begin. Hierdie stap skep die virtuele koppelvlak en voeg by. roetes nodig.

systemctl start wg-quick@wg0
systemctl enable wg-quick@wg0
wg

met wg Jy sal die eweknieë, sleutels, oordragte en laaste handskudtye sien. As jou firewallbeleid beperkend is, laat toegang deur die koppelvlak toe. wg0 en die UDP-poort van die diens:

iptables -I INPUT 1 -i wg0 -j ACCEPT

Amptelike toepassings: Windows, macOS, Android en iOS

Op die lessenaar kan jy 'n invoer .conf-lêerOp mobiele toestelle laat die toepassing jou toe om die koppelvlak te skep vanaf 'n QR-kode wat die konfigurasie bevat; dit is baie gerieflik vir nie-tegniese kliënte.

As jou doel is om self-gehoste dienste soos bloot te stel Plex/Radarr/Sonarr Deur jou VPN, ken eenvoudig IP's in die WireGuard-subnet toe en pas ToegelateIP's aan sodat die kliënt daardie netwerk kan bereik; jy hoef nie bykomende poorte na buite oop te maak as alle toegang deur die tonnel.

Voordele en nadele

WireGuard is baie vinnig en eenvoudig, maar dit is belangrik om die beperkings en spesifisiteite daarvan in ag te neem, afhangende van die gebruiksgeval. Hier is 'n gebalanseerde oorsig van die mees uitstaande.

Advantage	Nadele
Duidelike en kort konfigurasie, ideaal vir outomatisering	Sluit nie inheemse verkeersverduistering in nie
Hoë werkverrigting en lae latensie selfs in mobiele	In sommige ouer omgewings is daar minder gevorderde opsies
Moderne kriptografie en klein kode wat dit maklik maak oudit	Privaatheid: IP/publieke sleutel-assosiasie kan sensitief wees, afhangende van beleide
Naatlose roaming en doodskakelaar beskikbaar op kliënte	Derdeparty-versoenbaarheid is nie altyd homogeen nie

 

Gesplete tonnelwerk: rig slegs wat nodig is

Gesplete tonnelwerk laat jou toe om slegs die verkeer wat jy benodig deur die VPN te stuur. Toegelate IP's Jy besluit of jy volledige of selektiewe herleiding na een of meer subnette wil doen.

# Redirección completa de Internet
[Peer]
AllowedIPs = 0.0.0.0/0

# Solo acceder a recursos de la LAN 192.168.1.0/24 por la VPN
[Peer]
AllowedIPs = 192.168.1.0/24

Daar is variante soos omgekeerde gesplete tonneling, gefiltreer deur URL of per toepassing (deur spesifieke uitbreidings/kliënte), hoewel die inheemse basis in WireGuard beheer deur IP en voorvoegsels is.

Verenigbaarheid en ekosisteem

WireGuard is gebore vir die Linux-kern, maar vandag is dit multiOPNsense integreer dit inheems; pfSense is tydelik gestaak vir oudits, en dit is daarna as 'n opsionele pakket aangebied, afhangende van die weergawe.

Op NAS soos QNAP kan jy dit via QVPN of virtuele masjiene monteer, en voordeel trek uit 10GbE NIC's om hoë snelhedeMikroTik-routerborde het WireGuard-ondersteuning sedert RouterOS 7.x ingesluit; in sy vroeë iterasies was dit in beta en nie aanbeveel vir produksie nie, maar dit laat wel P2P-tonnels tussen toestelle en selfs eindkliënte toe.

Vervaardigers soos Teltonika het 'n pakket om WireGuard by hul routers te voeg; as jy toerusting benodig, kan jy dit koop by winkel.davantel.com en volg die vervaardiger se riglyne vir installasie pakkette Ekstra.

Prestasie en latensie

Danksy sy minimalistiese ontwerp en die keuse van doeltreffende algoritmes, bereik WireGuard baie hoë snelhede en lae latensies, oor die algemeen beter as L2TP/IPsec en OpenVPN. In plaaslike toetse met kragtige hardeware is die werklike tempo dikwels dubbel dié van die alternatiewe, wat dit ideaal maak vir stroomdienste, speletjies of VoIP.

Korporatiewe implementering en telewerk

In die onderneming is WireGuard geskik vir die skep van tonnels tussen kantore, toegang tot werknemers op afstand en veilige verbindings tussen CPD en wolk (bv. vir rugsteun). Die bondige sintaksis maak weergawebeheer en outomatisering maklik.

Dit integreer met gidse soos LDAP/AD deur middel van intermediêre oplossings en kan saam met IDS/IPS- of NAC-platforms bestaan. 'n Gewilde opsie is Pakkieheining (oopbron), wat jou toelaat om die status van toerusting te verifieer voordat toegang verleen word en BYOD beheer word.

Windows/macOS: Notas en wenke

Die amptelike Windows-toepassing werk gewoonlik sonder probleme, maar in sommige weergawes van Windows 10 was daar probleme met die gebruik daarvan. Toegelate IP's = 0.0.0.0/0 as gevolg van roetekonflikte. As 'n tydelike alternatief kies sommige gebruikers vir WireGuard-gebaseerde kliënte soos TunSafe of om AllowedIPs tot spesifieke subnette te beperk.

Debian Vinnige Begingids met Voorbeeldsleutels

Genereer sleutels vir bediener en kliënt in /etc/wireguard/ en skep die wg0-koppelvlak. Maak seker dat die VPN-IP's nie ooreenstem met enige ander IP's op jou plaaslike netwerk of jou kliënte nie.

cd /etc/wireguard/
wg genkey | tee claveprivadaservidor | wg pubkey > clavepublicaservidor
wg genkey | tee claveprivadacliente1 | wg pubkey > clavepublicacliente1

wg0.conf-bediener met subnet 192.168.2.0/24 en poort 51820. Aktiveer PostUp/PostDown as jy wil outomatiseer NAT met iptables wanneer die koppelvlak op/af gebring word.

[Interface]
Address = 192.168.2.1/24
PrivateKey = <clave_privada_servidor>
ListenPort = 51820
#PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]
PublicKey = <clave_publica_cliente1>
AllowedIPs = 0.0.0.0/0

Kliënt met adres 192.168.2.2, wat na die bediener se publieke eindpunt wys en met aanhoudend opsioneel indien daar intermediêre NAT is.

[Interface]
PrivateKey = <clave_privada_cliente1>
Address = 192.168.2.2/32

[Peer]
PublicKey = <clave_publica_servidor>
AllowedIPs = 0.0.0.0/0
Endpoint = <ip_publica_servidor>:51820
#PersistentKeepalive = 25

Trek die koppelvlak op en kyk hoe die MTU, roetemerke en fwmark en roeteringsbeleidreëls. Hersien die wg-quick-uitvoer en status met wg-vertoning.

Mikrotik: tonnel tussen RouterOS 7.x

MikroTik ondersteun WireGuard sedert RouterOS 7.x. Skep 'n WireGuard-koppelvlak op elke router, pas dit toe, en dit sal outomaties gegenereer word. sleutelKen IP's toe aan Ether2 as WAN en wireguard1 as tonnelkoppelvlak.

Konfigureer die eweknieë deur die bediener se publieke sleutel aan die kliëntkant te kruis en andersom, definieer Toegelate Adres/Toegelate IP's (byvoorbeeld 0.0.0.0/0 as jy enige bron/bestemming deur die tonnel wil toelaat) en stel die afgeleë eindpunt met sy poort. 'n Ping na die afgeleë tonnel-IP sal die bevestig handdruk.

As jy selfone of rekenaars aan die Mikrotik-tonnel koppel, verfyn die toegelate netwerke sodat dit nie meer as nodig oopmaak nie; WireGuard besluit die vloei van pakkette gebaseer op jou. Cryptokey Routing, daarom is dit belangrik om oorsprong en bestemmings te pas.

Kriptografie gebruik

WireGuard gebruik 'n moderne stel van: Geraas as 'n raamwerk, Curve25519 vir ECDH, ChaCha20 vir geverifieerde simmetriese enkripsie met Poly1305, BLAKE2 vir hashing, SipHash24 vir hash-tabelle en HKDF vir afleiding van sleutelAs 'n algoritme afgekeur word, kan die protokol weergawes kry om naatloos te migreer.

Voordele en nadele op selfone

Deur dit op slimfone te gebruik, kan jy veilig blaai Openbare Wi-Fi, versteek verkeer van jou internetdiensverskaffer, en koppel aan jou tuisnetwerk om toegang tot NAS, huisoutomatisering of speletjies te verkry. Op iOS/Android maak die wisseling van netwerke nie die tonnel oop nie, wat die ervaring verbeter.

As nadele sleep jy 'n mate van spoedverlies en groter latensie in vergelyking met direkte uitvoer, en jy is afhanklik van die bediener wat altyd is. beskikbaarIn vergelyking met IPsec/OpenVPN is die straf egter gewoonlik laer.

WireGuard kombineer eenvoud, spoed en werklike sekuriteit met 'n sagte leerkurwe: installeer dit, genereer sleutels, definieer ToegelateIP's, en jy is gereed om te gaan. Voeg IP-aanstuuring, goed geïmplementeerde NAT, amptelike toepassings met QR-kodes en versoenbaarheid met ekosisteme soos OPNsense, Mikrotik of Teltonika by. 'n moderne VPN vir byna enige scenario, van die beveiliging van openbare netwerke tot die koppeling van hoofkwartiere en toegang tot jou tuisdienste sonder hoofpyn.