- Yksinkertainen arkkitehtuuri ja moderni salaus: vertaiskohtaiset avaimet ja sallitut IP-osoitteet reititykseen.
- Nopea asennus Linuxiin ja viralliset sovellukset työpöydälle ja mobiililaitteille.
- Ylivertainen suorituskyky IPsec/OpenVPN:ään verrattuna, roaming-yhteydellä ja pienellä viiveellä.
Jos etsit a VPN joka on nopea, turvallinen ja helppo ottaa käyttöön, WireGuard Se on parasta, mitä voit käyttää tänään. Minimalistisen muotoilunsa ja modernin kryptografiansa ansiosta se sopii erinomaisesti kotikäyttäjille, ammattilaisille ja yritysympäristöihin, niin tietokoneilla kuin mobiililaitteilla ja reitittimilläkin.
Tästä käytännönläheisestä oppaasta löydät kaiken perusasioista LisäasetuksetAsennus Linuxiin (Ubuntu/Debian/CentOS), avaimet, palvelin- ja asiakastiedostot, IP-osoitteen edelleenlähetys, NAT/palomuuri, sovellukset Windowsiin/macOS:ään/Androidiin/iOS:ään jaettu tunnelointi, suorituskykyä, vianmääritystä ja yhteensopivuutta alustojen, kuten OPNsensen, pfSensen, QNAP:n, Mikrotikin tai Teltonikan, kanssa.
Mikä on WireGuard ja miksi valita se?
WireGuard on avoimen lähdekoodin VPN-protokolla ja -ohjelmisto, joka on suunniteltu luomaan L3-salatut tunnelit UDP:n yliSe erottuu OpenVPN:stä tai IPsecistä yksinkertaisuutensa, suorituskykynsä ja pienemmän viiveensä ansiosta, ja se perustuu nykyaikaisiin algoritmeihin, kuten Curve25519, ChaCha20-Poly1305, BLAKE2, SipHash24 ja HKDF.
Sen koodikanta on hyvin pieni (noin tuhansia rivejä), mikä helpottaa auditointeja, pienentää hyökkäyspinta-alaa ja parantaa ylläpitoa. Se on myös integroitu Linux-ytimeen, mikä mahdollistaa korkeat siirtonopeudet ja ketterä vasteaika jopa vaatimattomalla laitteistolla.
Se on monialustainen: virallisia sovelluksia on olemassa Windows, macOS, Linux, Android ja iOSja tuki reititin-/palomuuripohjaisille järjestelmille, kuten OPNsense. Se on saatavilla myös ympäristöille, kuten FreeBSD, OpenBSD sekä NAS- ja virtualisointialustoille.
Näin se toimii sisällä
WireGuard muodostaa salatun tunnelin vertaisten välille (peeriä) avaimilla tunnistettu. Jokainen laite luo avainparin (yksityinen/julkinen) ja jakaa vain oman julkinen avain toiseen päähän; sieltä eteenpäin kaikki liikenne salataan ja todennetaan.
Direktiivi SallitutIP: t Määrittää sekä lähtevän reitityksen (mitä liikennettä tulisi kulkea tunnelin läpi) että luettelon kelvollisista lähteistä, jotka etäkäyttäjä hyväksyy paketin salauksen purkamisen jälkeen. Tätä lähestymistapaa kutsutaan nimellä Cryptokey-reititys ja yksinkertaistaa liikennepolitiikkaa huomattavasti.
WireGuard on erinomainen näiden kanssa Roaming- Jos asiakkaasi IP-osoite muuttuu (esim. vaihdat Wi-Fi-yhteydestä 4G/5G-yhteyteen), istunto muodostetaan uudelleen läpinäkyvästi ja erittäin nopeasti. Se tukee myös tappokytkin estääkseen liikenteen tunnelista ulos, jos VPN-yhteys katkeaa.
Asennus Linuxiin: Ubuntu/Debian/CentOS
Ubuntussa WireGuard on saatavilla virallisissa repositorioissa. Päivitä paketit ja asenna sitten ohjelmisto saadaksesi moduulin ja työkalut. wg ja wg-quick.
apt update && apt upgrade -y
apt install wireguard -y
modprobe wireguardDebianin vakaassa ympäristössä voit tarvittaessa luottaa epävakaiden haararepositorioiden käyttöön noudattamalla suositeltua menetelmää ja huolenpito tuotannossa:
sudo sh -c 'echo deb https://deb.debian.org/debian/ unstable main > /etc/apt/sources.list.d/unstable.list'
sudo sh -c 'printf "Package: *\nPin: release a=unstable\nPin-Priority: 90\n" > /etc/apt/preferences.d/limit-unstable'
sudo apt update
sudo apt install wireguardCentOS 8.3:ssa työnkulku on samanlainen: aktivoit EPEL/ElRepo-repositoriot tarvittaessa ja asennat sitten paketin. WireGuard ja vastaavat moduulit.
Avaimen sukupolvi
Jokaisella vertaisella täytyy olla oma yksityinen/julkinen avainpariKäytä umaskia rajoittaaksesi käyttöoikeuksia ja luodaksesi avaimia palvelimelle ja asiakkaille.
umask 077
wg genkey | tee privatekey | wg pubkey > publickeyToista jokaisella laitteella. Älä koskaan jaa yksityinen avain ja tallenna molemmat turvallisesti. Voit halutessasi luoda tiedostoja eri nimillä, esimerkiksi yksityisen avaimen palvelin y julkinen palvelinavain.
Palvelimen kokoonpano
Luo päätiedosto kohteeseen /etc/wireguard/wg0.conf-tiedostoMääritä VPN-aliverkko (ei käytössä varsinaisessa lähiverkossasi), UDP-portti ja lisää lohko [Tähyillä] valtuutettua asiakasta kohden.
[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = <clave_privada_servidor>
# Cliente 1
[Peer]
PublicKey = <clave_publica_cliente1>
AllowedIPs = 10.0.0.2/32Voit käyttää myös toista aliverkkoa, esim. 192.168.2.0/24ja kasvaa useiden vertaisten kanssa. Nopeissa käyttöönottoissa on yleistä käyttää wg-nopea wgN.conf-tiedostojen kanssa.
Asiakkaan kokoonpano
Luo asiakkaalle tiedosto, esim. wg0-asiakas.conf, yksityisine avaimineen, tunneli-osoitteineen, valinnaisine DNS-palvelimineen ja palvelimen vertaiskoneineen julkisine päätepisteineen ja portteineen.
[Interface]
PrivateKey = <clave_privada_cliente>
Address = 10.0.0.2/24
DNS = 8.8.8.8
[Peer]
PublicKey = <clave_publica_servidor>
Endpoint = <ip_publica_servidor>:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25Jos laitat SallitutIP: t = 0.0.0.0/0 Kaikki liikenne kulkee VPN:n kautta; jos haluat tavoittaa vain tiettyjä palvelinverkkoja, rajoita se tarvittaviin aliverkkoihin, niin vähennät latenssi ja kulutus.
IP-edelleenlähetys ja NAT palvelimella
Ota käyttöön edelleenlähetys, jotta asiakkaat voivat käyttää Internetiä palvelimen kautta. Ota muutokset käyttöön lennossa käyttämällä sysctl.
echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf
echo 'net.ipv6.conf.all.forwarding=1' >> /etc/sysctl.conf
sysctl -pMääritä NAT iptablesilla VPN-aliverkolle ja aseta WAN-rajapinta (esimerkiksi eth0):
iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADETee siitä pysyvää asianmukaisilla paketeilla ja tallennussäännöillä, joita sovelletaan järjestelmän uudelleenkäynnistyksen yhteydessä.
apt install -y iptables-persistent netfilter-persistent
netfilter-persistent saveKäynnistys ja varmennus
Avaa käyttöliittymä ja ota palvelu käyttöön käynnistyäkseen järjestelmässä. Tämä vaihe luo virtuaalisen käyttöliittymän ja lisää Rutas tarpeen.
systemctl start wg-quick@wg0
systemctl enable wg-quick@wg0
wgkanssa wg Näet vertaiskoneiden tiedot, avaimet, siirrot ja viimeisimpien kättelykertojen ajankohdat. Jos palomuurikäytäntösi on rajoittava, salli pääsy käyttöliittymän kautta. wg0 ja palvelun UDP-portti:
iptables -I INPUT 1 -i wg0 -j ACCEPT
Viralliset sovellukset: Windows, macOS, Android ja iOS
Työpöydällä voit tuoda .conf-tiedostoMobiililaitteilla sovellus antaa sinun luoda käyttöliittymän QR code sisältää kokoonpanon; se on erittäin kätevä ei-teknisille asiakkaille.
Jos tavoitteena on esitellä itse isännöityjä palveluita, kuten Plex/Tutka/Luotain VPN-yhteyden kautta voit yksinkertaisesti määrittää IP-osoitteet WireGuard-aliverkossa ja säätää sallittuja IP-osoitteita, jotta asiakas voi muodostaa yhteyden kyseiseen verkkoon. Sinun ei tarvitse avata lisäportteja ulkopuolelle, jos kaikki käyttö tapahtuu verkon kautta. tunneli.
Edut ja haitat
WireGuard on erittäin nopea ja yksinkertainen, mutta on tärkeää ottaa huomioon sen rajoitukset ja erityispiirteet käyttötapauksesta riippuen. Tässä on tasapainoinen yleiskatsaus yleisimmistä merkityksellinen.
| Etu | Haitat |
|---|---|
| Selkeä ja lyhyt konfiguraatio, ihanteellinen automaatioon | Ei sisällä natiivia liikenteen hämärtämistä |
| Korkea suorituskyky ja matala latenssi jopa Móviles | Joissakin vanhoissa ympäristöissä on vähemmän lisäasetuksia |
| Moderni kryptografia ja pieni koodi, joka tekee siitä helppoa tilintarkastus | Tietosuoja: IP-osoitteen/julkisen avaimen yhdistäminen voi olla arkaluontoista käytännöistä riippuen |
| Saumaton roaming ja kill switch saatavilla asiakaslaitteilla | Kolmannen osapuolen yhteensopivuus ei ole aina yhtenäistä |
Jaettu tunnelointi: ohjaa vain välttämättömän
Jaetun tunneloinnin avulla voit lähettää VPN:n kautta vain tarvitsemasi liikenteen. SallitutIP: t Sinä päätät, käytätkö täydellistä vai valikoivaa uudelleenohjausta yhteen tai useampaan aliverkkoon.
# Redirección completa de Internet
[Peer]
AllowedIPs = 0.0.0.0/0# Solo acceder a recursos de la LAN 192.168.1.0/24 por la VPN
[Peer]
AllowedIPs = 192.168.1.0/24On olemassa muunnelmia, kuten käänteinen jaettu tunnelointi, suodatettuna URL tai sovelluksen kautta (tiettyjen laajennusten/asiakasohjelmien kautta), vaikka WireGuardin natiivi perusta on IP-osoitteen ja etuliitteiden hallinta.
Yhteensopivuus ja ekosysteemi
WireGuard syntyi Linux-ytimelle, mutta nykyään se on MonialustainenOPNsense integroi sen natiivisti; pfSense poistettiin väliaikaisesti auditointien osalta, ja sitä tarjottiin myöhemmin valinnaisena pakettina versiosta riippuen.
NAS-laitteella, kuten QNAPilla, voit liittää sen QVPN:n tai virtuaalikoneiden kautta hyödyntäen 10GbE-verkkokortteja suuret nopeudetMikroTik-reititinkortit ovat sisällyttäneet WireGuard-tuen RouterOS 7.x:stä lähtien; sen alkuvaiheissa se oli beta-vaiheessa eikä sitä suositeltu tuotantokäyttöön, mutta se sallii P2P-tunnelit laitteiden ja jopa loppukäyttäjien välillä.
Teltonikan kaltaisilla valmistajilla on paketti WireGuardin lisäämiseksi reitittimiinsä; jos tarvitset laitteita, voit ostaa niitä osoitteesta shop.davantel.com ja noudata valmistajan asennusohjeita paketit Extra.
Suorituskyky ja latenssi
Minimalistisen muotoilunsa ja tehokkaiden algoritmien ansiosta WireGuard saavuttaa erittäin suuria nopeuksia ja matalat latenssit, yleensä L2TP/IPsec- ja OpenVPN-protokollia parempi. Paikallisissa testeissä tehokkaalla laitteistolla todellinen nopeus on usein kaksinkertainen vaihtoehtoihin verrattuna, joten se on ihanteellinen suoratoisto, pelaaminen tai VoIP.
Yritystason käyttöönotto ja etätyöskentely
Yrityskäytössä WireGuard sopii tunneleiden luomiseen toimistojen välille, työntekijöiden etäkäyttöön ja turvallisiin yhteyksiin Jatkuva ammatillinen ammatillinen kehittyminen ja pilvipalvelut (esim. varmuuskopioita varten). Sen ytimekäs syntaksi tekee versioinnista ja automatisoinnista helppoa.
Se integroituu hakemistoihin, kuten LDAP/AD, käyttämällä väliratkaisuja ja voi toimia rinnakkain IDS/IPS- tai NAC-alustojen kanssa. Suosittu vaihtoehto on Paketti -aita (avoimen lähdekoodin), jonka avulla voit tarkistaa laitteiden tilan ennen käyttöoikeuden ja hallinnan myöntämistä omalla laitteellasi.
Windows/macOS: Huomautuksia ja vinkkejä
Virallinen Windows-sovellus toimii yleensä ongelmitta, mutta joissakin Windows 10 -versioissa on ollut ongelmia sen käytössä. SallitutIP: t = 0.0.0.0/0 reittiristiriitojen vuoksi. Tilapäisenä vaihtoehtona jotkut käyttäjät valitsevat WireGuard-pohjaisia asiakasohjelmia, kuten TunSafen, tai rajoittavat sallittuja IP-osoitteita tiettyihin aliverkkoihin.
Debianin pika-aloitusopas esimerkkiavaimilla
Luo avaimet palvelimelle ja asiakkaalle /etc/wireguard/ ja luo wg0-rajapinta. Varmista, että VPN:n IP-osoitteet eivät vastaa muita paikallisverkon tai asiakaslaitteiden IP-osoitteita.
cd /etc/wireguard/
wg genkey | tee claveprivadaservidor | wg pubkey > clavepublicaservidor
wg genkey | tee claveprivadacliente1 | wg pubkey > clavepublicacliente1wg0.conf-palvelin, jonka aliverkko on 192.168.2.0/24 ja portti 51820. Ota PostUp/PostDown käyttöön, jos haluat automatisoida NAT iptablesilla käyttöliittymää käynnistettäessä/suljettaessa.
[Interface]
Address = 192.168.2.1/24
PrivateKey = <clave_privada_servidor>
ListenPort = 51820
#PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
[Peer]
PublicKey = <clave_publica_cliente1>
AllowedIPs = 0.0.0.0/0Asiakas, jonka osoite on 192.168.2.2, osoittaa palvelimen julkiseen päätepisteeseen ja jolla on pitää hengissä valinnainen, jos käytössä on välivaiheen NAT.
[Interface]
PrivateKey = <clave_privada_cliente1>
Address = 192.168.2.2/32
[Peer]
PublicKey = <clave_publica_servidor>
AllowedIPs = 0.0.0.0/0
Endpoint = <ip_publica_servidor>:51820
#PersistentKeepalive = 25Vedä käyttöliittymä ylös ja katso, kuinka MTU, reittimerkinnät ja fwmark ja reitityskäytäntösäännöt. Tarkista wg-quick-tuloste ja tila wg-show.
Mikrotik: tunneli RouterOS 7.x:n välillä
MikroTik on tukenut WireGuardia RouterOS 7.x:stä lähtien. Luo WireGuard-liitäntä jokaiselle reitittimelle, ota se käyttöön, ja se luodaan automaattisesti. CLAVESMääritä IP-osoitteet Ether2:lle WAN-yhteydeksi ja wireguard1:lle tunneliliitännäksi.
Määritä vertaiskoneille palvelimen julkinen avain asiakaspuolella ja päinvastoin, määritä sallittu osoite/sallitut IP-osoitteet (esimerkiksi 0.0.0.0/0 jos haluat sallia minkä tahansa lähteen/kohteen tunnelin läpi) ja aseta etäpäätepiste sen portilla. Ping-komento etätunnelin IP-osoitteeseen vahvistaa kädenpuristus.
Jos yhdistät matkapuhelimia tai tietokoneita Mikrotik-tunneliin, hienosäädä sallittuja verkkoja niin, ettet avaa niitä useammin kuin on tarpeen; WireGuard päättää pakettien kulun tietojesi perusteella. Cryptokey-reititys, joten on tärkeää yhdistää lähtö- ja määränpäät.
Käytetty kryptografia
WireGuard käyttää modernia sarjaa: Melu kehyksenä Curve25519 ECDH:lle, ChaCha20 todennetulle symmetriselle salaukselle Poly1305:llä, BLAKE2 hajauttamiseen, SipHash24 hajautustaulukoille ja HKDF funktioiden johtamiseen CLAVESJos algoritmi on vanhentunut, protokollaa voidaan versioida saumattoman migraation varmistamiseksi.
Plussat ja miinukset mobiililaitteissa
Älypuhelimilla sen käyttö mahdollistaa turvallisen selaamisen Julkinen Wi-Fi, piilottaa liikenteen internet-palveluntarjoajaltasi ja muodostaa yhteyden kotiverkkoosi käyttääksesi NAS-laitteita, kodin automaatiota tai pelaamista. iOS:ssä/Androidissa verkon vaihtaminen ei vie tunnelia alas, mikä parantaa käyttökokemusta.
Haittapuolena on jonkin verran nopeuden menetystä ja suurempi viive suoraan lähtöön verrattuna, ja olet riippuvainen palvelimen jatkuvasta toiminnasta. saatavissaIPsec/OpenVPN:ään verrattuna rangaistus on kuitenkin yleensä pienempi.
WireGuard yhdistää yksinkertaisuuden, nopeuden ja todellisen turvallisuuden kevyeen oppimiskäyrään: asenna se, luo avaimet, määritä sallitut IP-osoitteet ja olet valmis aloittamaan. Lisää IP-osoitteen edelleenlähetys, hyvin toteutettu NAT, viralliset sovellukset QR-koodeilla ja yhteensopivuus ekosysteemien, kuten OPNsensen, Mikrotikin tai Teltonikan, kanssa. moderni VPN lähes kaikkiin skenaarioihin julkisten verkkojen suojaamisesta pääkonttorin yhdistämiseen ja kotipalveluiden käyttöön ilman päänvaivaa.
Teknologiaan ja internet-asioihin erikoistunut toimittaja, jolla on yli kymmenen vuoden kokemus erilaisista digitaalisista medioista. Olen työskennellyt toimittajana ja sisällöntuottajana verkkokaupan, viestinnän, verkkomarkkinoinnin ja mainonnan yrityksissä. Olen myös kirjoittanut taloustieteen, rahoituksen ja muiden alojen verkkosivuille. Työni on myös intohimoni. Nyt artikkeleideni kautta Tecnobits, Yritän tutkia kaikkia uutisia ja uusia mahdollisuuksia, joita teknologian maailma tarjoaa meille joka päivä parantaaksemme elämäämme.