WireGuard wedi'i gwneud yn hawdd: crëwch eich VPN eich hun mewn 15 munud

Diweddariad diwethaf: 08/11/2025
Awdur: Daniel Terrace

  • Mae WireGuard yn cynnig perfformiad uchel a latency isel gyda chryptograffeg fodern a gosodiad hawdd.
  • Mae'n cefnogi crwydro, newid lladd a thwnelu hollt, sy'n ddelfrydol ar gyfer symudedd a mynediad rhwydwaith diogel.
  • Ffurfweddiad homogenaidd ac aml-lwyfan gyda rheolaeth allweddi clir a rheolau NAT/Wal Dân.
  • Mewn amgylcheddau menter, mae'n integreiddio â NAC, IDS/IPS a chyfeiriaduron ar gyfer mynediad rheoledig.
gwarchodwr gwifren

Ydych chi'n chwilio am VPN sy'n gyflym, yn ddiogel, ac na fydd yn eich rhwystro gyda gosodiadau diddiwedd? WireGuard Mae'n un o'r opsiynau gorau. Mae'r protocol modern hwn yn blaenoriaethu symlrwydd a chryptograffeg o'r radd flaenaf, gan ei gwneud hi'n hawdd i unrhyw un sefydlu twnnel diogel.

Yn ogystal â'ch amddiffyn ar rwydweithiau cyhoeddus a chaniatáu i chi gael mynediad i'ch rhwydwaith cartref neu fusnes, Mae VPN yn helpu i osgoi geo-flociau a sensoriaethGyda WireGuard, mae'r preifatrwydd a'r perfformiad ychwanegol hwnnw'n dod gyda phroses sefydlu syndod o syml, ar gyfrifiaduron a dyfeisiau symudol.

WireGuard yn gryno

Mae WireGuard yn meddalwedd vpn ffynhonnell agored wedi'i hanelu at haen 3 (L3) sydd Mae'n defnyddio UDP yn unig a chryptograffeg fodern yn ddiofyn.Ei brif fantais yw dyluniad minimalist gyda llinellau cod bach iawn, sy'n hwyluso archwiliadau, yn lleihau'r arwyneb ymosod, ac yn gwella perfformiad.

Yn wahanol i'r hyn y mae VPNs eraill yn ei gynnig, yma nid ydych chi'n dewis dwsinau o algorithmau na chyfnodau; Mae WireGuard yn diffinio “pecyn” cryptograffig cydlynolOs caiff algorithm ei ddirymu, caiff fersiwn newydd ei rhyddhau a bydd cleientiaid/gweinydd yn negodi'r uwchraddiad yn dryloyw.

Mae'r protocol hwn bob amser yn gweithio mewn modd twnnel, a Mae'n cefnogi IPv4 ac IPv6 (gan gynnwys un o fewn y llall os oes angen)I'w ddefnyddio, bydd angen i chi agor porthladd UDP (ffurfweddadwy) ar eich llwybrydd i'ch gweinydd.

Cydnawsedd a chefnogaeth

Ym myd waliau tân, Mae OPNsense yn integreiddio WireGuard i'r cnewyllyn i wneud y mwyaf o gyflymder. Roedd gan pfSense ei uchafbwyntiau a'i isafbwyntiau: ymddangosodd yn fersiwn 2.5.0, cafodd ei dynnu yn 2.5.1 oherwydd canfyddiadau diogelwch, a Heddiw gellir ei osod fel pecyn wedi'i reoli o'r rhyngwyneb gwe.

 

Cryptograffeg a ddefnyddiwyd

Mae WireGuard yn dibynnu ar set o algorithmau modern ac wedi'u harchwilio'n drylwyr: Fframwaith Protocol Sŵn, Curve25519, ChaCha20, Poly1305, BLAKE2, SipHash a HKDFMae amgryptio data yn defnyddio ChaCha20-Poly1305 (AEAD), gyda chyfnewid ECDH ar Curve25519 a deillio allweddi gyda HKDF.

Mae'r dull hwn yn osgoi cymysgu cyfresi gwahanol a yn lleihau gwallau ffurfwedduMae hefyd yn symleiddio datrys problemau, gan fod pob nod yn siarad yr un iaith cryptograffig.

Cynnwys unigryw - Cliciwch Yma  Sut i wella seiberddiogelwch?

Perfformiad a latency

Mae gweithredu minimalaidd ac integreiddio lefel isel yn caniatáu cyflymderau uchel iawn a latencies isel iawnMewn cymariaethau byd go iawn yn erbyn L2TP/IPsec ac OpenVPN, WireGuard fel arfer sy'n dod i'r brig, gan ddyblu trwybwn ar yr un caledwedd yn aml.

Ar rwydweithiau ansefydlog neu symudol, Mae adfer sesiwn yn gyflym Ac prin y mae ailgysylltu ar ôl newidiadau rhwydwaith (crwydro) yn amlwg. Ar ddyfeisiau ag adnoddau cyfyngedig (rwytyddion, dyfeisiau IoT), mae ei ddefnydd pŵer isel yn gwneud yr holl wahaniaeth, gan arbed pŵer CPU a batri.

gwarchodwr gwifren

Gosod cyflym ar Linux

Mewn dosraniadau modern, mae WireGuard eisoes ar gael mewn ystorfeydd sefydlog. Ar Debian/Ubuntu, dim ond ei osod y dylech chi. diweddaru a gosod y pecyn swyddogolMewn eraill, efallai y bydd angen i chi ychwanegu ystorfeydd neu actifadu'r modiwl cnewyllyn.

sudo apt update && sudo apt upgrade -y
sudo apt install wireguard -y
sudo modprobe wireguard

Os ydych chi'n defnyddio cangen nad yw'n ei chael yn "sefydlog", gallech chi droi at ystorfeydd "ansefydlog/profi" o dan reolaeth flaenoriaeth, er Yn ddelfrydol, dylech ei dynnu o'r repo sefydlog. o'ch distro pan fydd ar gael.

Cynhyrchu allweddi

Mae angen ei bâr allweddi ei hun ar bob dyfais (gweinydd a chleient). Cadwch yr ystafell breifat wedi'i chloi. ac yn rhannu'r un cyhoeddus yn unig gyda'r cyfoed.

umask 077
wg genkey | tee privatekey | wg pubkey > publickey

Gallwch ailadrodd y broses ar gyfer pob cleient a chadw golwg yn ôl enw. osgoi dryswch rhwng cyfoedion wrth i'ch defnydd dyfu.

Cyfluniad gweinydd

Y ffeil nodweddiadol yw /etc/wireguard/wg0.confYn yr adran hon, rydych chi'n diffinio cyfeiriad IP y VPN, yr allwedd breifat, a'r porthladd UDP. Ym mhob adran, rydych chi'n ychwanegu cleient, gan ganiatáu ei allwedd gyhoeddus a'i gyfeiriadau IP awdurdodedig.


Address = 192.168.2.1/24
ListenPort = 51820
PrivateKey = <clave_privada_servidor>
# Ejemplo de NAT automátizado con PostUp/PostDown, si lo necesitas
#PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE


PublicKey = <clave_publica_cliente1>
AllowedIPs = 192.168.2.2/32

# Añade más peers según necesites
#
#PublicKey = <clave_publica_cliente2>
#AllowedIPs = 192.168.2.3/32

Os yw'n well gennych ganiatáu unrhyw gyfeiriad IP cleient a rheoli llwybrau ar wahân, gallwch ddefnyddio AllowedIPs = 0.0.0.0/0 Mewn amgylcheddau cyfoedion, ond mewn amgylcheddau rheoledig mae'n well aseinio /32 i bob cleient ar gyfer olrheiniadwyedd.

Cyfluniad cleient

La adran Mae'n cario'r allwedd breifat a'i chyfeiriad IP yn y VPN; allwedd gyhoeddus y gweinydd, ei derfynbwynt, a'r polisi llwybro.


PrivateKey = <clave_privada_cliente>
Address = 192.168.2.2/32
DNS = 1.1.1.1


PublicKey = <clave_publica_servidor>
Endpoint = <IP_publica_servidor>:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25

El ParhausCadw'n Fyw (25) Mae hyn o gymorth os yw'r cleient y tu ôl i NAT/waliau tân sy'n rhwystro mapiau anactif. Mae AllowedIPs yn diffinio a ydych chi'n llwybro'r holl draffig trwy'r VPN (0.0.0.0/0) neu is-rwydweithiau penodol yn unig.

Cynnwys unigryw - Cliciwch Yma  Sut i wybod a yw fy ffôn yn cael ei sbïo ymlaen?: Beth ddylwn i ei wirio?

gwarchodwr gwifren

NAT, anfon ymlaen a wal dân

Er mwyn caniatáu i gleientiaid gael mynediad i'r rhyngrwyd drwy'r gweinydd, rhaid i chi galluogi anfon IP ymlaen a chymhwyso NAT ar y rhyngwyneb WAN.

echo "net.ipv4.ip_forward=1" | sudo tee -a /etc/sysctl.conf
echo "net.ipv6.conf.all.forwarding=1" | sudo tee -a /etc/sysctl.conf
sudo sysctl -p

sudo iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j MASQUERADE

Os yw eich polisi wal dân yn gyfyngol, yn caniatáu traffig ar y rhyngwyneb wg0 ac agor y porthladd UDP a ddewiswyd ar y wal dân/llwybrydd NAT.

sudo iptables -I INPUT 1 -i wg0 -j ACCEPT

I ddangos y rhyngwyneb a galluogi'r gwasanaeth wrth gychwyn: wg-quick a systemd Maen nhw'n ei adael ar awtobeilot i chi.

sudo wg-quick up wg0
sudo systemctl enable wg-quick@wg0

Crwydro, Kill-Switch a symudedd

Mae WireGuard wedi'i gynllunio ar gyfer defnydd symudol bob dydd: Os byddwch chi'n newid o Wi-Fi i 4G/5G, caiff y twnnel ei ailsefydlu mewn amrantiad.Ni fyddwch yn sylwi ar unrhyw ymyrraeth ddifrifol wrth newid rhwydweithiau.

Yn ogystal, gallwch alluogi a switsh lladd (yn dibynnu ar y platfform neu'r ap) fel, os bydd y VPN yn mynd i lawr, bod y system yn rhwystro traffig nes ei fod wedi'i adfer, gan atal gollyngiadau damweiniol.

Twnelu hollt

Mae'r twnnel hollt yn gadael i chi benderfynu Pa draffig sy'n teithio drwy'r VPN a beth sy'n mynd allan yn uniongyrchol?Defnyddiol ar gyfer cynnal latency isel yn gemau neu alwadau fideo wrth gael mynediad at adnoddau mewnol drwy'r twnnel.

Dau enghraifft ffurfweddu nodweddiadol ar y cleient, gan ddefnyddio'r gyfarwyddeb AllowedIPs:

# Redirección total por la VPN

PublicKey = <clave_publica_servidor>
AllowedIPs = 0.0.0.0/0
Endpoint = <IP_publica_servidor>:51820

# Solo la LAN remota (por ejemplo, 192.168.1.0/24) a través de la VPN

PublicKey = <clave_publica_servidor>
AllowedIPs = 192.168.1.0/24
Endpoint = <IP_publica_servidor>:51820

Mae hyn yn lleihau'r effaith ar gyflymder/oedi a Rydych chi'n optimeiddio'r profiad am yr hyn sydd wir angen i chi ei amddiffyn.

gwarchodwr gwifren

Manteision ac anfanteision WireGuard

  • YN FAVORcyflymder, oedi isel, symlrwydd, cryptograffeg fodern, llai o ddefnydd o adnoddau, a sylfaen god fach sy'n hwyluso archwiliadau.
  • YN ERBYN: Mae cefnogaeth mewn rhai ecosystemau etifeddol yn llai aeddfed nag IPsec/OpenVPN, nodweddion uwch mwy cyfyngedig (sgriptiau a chymylu brodorol), ac ystyriaethau preifatrwydd oherwydd bod allweddi cyhoeddus yn gysylltiedig ag IPs twnnel mewnol.

Cefnogaeth ar gyfer waliau tân, NAS a QNAP

Mewn offer tebyg i offer tân tân, Mae OPNsense yn integreiddio WireGuard gyda chyflymiad cnewyllyn. Yn pfSense, tra'n aros am integreiddio sefydlog, gallwch osod y pecyn a'i reoli'n gyfleus o'r rhyngwyneb defnyddiwr rhyngwynebol.

Cynnwys unigryw - Cliciwch Yma  Ydy Comodo Antivirus yn well nag eraill?

Ar NAS QNAP, trwy QVPN 2, Gallwch chi sefydlu gweinyddion L2TP/IPsec, OpenVPN, a WireGuard....a hyd yn oed rhithwiroli Debian os ydych chi eisiau addasu OpenVPN gydag AES-GCM neu fesur gydag iperf3. Mewn profion gyda chaledwedd pwerus (fel QNAP gyda Ryzen 7 a 10GbE) a chleient 10GbE, Dyblodd WireGuard y perfformiad yn erbyn L2TP/IPsec neu OpenVPN yn yr un amgylchedd lleol.

WireGuard ar ffôn symudol: cryfderau a gwendidau

Ar iOS ac Android, mae'r ap swyddogol yn ei gwneud hi'n hawdd newid rhwng rhwydweithiau yn ddi-dor. Mantais fawr: Pori'n ddiogel ar Wi-Fi cyhoeddus o westai neu feysydd awyr a chuddio'ch traffig rhag eich darparwr gwasanaeth rhyngrwyd. Ar ben hynny, os ydych chi'n sefydlu'ch gweinydd eich hun, gallwch chi gael mynediad i'ch cartref neu fusnes fel petaech chi yno mewn gwirionedd.

Y cymar rhesymegol yw hynny Ychwanegir rhywfaint o oedi ac mae'r cyflymder yn gostwng ychydigyn enwedig os ydych chi'n ailgyfeirio'r holl draffig. Fodd bynnag, mae WireGuard ymhlith y protocolau mwyaf cyfeillgar i fatri a pherfformiad. Gweler hefyd argymhellion ar gyfer Android os yw eich achos yn symudol.

Gosod a defnyddio ar lwyfannau eraill

Ar macOS, Windows, Android, ac iOS, mae gennych chi apiau swyddogol; y cyfan sydd angen i chi ei wneud yw mewnforio'r ffeil .conf neu sganio cod QR wedi'i gynhyrchu o'ch rheolwr ffurfweddu. Mae'r broses bron yn union yr un fath â phroses Linux.

Os ydych chi'n mynd i'w sefydlu ar VPS, cofiwch arferion da: diweddaru'r system, galluogi wal dânCyfyngwch borthladd UDP WireGuard i gyfeiriadau IP a ganiateir os yn bosibl a chylchdrowch allweddi pan fo angen yn ôl eich polisi.

Gwirio a diagnosis

I gadarnhau bod popeth mewn trefn, pwyswch ar wg a wg-quickFe welwch chi ysgwyd llaw, beitiau a drosglwyddwyd, ac amseroedd ers y cyfnewid diwethaf.

wg
wg show

Os nad oes cysylltedd, gwiriwch: llwybrau system, NAT, porthladd UDP agored ar y llwybrydd a bod y Pwynt Terfynol a'r allweddi ar gyfer pob cyfoed yn gywir. Fel arfer, ping i gyfeiriad IP y gweinydd ar y VPN yw'r prawf defnyddiol cyntaf.

Gyda dull syml, cryptograffeg fodern, a pherfformiad amlwg, Mae WireGuard wedi ennill ei le fel y VPN dewisol Ar gyfer defnyddwyr cartref a busnesau. Mae'r gosodiad yn syml, mae'r rheolaeth yn gyfleus, ac mae ei ystod o ddefnyddiau (mynediad o bell, safle-i-safle, symudedd diogel, neu dwnelu hollt) yn addas ar gyfer bron unrhyw senario. Ychwanegwch arferion diogelwch da, wal dân wedi'i thiwnio'n dda, a monitro sylfaenol, a bydd gennych dwnnel cyflym, sefydlog, ac anodd iawn ei dorri.