Kompletan WireGuard vodič: Instalacija, ključevi i napredna konfiguracija

Ako tražite a VPN koji je brz, siguran i jednostavan za implementaciju, WireGuard To je najbolje što danas možete koristiti. Sa minimalističkim dizajnom i modernom kriptografijom, idealan je za kućne korisnike, profesionalce i korporativna okruženja, kako na računarima tako i na mobilnim uređajima i ruterima.

U ovom praktičnom vodiču pronaći ćete sve, od osnova do Napredna konfiguracijaInstalacija na Linuxu (Ubuntu/Debian/CentOS), ključevi, serverske i klijentske datoteke, IP prosljeđivanje, NAT/Firewall, aplikacije na Windows/macOS/Android/iOS sistemima, split tunneling, performanse, rješavanje problema i kompatibilnost s platformama kao što su OPNsense, pfSense, QNAP, Mikrotik ili Teltonika.

Šta je WireGuard i zašto ga odabrati?

WireGuard je VPN protokol i softver otvorenog koda dizajniran za stvaranje L3 šifrirani tuneli preko UDP-aIstiče se u poređenju sa OpenVPN-om ili IPsecom zbog svoje jednostavnosti, performansi i niže latencije, oslanjajući se na moderne algoritme kao što su Curve25519, ChaCha20-Poly1305, BLAKE2, SipHash24 i HKDF.

Njegova kodna baza je veoma mala (oko hiljade linija), što olakšava revizije, smanjuje površinu napada i poboljšava održavanje. Također je integrirano u Linux kernel, omogućavajući visoke stope transfera i agilan odziv čak i na skromnoj opremi.

 

Multiplatformski je: postoje službene aplikacije za Windows, macOS, Linux, Android i iOS, i podršku za sisteme orijentisane na rutere/zaštitne zidove poput OPNsense-a. Također je dostupan za okruženja poput FreeBSD-a, OpenBSD-a, NAS-a i platformi za virtualizaciju.

Kako funkcioniše unutra

 

WireGuard uspostavlja šifrirani tunel između peer-ova (vršnjaci) identificirani ključevima. Svaki uređaj generira par ključeva (privatni/javni) i dijeli samo svoj javni ključ s drugim krajem; odatle se sav promet šifrira i autentificira.

Direktiva Dozvoljeni IP-ovi Definira i odlazno usmjeravanje (koji promet treba proći kroz tunel) i listu validnih izvora koje će udaljeni peer prihvatiti nakon uspješnog dešifriranja paketa. Ovaj pristup je poznat kao Cryptokey Routing i znatno pojednostavljuje saobraćajnu politiku.

WireGuard je odličan sa roaming- Ako se IP adresa vašeg klijenta promijeni (npr. pređete sa Wi-Fi na 4G/5G), sesija se transparentno i vrlo brzo ponovo uspostavlja. Također podržava prekidač za gašenje da blokira promet iz tunela ako VPN padne.

Instalacija na Linuxu: Ubuntu/Debian/CentOS

Na Ubuntuu, WireGuard je dostupan u službenim repozitorijima. Ažurirajte pakete, a zatim instalirajte softver da biste dobili modul i alate. wg i wg-brzo.

apt update && apt upgrade -y
apt install wireguard -y
modprobe wireguard

U stabilnom Debianu možete se osloniti na repozitorije nestabilnih grana ako je potrebno, slijedeći preporučenu metodu i uz briga u proizvodnji:

sudo sh -c 'echo deb https://deb.debian.org/debian/ unstable main > /etc/apt/sources.list.d/unstable.list'
sudo sh -c 'printf "Package: *\nPin: release a=unstable\nPin-Priority: 90\n" > /etc/apt/preferences.d/limit-unstable'
sudo apt update
sudo apt install wireguard

U CentOS-u 8.3 tok je sličan: aktivirate EPEL/ElRepo repozitorije ako je potrebno, a zatim instalirate paket. WireGuard i odgovarajući moduli.

Generisanje ključeva

Svaki vršnjak mora imati svog par privatnog/javnog ključaPrimijenite umask za ograničavanje dozvola i generiranje ključeva za server i klijente.

umask 077
wg genkey | tee privatekey | wg pubkey > publickey

Ponovite na svakom uređaju. Nikada ne dijelite privatni ključ i sačuvajte oboje na sigurno. Ako želite, kreirajte datoteke s različitim nazivima, na primjer server privatnih ključeva y javni ključ servera.

Konfiguracija servera

Kreirajte glavnu datoteku u /etc/wireguard/wg0.confDodijelite VPN podmrežu (koja se ne koristi na vašoj stvarnoj LAN mreži), UDP port i dodajte blok. [Vršnjak] po ovlaštenom kupcu.

[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = <clave_privada_servidor>

# Cliente 1
[Peer]
PublicKey = <clave_publica_cliente1>
AllowedIPs = 10.0.0.2/32

Možete koristiti i drugu podmrežu, na primjer 192.168.2.0/24i rastu s više vršnjaka. Za brza postavljanja uobičajeno je koristiti wg-brzo sa wgN.conf datotekama.

Konfiguracija klijenta

Na klijentu kreirajte datoteku, na primjer wg0-client.conf, sa svojim privatnim ključem, adresom tunela, opcionalnim DNS-om i serverskim peerom sa svojom javnom krajnjom tačkom i portom.

[Interface]
PrivateKey = <clave_privada_cliente>
Address = 10.0.0.2/24
DNS = 8.8.8.8

[Peer]
PublicKey = <clave_publica_servidor>
Endpoint = <ip_publica_servidor>:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25

Ako stavite Dozvoljeni IP-ovi = 0.0.0.0/0 Sav promet će ići kroz VPN; ako želite dosegnuti samo određene serverske mreže, ograničite ga na potrebne podmreže i smanjit ćete latencija i potrošnja.

IP Forwarding i NAT na serveru

Omogućite prosljeđivanje kako bi klijenti mogli pristupiti internetu putem servera. Primijenite promjene u hodu pomoću sysctl.

echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf
echo 'net.ipv6.conf.all.forwarding=1' >> /etc/sysctl.conf
sysctl -p

Konfigurišite NAT sa iptables za VPN podmrežu, postavljajući WAN interfejs (na primjer, eth0):

iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADE

Učinite to trajnim sa odgovarajućim paketima i pravilima spremanja koja će se primijeniti prilikom ponovnog pokretanja sistema.

apt install -y iptables-persistent netfilter-persistent
netfilter-persistent save

Pokretanje i verifikacija

Pokrenite interfejs i omogućite servisu da se pokrene sa sistemom. Ovaj korak kreira virtuelni interfejs i dodaje rute potrebno.

systemctl start wg-quick@wg0
systemctl enable wg-quick@wg0
wg

con wg Vidjet ćete peer-ove, ključeve, transfere i vremena posljednjeg rukovanja. Ako je vaša politika zaštitnog zida restriktivna, dozvolite ulaz kroz interfejs. wg0 i UDP port servisa:

iptables -I INPUT 1 -i wg0 -j ACCEPT

Zvanične aplikacije: Windows, macOS, Android i iOS

Na radnoj površini možete uvesti .conf datotekaNa mobilnim uređajima, aplikacija vam omogućava da kreirate interfejs iz QR code sadrži konfiguraciju; vrlo je praktično za korisnike koji nisu tehnički potkovani.

Ako vam je cilj izložiti samostalno hostovane usluge kao što su Plex/Radar/Sonar Putem vaše VPN mreže, jednostavno dodijelite IP adrese u WireGuard podmreži i prilagodite AllowedIP adrese kako bi klijent mogao doći do te mreže; ne morate otvarati dodatne portove prema van ako se sav pristup ostvaruje putem... tunel.

Prednosti i mane

WireGuard je vrlo brz i jednostavan, ali je važno uzeti u obzir njegova ograničenja i specifičnosti ovisno o slučaju upotrebe. Evo uravnoteženog pregleda najpopularnijih... relevantni.

Ventajas	Nedostaci
Jasna i kratka konfiguracija, idealna za automatizaciju	Ne uključuje izvorno zamagljivanje prometa
Visoke performanse i niska latencija čak i u mobilni	U nekim starijim okruženjima postoji manje naprednih opcija
Moderna kriptografija i mali kod koji olakšava revizija	Privatnost: Povezivanje IP adrese/javnog ključa može biti osjetljivo ovisno o politikama
Besprijekorni roaming i kill switch dostupni su na klijentima	Kompatibilnost s trećim stranama nije uvijek homogena

 

Podijeljeno tuneliranje: usmjeravanje samo onoga što je neophodno

Podijeljeno tuneliranje vam omogućava slanje samo potrebnog prometa putem VPN-a. Dozvoljeni IP-ovi Vi odlučujete hoćete li izvršiti potpuno ili selektivno preusmjeravanje na jednu ili više podmreža.

# Redirección completa de Internet
[Peer]
AllowedIPs = 0.0.0.0/0

# Solo acceder a recursos de la LAN 192.168.1.0/24 por la VPN
[Peer]
AllowedIPs = 192.168.1.0/24

Postoje varijante kao što je obrnuto podijeljeno tuneliranje, filtrirano po URL ili putem aplikacije (putem specifičnih ekstenzija/klijenata), iako je izvorna osnova u WireGuardu kontrola putem IP adresa i prefiksa.

Kompatibilnost i ekosistem

WireGuard je nastao za Linux kernel, ali danas je... cross platformOPNsense ga integrira izvorno; pfSense je privremeno ukinut zbog revizija, a naknadno je ponuđen kao opcioni paket, ovisno o verziji.

Na NAS-u poput QNAP-a možete ga montirati putem QVPN-a ili virtualnih mašina, koristeći prednosti 10GbE NIC-ova za... velike brzineMikroTik ruteri imaju ugrađenu podršku za WireGuard još od RouterOS-a 7.x; u svojim ranim iteracijama, bio je u beta verziji i nije se preporučivao za produkciju, ali omogućava P2P tunele između uređaja, pa čak i krajnjih klijenata.

Proizvođači poput Teltonike imaju paket za dodavanje WireGuarda svojim ruterima; ako vam je potrebna oprema, možete je kupiti na shop.davantel.com i slijedite upute proizvođača za instalaciju paketi ekstra.

Performanse i latencija

Zahvaljujući minimalističkom dizajnu i izboru efikasnih algoritama, WireGuard postiže vrlo velike brzine i niske latencije, generalno superiorniji od L2TP/IPsec i OpenVPN. U lokalnim testovima sa moćnim hardverom, stvarna brzina je često dvostruko veća od alternativa, što ga čini idealnim za streaming, igranje ili VoIP.

Korporativna implementacija i rad na daljinu

U preduzećima, WireGuard je pogodan za kreiranje tunela između kancelarija, udaljeni pristup zaposlenima i sigurne veze između... Kontinuirani profesionalni razvoj i cloud (npr. za sigurnosne kopije). Njegova koncizna sintaksa olakšava verzioniranje i automatizaciju.

Integrira se s direktorijima kao što su LDAP/AD koristeći posrednička rješenja i može koegzistirati s IDS/IPS ili NAC platformama. Popularna opcija je PacketFence (otvorenog koda), koji vam omogućava da provjerite status opreme prije odobravanja pristupa i kontrole BYOD-a.

Windows/macOS: Napomene i savjeti

Službena Windows aplikacija obično radi bez problema, ali u nekim verzijama Windowsa 10 bilo je problema prilikom korištenja Dozvoljeni IP-ovi = 0.0.0.0/0 zbog konflikata ruta. Kao privremenu alternativu, neki korisnici se odlučuju za klijente zasnovane na WireGuardu poput TunSafea ili ograničavaju AllowedIP-ove na određene podmreže.

Debian vodič za brzi početak s primjerima ključeva

Generiraj ključeve za server i klijenta u /etc/wireguard/ i kreirajte wg0 interfejs. Pazite da se VPN IP adrese ne podudaraju s drugim IP adresama na vašoj lokalnoj mreži ili vašim klijentima.

cd /etc/wireguard/
wg genkey | tee claveprivadaservidor | wg pubkey > clavepublicaservidor
wg genkey | tee claveprivadacliente1 | wg pubkey > clavepublicacliente1

wg0.conf server sa podmrežom 192.168.2.0/24 i portom 51820. Omogućite PostUp/PostDown ako želite automatizirati NAT sa iptables-ima prilikom aktiviranja/gašenja interfejsa.

[Interface]
Address = 192.168.2.1/24
PrivateKey = <clave_privada_servidor>
ListenPort = 51820
#PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]
PublicKey = <clave_publica_cliente1>
AllowedIPs = 0.0.0.0/0

Klijent s adresom 192.168.2.2, koji pokazuje na javnu krajnju tačku servera i sa održi u životu opcionalno ako postoji posredni NAT.

[Interface]
PrivateKey = <clave_privada_cliente1>
Address = 192.168.2.2/32

[Peer]
PublicKey = <clave_publica_servidor>
AllowedIPs = 0.0.0.0/0
Endpoint = <ip_publica_servidor>:51820
#PersistentKeepalive = 25

Otvorite interfejs i gledajte kako se MTU, oznake rute i oznaka za povratak i pravila politike usmjeravanja. Pregledajte wg-quick izlaz i status sa wg show.

Mikrotik: tunel između RouterOS-a 7.x

MikroTik podržava WireGuard od verzije RouterOS 7.x. Kreirajte WireGuard interfejs na svakom ruteru, primijenite ga i on će se automatski generirati. ključeviDodijelite IP adrese Ether2 kao WAN i Wireguard1 kao tunelskom interfejsu.

Konfigurišite peer-ove ukrštanjem javnog ključa servera na strani klijenta i obrnuto, definišite Dozvoljene adrese/Dozvoljene IP adrese (na primer 0.0.0.0/0 (ako želite dozvoliti bilo koji izvor/odredište kroz tunel) i postavite udaljenu krajnju tačku sa njenim portom. Ping na udaljenu IP adresu tunela će potvrditi rukovanje.

Ako povezujete mobilne telefone ili računare na Mikrotik tunel, fino podesite dozvoljene mreže kako ne biste otvarali više nego što je potrebno; WireGuard odlučuje o protoku paketa na osnovu vaših Cryptokey Routing, stoga je važno uskladiti polazišta i odredišta.

Korištena kriptografija

WireGuard koristi moderan set: buka kao okvir, Curve25519 za ECDH, ChaCha20 za autentificirano simetrično šifriranje sa Poly1305, BLAKE2 za heširanje, SipHash24 za heš tabele i HKDF za izvođenje ključeviAko je algoritam zastario, protokol se može verzionirati tako da migrira bez problema.

Prednosti i mane na mobilnim uređajima

Korištenje na pametnim telefonima omogućava vam sigurno pregledavanje Javni Wi-Fi, sakrijte promet od svog internet provajdera i povežite se na kućnu mrežu za pristup NAS-u, kućnoj automatizaciji ili igranju igara. Na iOS/Android uređajima, promjena mreže ne prekida tunel, što poboljšava iskustvo.

Kao nedostatke, povlačite određeni gubitak brzine i veću latenciju u poređenju sa direktnim izlazom, a zavisite od toga da li je server uvijek aktivan. dostupanMeđutim, u poređenju sa IPsec/OpenVPN, kazna je obično niža.

WireGuard kombinira jednostavnost, brzinu i stvarnu sigurnost s laganom krivuljom učenja: instalirajte ga, generirajte ključeve, definirajte dozvoljene IP adrese i spremni ste za korištenje. Dodajte IP prosljeđivanje, dobro implementiran NAT, službene aplikacije s QR kodovima i kompatibilnost s ekosistemima poput OPNsense, Mikrotik ili Teltonika. moderni VPN za gotovo svaki scenario, od osiguranja javnih mreža do povezivanja sjedišta i pristupa kućnim uslugama bez glavobolja.