Täielik WireGuardi juhend: paigaldamine, võtmed ja täpsem seadistamine

Viimane uuendus: 24/09/2025
Autor: Daniel Terrasa

  • Lihtne arhitektuur ja kaasaegne krüptimine: partneripõhised võtmed ja lubatud IP-d marsruutimiseks.
  • Kiire paigaldus Linuxile ja ametlikud rakendused lauaarvutitele ja mobiilile.
  • IPsec/OpenVPN-ist parem jõudlus, rändluse ja madala latentsusega.
Traadikaitse juhend

Kui otsite a VPN mis on kiire, turvaline ja hõlpsasti juurutatav, WireGuard See on parim, mida tänapäeval kasutada saab. Minimalistliku disaini ja moodsa krüptograafiaga sobib see ideaalselt kodukasutajatele, professionaalidele ja ettevõtetele nii arvutites kui ka mobiilseadmetes ja ruuterites.

Sellest praktilisest juhendist leiate kõik alates põhitõdedest kuni Täpsem konfiguratsioonInstalleerimine Linuxile (Ubuntu/Debian/CentOS), võtmed, serveri ja kliendi failid, IP edastamine, NAT/tulemüür, rakendused Windowsile/macOS-ile/Androidile/iOS-ile tunnelite jagamine, jõudlus, tõrkeotsing ja ühilduvus platvormidega nagu OPNsense, pfSense, QNAP, Mikrotik või Teltonika.

Mis on WireGuard ja miks seda valida?

WireGuard on avatud lähtekoodiga VPN-protokoll ja tarkvara, mis on loodud loomiseks L3 krüpteeritud tunnelid UDP kauduSee paistab OpenVPN-i või IPsec-iga võrreldes silma oma lihtsuse, jõudluse ja madalama latentsuse poolest, tuginedes kaasaegsetele algoritmidele, näiteks Curve25519, ChaCha20-Poly1305, BLAKE2, SipHash24 ja HKDF.

Selle koodibaas on väga väike (umbes tuhandeid ridu), mis hõlbustab auditeid, vähendab rünnakupinda ja parandab hooldust. See on integreeritud ka Linuxi kerneli, võimaldades kõrge edastuskiirus ja väle reageerimisvõime isegi tagasihoidliku riistvara korral.

 

See on mitmeplatvormiline: selleks on olemas ametlikud rakendused Windows, macOS, Linux, Android ja iOSja tugi ruuteri-/tulemüüripõhistele süsteemidele nagu OPNsense. See on saadaval ka keskkondadele nagu FreeBSD, OpenBSD ning NAS ja virtualiseerimisplatvormidele.

Wireguardi VPN

Kuidas see seespool töötab

 

WireGuard loob krüpteeritud tunneli eakaaslaste vahel (partnerit) võtmete abil tuvastatud. Iga seade genereerib võtmepaari (privaatne/avalik) ja jagab ainult oma avalik võti teise otsaga; sealt edasi krüpteeritakse ja autentitakse kogu liiklus.

Direktiiv Lubatud IP-d Määrab nii väljuva marsruudi (milline liiklus peaks läbi tunneli minema) kui ka kehtivate allikate loendi, mida kaug-partner pärast paketi edukat dekrüpteerimist aktsepteerib. Seda lähenemisviisi nimetatakse Krüptovõtme marsruutimine ja lihtsustab oluliselt liikluspoliitikat.

WireGuard on suurepärane koos Roaming- Kui teie kliendi IP-aadress muutub (nt kui vahetate WiFi-ühenduse 4G/5G-ühenduse vastu), taastatakse seanss läbipaistvalt ja väga kiiresti. Samuti toetab see järgmist tapmislüliti et blokeerida tunnelist väljuv liiklus, kui VPN peaks katkema.

Paigaldamine Linuxile: Ubuntu/Debian/CentOS

Ubuntu peal on WireGuard saadaval ametlikes repositooriumides. Mooduli ja tööriistade saamiseks värskenda pakette ja seejärel installi tarkvara. wg ja wg-quick.

apt update && apt upgrade -y
apt install wireguard -y
modprobe wireguard

Debiani stabiilses keskkonnas saate vajadusel toetuda ebastabiilsetele harurepositooriumidele, järgides soovitatud meetodit ja hoolitsus tootmises:

sudo sh -c 'echo deb https://deb.debian.org/debian/ unstable main > /etc/apt/sources.list.d/unstable.list'
sudo sh -c 'printf "Package: *\nPin: release a=unstable\nPin-Priority: 90\n" > /etc/apt/preferences.d/limit-unstable'
sudo apt update
sudo apt install wireguard

CentOS 8.3-s on protsess sarnane: vajadusel aktiveerite EPEL/ElRepo repositooriumid ja seejärel installite paketi. WireGuard ja vastavad moodulid.

Eksklusiivne sisu – klõpsake siin  Kuidas eemaldada Reimage'i parandus

traadikaitse

Võtme genereerimine

Igal eakaaslasel peab olema oma privaat-/avaliku võtme paarRakendage umaski, et piirata õigusi ja genereerida serveri ja klientide jaoks võtmeid.

umask 077
wg genkey | tee privatekey | wg pubkey > publickey

Korda iga seadmega. Ära kunagi jaga privaatvõti ja salvestage mõlemad turvaliselt. Soovi korral looge failid erinevate nimedega, näiteks privaatvõtmeserver y avaliku serveri võti.

Serveri seadistamine

Looge peamine fail sisse /etc/wireguard/wg0.confMäärake VPN-alamvõrk (mida teie päris kohtvõrgus ei kasutata), UDP-port ja lisage plokk. [Kaaslane] volitatud kliendi kohta.

[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = <clave_privada_servidor>

# Cliente 1
[Peer]
PublicKey = <clave_publica_cliente1>
AllowedIPs = 10.0.0.2/32

Näiteks võite kasutada ka teist alamvõrku. 192.168.2.0/24ja kasvada koos mitme partneriga. Kiirete juurutuste puhul on tavaline kasutada wg-quick wgN.conf failidega.

Kliendi konfiguratsioon

Näiteks kliendis looge fail wg0-client.conf, koos oma privaatvõtme, tunneliaadressi, valikulise DNS-i ja serveri partneriga koos selle avaliku lõpp-punkti ja pordiga.

[Interface]
PrivateKey = <clave_privada_cliente>
Address = 10.0.0.2/24
DNS = 8.8.8.8

[Peer]
PublicKey = <clave_publica_servidor>
Endpoint = <ip_publica_servidor>:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25

Kui sa paned Lubatud IP-d = 0.0.0.0/0 Kogu liiklus läbib VPN-i; kui soovite jõuda ainult teatud serverivõrkudeni, piirake seda vajalike alamvõrkudega ja vähendate latentsus ja tarbimine.

IP-edastus ja NAT serveris

Luba edasisuunamine, et kliendid saaksid serveri kaudu internetti kasutada. Rakenda muudatusi lennult, kasutades sysctl.

echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf
echo 'net.ipv6.conf.all.forwarding=1' >> /etc/sysctl.conf
sysctl -p

Konfigureerige VPN-alamvõrgu jaoks NAT iptablesiga, määrates WAN-liidese (näiteks eth0):

iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADE

Tee see püsivaks koos sobivate pakettidega ja salvestusreeglitega, mis rakendatakse süsteemi taaskäivitamisel.

apt install -y iptables-persistent netfilter-persistent
netfilter-persistent save

Käivitamine ja kontrollimine

Avage liides ja lubage teenusel süsteemiga käivituda. See samm loob virtuaalse liidese ja lisab liinidel vajalik.

systemctl start wg-quick@wg0
systemctl enable wg-quick@wg0
wg

koos wg Näete partnereid, võtmeid, edastusi ja viimase käepigistuse aegu. Kui teie tulemüüripoliitika on piirav, lubage sisenemine liidese kaudu. wg0 ja teenuse UDP port:

iptables -I INPUT 1 -i wg0 -j ACCEPT

Ametlikud rakendused: Windows, macOS, Android ja iOS

Töölaual saate importida a .conf-failMobiilseadmetes võimaldab rakendus teil liidese luua a-st. QR code mis sisaldab konfiguratsiooni; see on väga mugav mitte-tehnilistele klientidele.

Kui teie eesmärk on tutvustada ise hostitud teenuseid, näiteks Plex/Radar/Sonarr VPN-i kaudu määrake lihtsalt WireGuardi alamvõrgus IP-aadressid ja kohandage lubatud IP-sid nii, et klient saaks selle võrguga ühendust luua; te ei pea avama täiendavaid porte väljapoole, kui kogu juurdepääs toimub läbi tunnel.

Eelised ja puudused

WireGuard on väga kiire ja lihtne, kuid oluline on arvestada selle piirangute ja eripäradega olenevalt kasutusjuhtumist. Siin on tasakaalustatud ülevaade kõige... asjakohane.

Eksklusiivne sisu – klõpsake siin  Kuidas printida Snortis reegliallkirju?
Eelis Puudused
Selge ja lühike konfiguratsioon, ideaalne automatiseerimiseks Ei sisalda natiivset liikluse hägustamist
Suur jõudlus ja madal latentsus isegi mobiilne Mõnes pärandkeskkonnas on vähem täiustatud valikuid
Kaasaegne krüptograafia ja väike kood, mis teeb selle lihtsaks audit Privaatsus: IP/avaliku võtme seos võib olenevalt poliitikast olla tundlik
Sujuv rändlus ja klientidel on saadaval kill switch Kolmandate osapoolte ühilduvus ei ole alati ühtlane

 

Jagatud tunneldamine: suunata ainult seda, mis on vajalik

Jagatud tunneldamine võimaldab teil VPN-i kaudu saata ainult vajalikku liiklust. Lubatud IP-d Teie otsustate, kas suunata üks või mitu alamvõrku täielikult või valikuliselt.

# Redirección completa de Internet
[Peer]
AllowedIPs = 0.0.0.0/0
# Solo acceder a recursos de la LAN 192.168.1.0/24 por la VPN
[Peer]
AllowedIPs = 192.168.1.0/24

On variante, näiteks pöördjaotusega tunneldamine, filtreeritud vastavalt URL või rakenduse kaudu (spetsiifilisi laiendusi/kliente kasutades), kuigi WireGuardi natiivne alus on juhtimine IP ja eesliidete abil.

Ühilduvus ja ökosüsteem

WireGuard sündis Linuxi kerneli jaoks, aga tänapäeval on see nii. ristplatvormOPNsense integreerib selle natiivselt; pfSense'i tugi audititeks ajutiselt peatati ja seda pakuti hiljem versioonist olenevalt valikulise paketina.

NAS-il, näiteks QNAP-il, saab selle paigaldada QVPN-i või virtuaalsete masinate kaudu, kasutades ära 10GbE võrgukaarte. suurel kiiruselMikroTiku ruuteriplaadid on WireGuardi tuge lisanud alates RouterOS 7.x-st; oma varajastes iteratsioonides oli see beetaversioonis ja seda ei soovitatud tootmiskeskkonnas kasutamiseks, kuid see võimaldab P2P-tunneleid seadmete ja isegi lõppklientide vahel.

Tootjatel nagu Teltonika on pakett WireGuardi lisamiseks oma ruuteritele; kui vajate seadmeid, saate neid osta aadressilt shop.davantel.com ja järgige tootja paigaldusjuhiseid pakendid Extra.

Jõudlus ja latentsus

Tänu minimalistlikule disainile ja tõhusate algoritmide valikule saavutab WireGuard väga suure kiiruse ja madal latentsusaeg, mis on üldiselt parem kui L2TP/IPsec ja OpenVPN. Võimsa riistvaraga kohalikes testides on tegelik kiirus sageli kaks korda suurem kui alternatiividel, mistõttu on see ideaalne voogedastus, mängimine või VoIP.

Ettevõtte juurutamine ja kaugtöö

Ettevõttes sobib WireGuard tunnelite loomiseks kontorite vahel, töötajate kaugjuurdepääsuks ja turvaliste ühenduste loomiseks kontorite vahel Täiendkoolitus ja pilveteenused (nt varukoopiate jaoks). Selle lühike süntaks muudab versioonimise ja automatiseerimise lihtsaks.

See integreerub kataloogidega nagu LDAP/AD, kasutades vahepealseid lahendusi, ja saab eksisteerida koos IDS/IPS või NAC platvormidega. Populaarne valik on PacketFence (avatud lähtekoodiga), mis võimaldab teil enne juurdepääsu ja juhtimise lubamist seadmete olekut kontrollida oma seadme abil.

traadikaitse

Windows/macOS: märkmed ja näpunäited

Ametlik Windowsi rakendus töötab tavaliselt probleemideta, kuid mõnes Windows 10 versioonis on kasutamisel probleeme esinenud. Lubatud IP-d = 0.0.0.0/0 marsruudikonfliktide tõttu. Ajutise alternatiivina valivad mõned kasutajad WireGuardil põhinevad kliendid, näiteks TunSafe, või piiravad lubatud IP-sid teatud alamvõrkudega.

Debiani kiirjuhend näidisvõtmetega

Serveri ja kliendi võtmete genereerimine /etc/wireguard/ ja loo wg0 liides. Veendu, et VPN-i IP-d ei ühti ühegi teise IP-ga sinu kohalikus võrgus ega klientides.

cd /etc/wireguard/
wg genkey | tee claveprivadaservidor | wg pubkey > clavepublicaservidor
wg genkey | tee claveprivadacliente1 | wg pubkey > clavepublicacliente1

wg0.conf server alamvõrguga 192.168.2.0/24 ja pordiga 51820. Kui soovite automatiseerida, lubage PostUp/PostDown NAT iptablesiga liidese käivitamisel/sulgemisel.

[Interface]
Address = 192.168.2.1/24
PrivateKey = <clave_privada_servidor>
ListenPort = 51820
#PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]
PublicKey = <clave_publica_cliente1>
AllowedIPs = 0.0.0.0/0

Klient aadressiga 192.168.2.2, mis osutab serveri avalikule lõpp-punktile ja millel on elus hoidma valikuline, kui on olemas vahepealne NAT.

[Interface]
PrivateKey = <clave_privada_cliente1>
Address = 192.168.2.2/32

[Peer]
PublicKey = <clave_publica_servidor>
AllowedIPs = 0.0.0.0/0
Endpoint = <ip_publica_servidor>:51820
#PersistentKeepalive = 25

Tõmba liides üles ja vaata, kuidas MTU, marsruudimärgistus ja fwmark ja marsruutimispoliitika reeglid. Vaadake wg-quicki väljund ja olek üle wg show.

Eksklusiivne sisu – klõpsake siin  Kuidas panna WhatsAppi parool

Mikrotik: tunnel RouterOS 7.x vahel

MikroTik on toetanud WireGuardi alates RouterOS 7.x-st. Looge igale ruuterile WireGuardi liides, rakendage see ja see genereeritakse automaatselt. võtmedMäärake Ether2-le WAN-võrguna ja wireguard1-le tunneli liidesena IP-aadressid.

Konfigureerige partnerid, ületades serveri avaliku võtme kliendi poolel ja vastupidi, määrake lubatud aadressid/lubatud IP-d (näiteks 0.0.0.0/0 kui soovite lubada tunneli kaudu mis tahes allikat/sihtkohta) ja määrake kaug-otspunkt selle pordiga. Pingimine kaug-tunneli IP-aadressile kinnitab käepigistus.

Kui ühendate Mikrotiki tunneliga mobiiltelefone või arvuteid, siis täpsustage lubatud võrke, et neid ei avataks rohkem kui vaja; WireGuard otsustab pakettide voo teie võrkude põhjal. Krüptovõtme marsruutimine, seega on oluline päritolu- ja sihtkohad omavahel sobitada.

Kasutatud krüptograafia

WireGuard kasutab kaasaegset komplekti: müra raamistikuna Curve25519 ECDH jaoks, ChaCha20 autentitud sümmeetriliseks krüptimiseks Poly1305-ga, BLAKE2 räsimiseks, SipHash24 räsitabelite jaoks ja HKDF tuletamiseks võtmedKui algoritm on aegunud, saab protokolli sujuvaks migreerimiseks versioonida.

Plussid ja miinused mobiilis

Selle kasutamine nutitelefonides võimaldab teil turvaliselt sirvida Avalik WiFi, peita liiklus oma internetiteenuse pakkuja eest ja luua ühendus oma koduvõrguga, et pääseda ligi NAS-ile, koduautomaatikale või mängudele. iOS-is/Androidis ei tähenda võrgu vahetamine tunneli läbimist, mis parandab kogemust.

Miinustena kaasneb kiiruse langus ja suurem latentsus võrreldes otseväljundiga ning serveri pidev töötamine. saadavalVõrreldes IPsec/OpenVPN-iga on karistus tavaliselt siiski väiksem.

WireGuard ühendab lihtsuse, kiiruse ja tõelise turvalisuse kerge õppimiskõveraga: installige see, genereerige võtmed, määrake lubatud IP-d ja oletegi valmis alustama. Lisage IP-edastamine, hästi rakendatud NAT, ametlikud rakendused QR-koodidega ja ühilduvus ökosüsteemidega nagu OPNsense, Mikrotik või Teltonika. kaasaegne VPN peaaegu iga stsenaariumi jaoks, alates avalike võrkude turvamisest kuni peakorteri ühendamiseni ja koduste teenuste peavaluvabale kasutamisele.