WireGuard déanta éasca: cruthaigh do VPN féin i 15 nóiméad

An bhfuil tú ag lorg VPN atá gasta, slán, agus nach gcuirfidh frustrachas ort le socruithe gan teorainn? WireGuard Tá sé ar cheann de na roghanna is fearr. Tugann an prótacal nua-aimseartha seo tús áite do shimplíocht agus do chripteagrafaíocht den scoth, rud a fhágann go bhfuil sé éasca d'aon duine tollán slán a bhunú.

Chomh maith le tú a chosaint ar líonraí poiblí agus ligean duit rochtain a fháil ar do líonra baile nó gnó, Cuidíonn VPN le geobhlocanna agus cinsireacht a sheachaintLe WireGuard, tagann an príobháideacht agus an fheidhmíocht bhreise sin le próiseas socraithe atá thar a bheith simplí, ar ríomhairí agus ar ghléasanna soghluaiste araon.

WireGuard go hachomair

Is WireGuard bogearraí vpn foinse oscailte atá dírithe ar shraith 3 (L3) a Úsáideann sé UDP go heisiach agus cripteagrafaíocht nua-aimseartha de réir réamhshocraithe.Is é a phríomhbhuntáiste dearadh íostach le fíorbheagán línte cóid, rud a éascaíonn iniúchtaí, a laghdaíonn an dromchla ionsaithe, agus a fheabhsaíonn feidhmíocht.

Murab ionann agus a bhfuil ar fáil ó VPNanna eile, ní roghnaíonn tú mórán halgartam ná céimeanna anseo; Sainmhíníonn WireGuard “pacáiste” cripteagrafach comhtháiteMá chuirtear algartam as feidhm, scaoiltear leagan nua agus déanann cliaint/freastalaí idirbheartaíocht faoin uasghrádú go trédhearcach.

Oibríonn an prótacal seo i mód tolláin i gcónaí, agus Tacaíonn sé le IPv4 agus IPv6 (ag cur ceann amháin laistigh den cheann eile más gá)Chun é a úsáid, beidh ort port UDP (inchumraithe) a oscailt ar do ródaire chuig do fhreastalaí.

Comhoiriúnacht agus tacaíocht

I saol na mballaí dóiteáin, Comhtháthaíonn OPNsense WireGuard isteach sa eithne chun luas a uasmhéadú. Bhí a bhuaicphointí agus a ísliú ag pfSense: bhí sé le feiceáil i leagan 2.5.0, baineadh é i leagan 2.5.1 mar gheall ar fhionnachtana slándála, agus Is féidir é a shuiteáil mar phacáiste inniu bainistithe ón gcomhéadan gréasáin.

 

Criptografía utilizada

Braitheann WireGuard ar shraith halgartaim nua-aimseartha agus iniúchta go mór: Creat Prótacail Torainn, Curve25519, ChaCha20, Poly1305, BLAKE2, SipHash agus HKDFÚsáideann criptiú sonraí ChaCha20-Poly1305 (AEAD), le malartú ECDH ar Curve25519 agus díorthú eochrach le HKDF.

Seachnaíonn an cur chuige seo meascadh sraitheanna éagsúla agus laghdaíonn sé earráidí cumraíochtaSimplíonn sé fabhtcheartú freisin, ós rud é go labhraíonn na nóid uile an teanga chripteagrafach chéanna.

Rendimiento y latencia

Ceadaíonn cur i bhfeidhm íosta agus comhtháthú ísealleibhéil luasanna an-arda agus latencies an-ísealI gcomparáidí fíorshaoil ​​i gcoinne L2TP/IPsec agus OpenVPN, is gnách go mbíonn WireGuard ar bharr an liosta, agus go minic bíonn an tréchur dúbailte ar an gcrua-earraí céanna.

Ar líonraí éagobhsaí nó soghluaiste, Tá athchóiriú seisiúin tapa Agus is ar éigean a bhíonn athcheangal le feiceáil tar éis athruithe líonra (fánaíocht). Ar fheistí a bhfuil acmhainní teoranta acu (ródairí, feistí Idirlín na Rudaí), déanann a thomhaltas cumhachta íseal an difríocht ar fad, ag sábháil cumhacht LAP agus ceallraí.

Suiteáil thapa ar Linux

I ndáiltí nua-aimseartha, tá WireGuard ar fáil cheana féin i stórtha cobhsaí. Ar Debian/Ubuntu, níl le déanamh ach é a shuiteáil. an pacáiste oifigiúil a nuashonrú agus a shuiteáilI gcásanna eile, b'fhéidir go mbeadh ort stórtha a chur leis nó an modúl eithne a ghníomhachtú.

sudo apt update && sudo apt upgrade -y
sudo apt install wireguard -y
sudo modprobe wireguard

Má úsáideann tú brainse nach bhfuil sé i "stable", d'fhéadfá dul i muinín stórtha "unstable/testing" faoi rialú tosaíochta, cé go Go hidéalach, ba cheart duit é a tharraingt ón stór cobhsaí. de do dháileadh nuair a bheidh sé ar fáil.

Generación de claves

Teastaíonn a phéire eochracha féin ó gach gléas (freastalaí agus cliant). Coinnigh an seomra príobháideach faoi ghlas. agus ní roinneann sé ach an ceann poiblí leis an gcomhghleacaí.

umask 077
wg genkey | tee privatekey | wg pubkey > publickey

Is féidir leat an próiseas a athdhéanamh do gach cliant agus súil a choinneáil orthu de réir ainm. mearbhall idir piaraí a sheachaint de réir mar a fhásann d’imscaradh.

Configuración del servidor

Is é an comhad tipiciúil /etc/wireguard/wg0.confSa chuid seo, sainmhíníonn tú seoladh IP an VPN, an eochair phríobháideach, agus an port UDP. I ngach cuid, cuireann tú cliant leis, ag ceadú a eochair phoiblí agus a sheoltaí IP údaraithe.

Address = 192.168.2.1/24
ListenPort = 51820
PrivateKey = <clave_privada_servidor>
# Ejemplo de NAT automátizado con PostUp/PostDown, si lo necesitas
#PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE


PublicKey = <clave_publica_cliente1>
AllowedIPs = 192.168.2.2/32

# Añade más peers según necesites
#
#PublicKey = <clave_publica_cliente2>
#AllowedIPs = 192.168.2.3/32

Más fearr leat aon seoladh IP cliant a cheadú agus bealaí a bhainistiú ar leithligh, is féidir leat é a úsáid AllowedIPs = 0.0.0.0/0 I dtimpeallachtaí piaraí, ach i dtimpeallachtaí rialaithe is fearr /32 a shannadh in aghaidh an chliaint ar mhaithe le hinrianaitheacht.

Configuración del cliente

La alt Iompraíonn sé an eochair phríobháideach agus a sheoladh IP sa VPN; eochair phoiblí an fhreastalaí, a chríochphointe, agus an polasaí ródaithe.

PrivateKey = <clave_privada_cliente>
Address = 192.168.2.2/32
DNS = 1.1.1.1


PublicKey = <clave_publica_servidor>
Endpoint = <IP_publica_servidor>:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25

El BuanCoinnigh Beo (25) Cuidíonn sé seo má tá an cliant taobh thiar de NAT/ballaí dóiteáin a chuireann bac ar mhapálacha neamhghníomhacha. Sainmhíníonn AllowedIPs an ndéanann tú an trácht go léir a threorú tríd an VPN (0.0.0.0/0) nó trí fho-líonraí sonracha amháin.

NAT, atreorú agus balla dóiteáin

Chun ligean do chliaint rochtain a fháil ar an idirlíon tríd an bhfreastalaí, ní mór duit cumasaigh atreorú IP agus NAT a chur i bhfeidhm ar an gcomhéadan WAN.

echo "net.ipv4.ip_forward=1" | sudo tee -a /etc/sysctl.conf
echo "net.ipv6.conf.all.forwarding=1" | sudo tee -a /etc/sysctl.conf
sudo sysctl -p

sudo iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j MASQUERADE

Má tá do pholasaí balla dóiteáin sriantach, ceadaíonn trácht ar an gcomhéadan wg0 agus oscail an port UDP roghnaithe ar an mballa dóiteáin/ródaire NAT.

sudo iptables -I INPUT 1 -i wg0 -j ACCEPT

Chun an comhéadan a thabhairt suas agus an tseirbhís a chumasú ag an am tosaithe: wg-quick agus systemd Fágann siad ar uathphíolóta é duit.

sudo wg-quick up wg0
sudo systemctl enable wg-quick@wg0

Fánaíocht, Kill-Switch agus soghluaisteacht

Tá WireGuard deartha le haghaidh úsáide soghluaiste laethúil: Má aistríonn tú ó Wi-Fi go 4G/5G, athbhunaítear an tollán i gceann nóiméid.Ní thabharfaidh tú faoi deara aon chur isteach tromchúiseach agus tú ag athrú líonraí.

Ina theannta sin, is féidir leat a chumasú lasc maraithe (ag brath ar an ardán nó ar an aip) ionas, má théann an VPN síos, go mbacfaidh an córas tráchta go dtí go ndéanfar é a athbhunú, rud a chuireann cosc ​​ar sceitheanna de thaisme.

Tollán scoilte

Ligeann an tollán scoilte duit cinneadh a dhéanamh Cén trácht a thaistealaíonn tríd an VPN agus cad a théann amach go díreach?Úsáideach chun latency íseal a choinneáil i cluichí nó glaonna físe agus rochtain á fáil ag acmhainní inmheánacha tríd an tollán.

Dhá shampla cumraíochta tipiciúla ar an gcliant, ag baint úsáide as an treoir AllowedIPs:

# Redirección total por la VPN

PublicKey = <clave_publica_servidor>
AllowedIPs = 0.0.0.0/0
Endpoint = <IP_publica_servidor>:51820

# Solo la LAN remota (por ejemplo, 192.168.1.0/24) a través de la VPN

PublicKey = <clave_publica_servidor>
AllowedIPs = 192.168.1.0/24
Endpoint = <IP_publica_servidor>:51820

Laghdaíonn sé seo an tionchar ar luas/latency agus Déanann tú an taithí a bharrfheabhsú don rud is gá duit a chosaint i ndáiríre.

Buntáistí agus míbhuntáistí WireGuard

• I FAVORluas, latency íseal, simplíocht, cripteagrafaíocht nua-aimseartha, ídiú acmhainní laghdaithe, agus bunachar cóid beag a éascaíonn iniúchtaí.
• I gCOINNE: Tá tacaíocht i roinnt éiceachóras oidhreachta níos lú aibí ná IPsec/OpenVPN, gnéithe ardleibhéil níos teoranta (scripteanna agus doiléiriú dúchasach), agus breithnithe príobháideachta toisc go bhfuil eochracha poiblí bainteach le IPanna tolláin inmheánacha.

Tacaíocht do bhallaí dóiteáin, NAS agus QNAP

I bhfearais de chineál balla dóiteáin, Comhtháthaíonn OPNsense WireGuard le luasghéarú eithne. I pfSense, agus tú ag fanacht le comhtháthú cobhsaí, is féidir leat an pacáiste a shuiteáil agus é a bhainistiú go háisiúil ón gcomhéadan grafach úsáideora.

Ar NAS QNAP, trí QVPN 2, Is féidir leat freastalaithe L2TP/IPsec, OpenVPN, agus WireGuard a bhunú....agus fiú Debian a fhíorúlú más mian leat OpenVPN a choigeartú le AES-GCM nó tomhas le iperf3. I dtástálacha le crua-earraí cumhachtacha (mar shampla QNAP le Ryzen 7 agus 10GbE) agus cliant 10GbE, Dhúblaigh WireGuard an fheidhmíocht i gcomparáid le L2TP/IPsec nó OpenVPN san timpeallacht áitiúil chéanna.

WireGuard ar fhóin phóca: láidreachtaí agus laigí

Ar iOS agus Android, cuireann an aip oifigiúil ar chumas tú aistriú idir líonraí gan uaim. Buntáiste mór: Brabhsáil shábháilte ar Wi-Fi poiblí ó óstáin nó aerfoirt agus do thrácht a cheilt ó do sholáthraí idirlín. Ina theannta sin, má bhunaíonn tú do fhreastalaí féin, is féidir leat rochtain a fháil ar do theach nó ar do ghnó amhail is dá mba rud é go raibh tú ann i ndáiríre.

Is é an comhfhreagraí loighciúil ná sin Cuirtear roinnt moille leis agus titeann an luas beagángo háirithe má atreoraíonn tú an trácht go léir. Mar sin féin, tá WireGuard i measc na bprótacal is cairdiúla ó thaobh ceallraí agus feidhmíochta de. Féach freisin moltaí le haghaidh Android más soghluaiste atá do chás.

Suiteáil agus úsáid ar ardáin eile

Ar macOS, Windows, Android, agus iOS, tá aipeanna oifigiúla agat; níl le déanamh agat ach an comhad .conf a allmhairiú nó cód QR a scanadh ginte ó do bhainisteoir cumraíochta. Tá an próiseas beagnach mar an gcéanna le próiseas Linux.

Más mian leat é a chur ar bun ar VPS, cuimhnigh ar na dea-chleachtais seo: córas a nuashonrú, balla dóiteáin a chumasúCuir teorainn le port UDP WireGuard do na IPanna ceadaithe más féidir agus rothlaigh eochracha nuair is gá de réir do pholasaí.

Fíorú agus diagnóis

Chun a dheimhniú go bhfuil gach rud i gceart, lean ar wg agus wg-tapaFeicfidh tú croitheadh ​​​​láimhe, giotáin aistrithe, agus amanna ó rinneadh an malartú deireanach.

wg
wg show

Mura bhfuil nascacht ann, seiceáil: bealaí córais, NAT, calafort UDP oscailte ar an ródaire agus go bhfuil an Deireadhphointe agus na heochracha do gach piar ceart. Is gnách gurb é ping chuig seoladh IP an fhreastalaí ar an VPN an chéad tástáil úsáideach.

Le cur chuige simplí, cripteagrafaíocht nua-aimseartha, agus feidhmíocht shuntasach, Tá WireGuard tar éis a áit mar an VPN is fearr leat a bhaint amach Do úsáideoirí baile agus do ghnólachtaí. Tá an suiteáil simplí, tá an bhainistíocht áisiúil, agus oireann a raon úsáidí (rochtain iargúlta, suíomh go suíomh, soghluaisteacht shlán, nó tollánú scoilte) do bheagnach aon chás. Cuir dea-chleachtais slándála, balla dóiteáin dea-choigeartaithe, agus monatóireacht bhunúsach leis, agus beidh tollán gasta, cobhsaí agus an-deacair a bhriseadh agat.