Tam WireGuard Bələdçisi: Quraşdırma, Açarlar və Qabaqcıl Konfiqurasiya

Əgər bir axtarırsan VPN sürətli, təhlükəsiz və yerləşdirilməsi asan olan, WireGuard Bu gün istifadə edə biləcəyiniz ən yaxşısıdır. Minimalist dizayn və müasir kriptoqrafiya ilə o, həm kompüterlərdə, həm də mobil cihazlarda və marşrutlaşdırıcılarda ev istifadəçiləri, peşəkarlar və korporativ mühitlər üçün idealdır.

Bu praktiki təlimatda siz əsaslardan tutmuş əsaslara qədər hər şeyi tapa bilərsiniz Ətraflı konfiqurasiya: Linux (Ubuntu/Debian/CentOS), açarlar, server və müştəri faylları, IP yönləndirmə, NAT/Firewall, Windows/macOS/Android/iOS-da proqramlar, split tuneling, performans, problemlərin aradan qaldırılması və OPNsense, pfSense, QNAP, Mikrotik və ya Teltonika kimi platformalarla uyğunluq.

WireGuard nədir və niyə onu seçirsiniz?

WireGuard yaratmaq üçün nəzərdə tutulmuş açıq mənbəli VPN protokolu və proqram təminatıdır UDP üzərindən L3 şifrəli tunellər. kimi müasir alqoritmlərə əsaslanaraq sadəliyi, performansı və aşağı gecikmə müddətinə görə OpenVPN və ya IPsec ilə müqayisədə fərqlənir. Curve25519, ChaCha20-Poly1305, BLAKE2, SipHash24 və HKDF.

Onun kod bazası çox kiçikdir (təxminən minlərlə sətir), auditləri asanlaşdırır, hücum səthini azaldır və texniki xidməti yaxşılaşdırır. O, həmçinin Linux nüvəsinə inteqrasiya olunub, buna imkan verir yüksək transfer dərəcələri və hətta təvazökar aparatda çevik cavab.

 

Çox platformadır: üçün rəsmi proqramlar var Windows, macOS, Linux, Android və iOS, və OPNsense kimi marşrutlaşdırıcı/firewall yönümlü sistemlər üçün dəstək. O, həmçinin FreeBSD, OpenBSD və NAS kimi mühitlər və virtualizasiya platformaları üçün də mövcuddur.

İçəridə necə işləyir

 

WireGuard həmyaşıdları arasında şifrələnmiş tunel qurur (həmyaşıdları) düymələri ilə müəyyən edilir. Hər bir cihaz açar cütü yaradır (şəxsi/ictimai) və yalnız onu paylaşır ictimai açar digər ucu ilə; oradan bütün trafik şifrələnir və təsdiqlənir.

Direktiv İcazə verilən IP-lər Həm gedən marşrutu (tuneldən hansı trafik keçməlidir), həm də paketi uğurla deşifrə etdikdən sonra uzaq həmyaşıdın qəbul edəcəyi etibarlı mənbələrin siyahısını müəyyən edir. Bu yanaşma kimi tanınır Kriptokey Yönləndirmə və yol siyasətini xeyli asanlaşdırır.

WireGuard ilə əladır Rominq- Müştərinizin IP-si dəyişirsə (məsələn, Wi-Fi-dan 4G/5G-ə keçsəniz), sessiya şəffaf və çox tez bərpa olunur. O da dəstəkləyir öldürmə açarı VPN işə düşərsə, tuneldən trafikin qarşısını almaq üçün.

Linux-da quraşdırma: Ubuntu/Debian/CentOS

Ubuntu-da WireGuard rəsmi repolarda mövcuddur. Paketləri yeniləyin və sonra modul və alətləri əldə etmək üçün proqramı quraşdırın. wg və wg-sürətli.

apt update && apt upgrade -y
apt install wireguard -y
modprobe wireguard

Debian stabil-də tövsiyə olunan metoda əməl edərək və lazım olduqda qeyri-sabit filial repolarına etibar edə bilərsiniz. istehsalda qayğı:

sudo sh -c 'echo deb https://deb.debian.org/debian/ unstable main > /etc/apt/sources.list.d/unstable.list'
sudo sh -c 'printf "Package: *\nPin: release a=unstable\nPin-Priority: 90\n" > /etc/apt/preferences.d/limit-unstable'
sudo apt update
sudo apt install wireguard

CentOS 8.3-də axın oxşardır: zəruri hallarda EPEL/ElRepo repolarını aktivləşdirirsiniz və sonra paketi quraşdırırsınız. WireGuard və müvafiq modullar.

Açar nəsil

Hər bir həmyaşıdının özünə məxsus olması lazımdır şəxsi/ictimai açar cütü. İcazələri məhdudlaşdırmaq və server və müştərilər üçün açarlar yaratmaq üçün umask tətbiq edin.

umask 077
wg genkey | tee privatekey | wg pubkey > publickey

Hər cihazda təkrarlayın. Heç vaxt paylaşmayın şəxsi açar və hər ikisini təhlükəsiz şəkildə xilas edin. İstəyirsinizsə, məsələn, müxtəlif adlarla fayllar yaradın şəxsi açar serveri y ictimai server açarı.

Server konfiqurasiyası

Əsas faylı yaradın /etc/wireguard/wg0.conf. VPN alt şəbəkəsini (həqiqi LAN-da istifadə edilmir), UDP portunu təyin edin və blok əlavə edin [Həmyaşıd] səlahiyyətli müştəriyə görə.

[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = <clave_privada_servidor>

# Cliente 1
[Peer]
PublicKey = <clave_publica_cliente1>
AllowedIPs = 10.0.0.2/32

Məsələn, başqa alt şəbəkədən də istifadə edə bilərsiniz 192.168.2.0/24, və çoxsaylı həmyaşıdları ilə böyüyür. Sürətli yerləşdirmə üçün istifadə etmək adi haldır wg-tez wgN.conf faylları ilə.

Müştərinin konfiqurasiyası

Müştəridə, məsələn, bir fayl yaradın wg0-client.conf, şəxsi açarı, tunel ünvanı, isteğe bağlı DNS və ictimai son nöqtəsi və portu ilə serverin həmyaşıdı ilə.

[Interface]
PrivateKey = <clave_privada_cliente>
Address = 10.0.0.2/24
DNS = 8.8.8.8

[Peer]
PublicKey = <clave_publica_servidor>
Endpoint = <ip_publica_servidor>:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25

qoysan İcazə verilən IP-lər = 0.0.0.0/0 Bütün trafik VPN-dən keçəcək; yalnız xüsusi server şəbəkələrinə çatmaq istəyirsinizsə, onu lazımi alt şəbəkələrlə məhdudlaşdırın və azaldacaqsınız gecikmə və istehlak.

Serverdə IP Yönləndirmə və NAT

Müştərilərin server vasitəsilə İnternetə daxil ola bilməsi üçün yönləndirməni aktivləşdirin. ilə dəyişiklikləri tez tətbiq edin sysctl.

echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf
echo 'net.ipv6.conf.all.forwarding=1' >> /etc/sysctl.conf
sysctl -p

NAT-ı VPN alt şəbəkəsi üçün iptables ilə konfiqurasiya edin, WAN interfeysini təyin edin (məsələn, eth0):

iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADE

Davamlı olun müvafiq paketlərlə və sistemin yenidən işə salınması zamanı tətbiq olunacaq saxlama qaydaları.

apt install -y iptables-persistent netfilter-persistent
netfilter-persistent save

Başlanğıc və doğrulama

İnterfeysi açın və xidmətin sistemlə başlamasını təmin edin. Bu addım virtual interfeys yaradır və əlavə edir marşrutlar zəruri.

systemctl start wg-quick@wg0
systemctl enable wg-quick@wg0
wg

ilə wg Siz həmyaşıdları, açarları, köçürmələri və son əl sıxma vaxtlarını görəcəksiniz. Əgər firewall siyasətiniz məhdudlaşdırıcıdırsa, interfeys vasitəsilə girişə icazə verin. wg0 və xidmətin UDP portu:

iptables -I INPUT 1 -i wg0 -j ACCEPT

Rəsmi proqramlar: Windows, macOS, Android və iOS

İş masasında siz idxal edə bilərsiniz .conf faylı. Mobil cihazlarda proqram a-dan interfeys yaratmağa imkan verir QR kodu konfiqurasiyanı ehtiva edir; texniki olmayan müştərilər üçün çox əlverişlidir.

Məqsədiniz öz-özünə ev sahibliyi edən xidmətləri ifşa etməkdirsə Plex/Radar/Sonarr VPN vasitəsilə sadəcə WireGuard alt şəbəkəsində IP təyin edin və AllowedIP-ləri tənzimləyin ki, müştəri həmin şəbəkəyə daxil ola bilsin; bütün giriş vasitəsilə xaricə əlavə portlar açmağa ehtiyac yoxdur tunel.

Üstünlüklər və mənfi cəhətlər

WireGuard çox sürətli və sadədir, lakin istifadə vəziyyətindən asılı olaraq onun məhdudiyyətlərini və xüsusiyyətlərini nəzərə almaq vacibdir. Ən çoxunun balanslaşdırılmış icmalı müvafiq.

Fayda	Dezavantajları
Aydın və qısa konfiqurasiya, avtomatlaşdırma üçün idealdır	Doğma trafik çaşqınlığını özündə birləşdirmir
Hətta yüksək performans və aşağı gecikmə səyyar	Bəzi köhnə mühitlərdə daha az inkişaf etmiş seçimlər var
Müasir kriptoqrafiya və asanlaşdıran kiçik kod audit	Məxfilik: IP/ictimai açar birliyi siyasətlərdən asılı olaraq həssas ola bilər
Müştərilərdə qüsursuz rouminq və öldürmə açarı mövcuddur	Üçüncü tərəf uyğunluğu həmişə homojen deyil

 

Ayrılmış tunel: yalnız lazım olanı istiqamətləndirmək

Split tunel sizə VPN vasitəsilə yalnız sizə lazım olan trafiki göndərməyə imkan verir. ilə İcazə verilən IP-lər Siz bir və ya bir neçə alt şəbəkəyə tam və ya seçmə yönləndirməni həyata keçirməyə qərar verirsiniz.

# Redirección completa de Internet
[Peer]
AllowedIPs = 0.0.0.0/0

# Solo acceder a recursos de la LAN 192.168.1.0/24 por la VPN
[Peer]
AllowedIPs = 192.168.1.0/24

Ters split tunel kimi süzgəcdən keçirilmiş variantlar var URL və ya proqramla (xüsusi genişləndirmələr/müştərilər vasitəsilə), baxmayaraq ki, WireGuard-da yerli əsas IP və prefikslər tərəfindən idarə olunur.

Uyğunluq və ekosistem

WireGuard Linux nüvəsi üçün doğuldu, lakin bu gün belədir çarpaz platformaOPNsense onu yerli olaraq birləşdirir; pfSense müvəqqəti olaraq yoxlamalar üçün dayandırıldı və sonradan versiyadan asılı olaraq əlavə paket kimi təklif edildi.

QNAP kimi NAS-da siz onu QVPN və ya virtual maşınlar vasitəsilə 10GbE NIC-lərdən istifadə edərək quraşdıra bilərsiniz. yüksək sürətlərMikroTik marşrutlaşdırıcı lövhələri RouterOS 7.x-dən bəri WireGuard dəstəyini birləşdirir; ilk iterasiyalarında o, beta-da idi və istehsal üçün tövsiyə edilmir, lakin cihazlar və hətta son müştərilər arasında P2P tunellərinə imkan verir.

Teltonika kimi istehsalçıların WireGuard-ı marşrutlaşdırıcılarına əlavə etmək üçün bir paket var; avadanlıq lazımdırsa, onları əldə edə bilərsiniz shop.davantel.com və quraşdırma üçün istehsalçının təlimatlarına əməl edin paketlər əlavə.

Performans və gecikmə

Minimalist dizaynı və səmərəli alqoritm seçimi sayəsində WireGuard çox yüksək sürət və aşağı gecikmələr, ümumiyyətlə L2TP/IPsec və OpenVPN-dən üstündür. Güclü aparatla yerli testlərdə faktiki göstərici tez-tez alternativlərinkindən iki dəfə çoxdur və bu, onu ideal hala gətirir axın, oyun və ya VoIP.

Korporativ icra və uzaqdan işləmə

Müəssisədə WireGuard ofislər arasında tunellər yaratmaq, işçilərin uzaqdan çıxışı və bir-birləri arasında təhlükəsiz əlaqə yaratmaq üçün uyğundur. CPD və bulud (məsələn, ehtiyat nüsxələr üçün). Onun qısa sintaksisi versiya və avtomatlaşdırmanı asanlaşdırır.

O, aralıq həllərdən istifadə edərək LDAP/AD kimi kataloqlarla inteqrasiya edir və IDS/IPS və ya NAC platformaları ilə birgə mövcud ola bilər. Populyar bir seçimdir PacketFence (açıq mənbə), bu, BYOD-ə giriş və nəzarətdən əvvəl avadanlığın vəziyyətini yoxlamağa imkan verir.

Windows/macOS: Qeydlər və Məsləhətlər

Rəsmi Windows proqramı adətən problemsiz işləyir, lakin Windows 10-un bəzi versiyalarında istifadə zamanı problemlər yaranıb İcazə verilən IP-lər = 0.0.0.0/0 marşrut münaqişələri səbəbindən. Müvəqqəti alternativ olaraq bəzi istifadəçilər TunSafe kimi WireGuard əsaslı müştəriləri və ya AllowedIP-ləri xüsusi alt şəbəkələrlə məhdudlaşdırmağı seçirlər.

Nümunə düymələri ilə Debian Tez Başlanğıc Bələdçisi

Server və müştəri üçün açarlar yaradın /etc/wireguard/ və wg0 interfeysini yaradın. VPN IP-lərinin yerli şəbəkənizdəki və ya müştərilərinizdəki hər hansı digər IP-lərə uyğun gəlmədiyinə əmin olun.

cd /etc/wireguard/
wg genkey | tee claveprivadaservidor | wg pubkey > clavepublicaservidor
wg genkey | tee claveprivadacliente1 | wg pubkey > clavepublicacliente1

192.168.2.0/24 alt şəbəkəsi və 51820 portu olan wg0.conf serveri. Avtomatlaşdırmaq istəyirsinizsə, PostUp/PostDown-u aktivləşdirin NAT interfeysi qaldırarkən/azaldarkən iptables ilə.

[Interface]
Address = 192.168.2.1/24
PrivateKey = <clave_privada_servidor>
ListenPort = 51820
#PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]
PublicKey = <clave_publica_cliente1>
AllowedIPs = 0.0.0.0/0

192.168.2.2 ünvanlı müştəri, serverin ictimai son nöqtəsinə işarə edir və saxlayan ara NAT varsa isteğe bağlıdır.

[Interface]
PrivateKey = <clave_privada_cliente1>
Address = 192.168.2.2/32

[Peer]
PublicKey = <clave_publica_servidor>
AllowedIPs = 0.0.0.0/0
Endpoint = <ip_publica_servidor>:51820
#PersistentKeepalive = 25

İnterfeysi yuxarı çəkin və MTU, marşrut işarələri və kimi baxın fwmark və marşrutlaşdırma siyasəti qaydaları. ilə wg-sürətli çıxışı və vəziyyəti nəzərdən keçirin wg şou.

Mikrotik: RouterOS 7.x arasında tunel

MikroTik RouterOS 7.x-dən bəri WireGuard-ı dəstəkləyir. Hər bir marşrutlaşdırıcıda WireGuard interfeysi yaradın, tətbiq edin və o, avtomatik olaraq yaradılacaq. düymələri. IP-ləri Ether2-yə WAN kimi və wireguard1-ə tunel interfeysi kimi təyin edin.

Müştəri tərəfində serverin açıq açarını keçərək həmyaşıdları konfiqurasiya edin və əksinə, İcazəli Ünvan/İcazə verilən IP-ləri təyin edin (məsələn, 0.0.0.0/0 tunel vasitəsilə hər hansı mənbəyə/təyinata icazə vermək istəyirsinizsə) və uzaq son nöqtəni onun portu ilə təyin edin. Uzaq tunel IP-yə ping təsdiq edəcək handshake.

Mikrotik tunelinə cib telefonlarını və ya kompüterləri qoşarsanız, lazım olandan çox açılmamaq üçün icazə verilən şəbəkələri dəqiqləşdirin; WireGuard paketlərin axınını sizin məlumatlarınız əsasında qərar verir Kriptokey Yönləndirmə, buna görə də mənşə və təyinat yerlərinin uyğunlaşdırılması vacibdir.

Kriptoqrafiyadan istifadə olunur

WireGuard müasir dəsti istifadə edir: Səs çərçivə olaraq, ECDH üçün Curve25519, Poly1305 ilə təsdiqlənmiş simmetrik şifrələmə üçün ChaCha20, hashing üçün BLAKE2, hash cədvəlləri üçün SipHash24 və əldə etmək üçün HKDF düymələriƏgər alqoritm köhnəlibsə, protokol problemsiz köçmək üçün versiyaya salına bilər.

Mobil telefonda müsbət və mənfi cəhətlər

Smartfonlarda istifadə etmək təhlükəsiz şəkildə gözdən keçirməyə imkan verir İctimai Wi‑Fi, ISP-dən trafiki gizlədin və NAS, ev avtomatlaşdırılması və ya oyuna daxil olmaq üçün ev şəbəkənizə qoşulun. iOS/Android-də şəbəkələrin dəyişdirilməsi tuneli aşağı salmır, bu da təcrübəni yaxşılaşdırır.

Eksiler olaraq, siz birbaşa çıxışla müqayisədə sürət itkisini və daha çox gecikməni sürükləyirsiniz və həmişə serverdən asılı olursunuz. mövcud. Bununla belə, IPsec/OpenVPN ilə müqayisədə cəza adətən daha aşağı olur.

WireGuard sadəliyi, sürəti və real təhlükəsizliyi incə öyrənmə əyrisi ilə birləşdirir: onu quraşdırın, açarlar yaradın, AllowedIP-ləri təyin edin və siz getməyə hazırsınız. IP yönləndirmə, yaxşı tətbiq edilmiş NAT, QR kodları olan rəsmi proqramlar və OPNsense, Mikrotik və ya Teltonika kimi ekosistemlərlə uyğunluq əlavə edin. müasir VPN ictimai şəbəkələrin təhlükəsizliyini təmin etməkdən tutmuş qərargahı birləşdirməyə və baş ağrısı olmadan ev xidmətlərinizə daxil olmağa qədər demək olar ki, hər hansı bir ssenari üçün.