Stiùireadh WireGuard Coileanta: Stàladh, Iuchraichean, agus Rèiteachadh Adhartach

Ma tha thu a ’lorg VPN a tha luath, tèarainte agus furasta a chleachdadh, Air adhart gu clàr na làraich ’S e seo an rud as fheàrr as urrainn dhut a chleachdadh an-diugh. Le dealbhadh ìosal agus crioptagrafaireachd ùr-nodha, tha e freagarrach do luchd-cleachdaidh dachaigh, proifeiseantaich, agus àrainneachdan corporra, an dà chuid air coimpiutairean agus air innealan gluasadach agus routers.

Anns an stiùireadh practaigeach seo gheibh thu a h-uile càil bho na bunaitean chun na Rèiteachadh adhartachStàladh air Linux (Ubuntu/Debian/CentOS), iuchraichean, faidhlichean frithealaiche is teachdaiche, cur air adhart IP, NAT/Balla-teine, aplacaidean air Windows/macOS/Android/iOS, sgaradh tunnaireachd, coileanadh, fuasgladh dhuilgheadasan, agus co-chòrdalachd le àrd-ùrlaran leithid OPNsense, pfSense, QNAP, Mikrotik no Teltonika.

Dè a th’ ann an WireGuard agus carson a thaghas tu e?

Air adhart gu clàr na làraich ’S e pròtacal agus bathar-bog VPN stòr fosgailte a chaidh a dhealbhadh gus cruthachadh Tunailean crioptaichte L3 thairis air UDPTha e a’ seasamh a-mach an taca ri OpenVPN no IPsec air sgàth a shìmplidheachd, a choileanadh agus a latency nas ìsle, an urra ri algairidhean ùr-nodha leithid Lùb25519, ChaCha20-Poly1305, BLAKE2, SipHash24 agus HKDF.

Tha a bhunait còd glè bheag (timcheall air mìltean de loidhnichean), a bhios a’ dèanamh sgrùdaidhean nas fhasa, a’ lughdachadh uachdar ionnsaigh agus a’ leasachadh cumail suas. Tha e cuideachd air a thoirt a-steach do chridhe Linux, a’ leigeil le ìrean gluasaid àrd agus freagairt shùbailte eadhon air bathar-cruaidh meadhanach.

 

Tha e ioma-àrd-ùrlar: tha aplacaidean oifigeil ann airson Windows, macOS, Linux, Android agus iOS, agus taic do shiostaman stèidhichte air routers/balla-teine ​​mar OPNsense. Tha e cuideachd ri fhaighinn airson àrainneachdan mar FreeBSD, OpenBSD, agus NAS agus àrd-ùrlaran brìgheil.

Mar a tha e ag obair a-staigh

 

Bidh WireGuard a’ stèidheachadh tunail crioptaichte eadar co-aoisean (co-aoisean) air an comharrachadh le iuchraichean. Bidh gach inneal a’ gineadh paidhir iuchraichean (prìobhaideach/poblach) agus a’ roinneadh a-mhàin iuchair phoblach leis a’ cheann eile; às an sin, tha a h-uile trafaic air a chrioptachadh agus air a dhearbhadh.

Stiùireadh IPan ceadaichte A’ mìneachadh an dà chuid an t-slighe a-mach (dè an trafaic a bu chòir a dhol tron ​​tunail) agus an liosta de thùsan dligheach a ghabhas am piar iomallach ris an dèidh dha pacaid a dhì-chrioptachadh gu soirbheachail. Canar ris an dòigh-obrach seo Routing Cryptokey agus a’ sìmpleachadh poileasaidh trafaic gu mòr.

Tha WireGuard sàr-mhath leis an fiodhaireachd- Ma dh’atharraicheas IP an neach-dèiligidh agad (m.e., ma leumas tu bho Wi-Fi gu 4G/5G), thèid an seisean ath-stèidheachadh gu follaiseach agus gu math luath. Tha e cuideachd a’ toirt taic do suidse marbhaidh gus trafaic a bhacadh a-mach às an tunail ma thèid an VPN sìos.

Stàladh air Linux: Ubuntu/Debian/CentOS

Air Ubuntu, tha WireGuard ri fhaighinn anns na stòran-dàta oifigeil. Ùraich na pacaidean agus an uairsin stàlaich am bathar-bog gus am modúl agus na h-innealan fhaighinn. wg agus wg-luath.

apt update && apt upgrade -y
apt install wireguard -y
modprobe wireguard

Ann an Debian seasmhach faodaidh tu earbsa a chur ann an stòran-dàta meuran neo-sheasmhach ma dh’fheumas tu, a’ leantainn an dòigh a thathar a’ moladh agus le cùram ann an cinneasachadh:

sudo sh -c 'echo deb https://deb.debian.org/debian/ unstable main > /etc/apt/sources.list.d/unstable.list'
sudo sh -c 'printf "Package: *\nPin: release a=unstable\nPin-Priority: 90\n" > /etc/apt/preferences.d/limit-unstable'
sudo apt update
sudo apt install wireguard

Ann an CentOS 8.3 tha an sruth coltach ris: bidh thu a’ cur stòran-dàta EPEL/ElRepo an gnìomh ma tha sin riatanach agus an uairsin a’ stàladh a’ phacaid. Air adhart gu clàr na làraich agus modalan co-fhreagarrach.

Prìomh ghinealach

Feumaidh a cho-aoisean fhèin a bhith aca paidhir iuchraichean prìobhaideach/poblachCuir umask an sàs gus ceadan a chuingealachadh agus iuchraichean a chruthachadh airson an fhrithealaiche agus nan teachdaichean.

umask 077
wg genkey | tee privatekey | wg pubkey > publickey

Dèan a-rithist air gach inneal. Na roinn a-riamh an iuchair phrìobhaideach agus sàbhail an dà chuid gu sàbhailte. Ma thogras tu, cruthaich faidhlichean le ainmean eadar-dhealaichte, mar eisimpleir frithealaiche iuchrach prìobhaideach y iuchair frithealaiche phoblach.

Rèiteachadh an fhrithealaiche

Cruthaich am prìomh fhaidhle ann an /etc/wireguard/wg0.confSònraich fo-lìonra VPN (nach eil air a chleachdadh air an fhìor LAN agad), am port UDP agus cuir bloc ris. [Co-aoisean] gach neach-ceannach ùghdarraichte.

[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = <clave_privada_servidor>

# Cliente 1
[Peer]
PublicKey = <clave_publica_cliente1>
AllowedIPs = 10.0.0.2/32

Faodaidh tu cuideachd fo-lìonra eile a chleachdadh, mar eisimpleir 192.168.2.0/24, agus fàs le iomadh co-aoisean. Airson cleachdadh luath, tha e cumanta a chleachdadh wg-luath le faidhlichean wgN.conf.

Rèiteachadh teachdaiche

Air an neach-dèiligidh cruthaich faidhle, mar eisimpleir wg0-client.conf, leis an iuchair phrìobhaideach aige, seòladh an tunail, DNS roghainneil, agus co-aoisean an fhrithealaiche leis a’ cheann-phuing phoblach agus am port aige.

[Interface]
PrivateKey = <clave_privada_cliente>
Address = 10.0.0.2/24
DNS = 8.8.8.8

[Peer]
PublicKey = <clave_publica_servidor>
Endpoint = <ip_publica_servidor>:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25

Ma chuireas tu CeadaichteIPs = 0.0.0.0/0 Thèid a h-uile trafaic tron ​​VPN; ma tha thu airson lìonraidhean frithealaiche sònraichte a ruighinn a-mhàin, cuir crìoch air gu na fo-lìonraidhean riatanach agus lughdaichidh tu latency agus caitheamh.

Sgaoileadh IP agus NAT air an fhrithealaiche

Cuir air adhart ath-sheòladh an comas gus am faigh luchd-dèiligidh cothrom air an eadar-lìon tron ​​fhrithealaiche. Cuir atharrachaidhean an sàs sa bhad le sysctl.

echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf
echo 'net.ipv6.conf.all.forwarding=1' >> /etc/sysctl.conf
sysctl -p

Rèitich NAT le iptables airson fo-lìonra VPN, a’ suidheachadh eadar-aghaidh WAN (mar eisimpleir, eth0):

iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADE

Dèan e maireannach leis na pacaidean iomchaidh agus na riaghailtean sàbhalaidh a thèid a chur an sàs nuair a thèid an siostam ath-thòiseachadh.

apt install -y iptables-persistent netfilter-persistent
netfilter-persistent save

Tòiseachadh agus dearbhadh

Fosgail an eadar-aghaidh agus cuir an t-seirbheis an comas tòiseachadh leis an t-siostam. Bidh an ceum seo a’ cruthachadh an eadar-aghaidh fhìor-dhealbhach agus a’ cur ris slighean riatanach.

systemctl start wg-quick@wg0
systemctl enable wg-quick@wg0
wg

Con wg Chì thu na co-aoisean, na h-iuchraichean, na gluasadan, agus na h-amannan crathadh-làimhe mu dheireadh. Ma tha poileasaidh do bhalla-teine ​​cuingealaichte, leig le inntrigeadh tron ​​eadar-aghaidh. wg0 agus port UDP na seirbheis:

iptables -I INPUT 1 -i wg0 -j ACCEPT

Aplacaidean oifigeil: Windows, macOS, Android, agus iOS

Air an deasg faodaidh tu a thoirt a-steach faidhle .confAir innealan gluasadach, leigidh an aplacaid leat an eadar-aghaidh a chruthachadh bho QR còd anns a bheil an rèiteachadh; tha e glè ghoireasach do luchd-ceannach neo-theicnigeach.

Ma tha an t-amas agad seirbheisean fèin-aoigheachd fhoillseachadh leithid Plex/Radarr/Sonarr Tro do VPN, dìreach sònraich IPan ann am fo-lìonra WireGuard agus atharraich AllowedIPs gus an urrainn don neach-dèiligidh an lìonra sin a ruighinn; chan fheum thu puirt a bharrachd fhosgladh don taobh a-muigh ma tha a h-uile ruigsinneachd tron tunail.

Buannachdan agus eas-bhuannachdan

Tha WireGuard gu math luath agus sìmplidh, ach tha e cudromach beachdachadh air na crìochan agus na sònrachaidhean aige a rèir a’ chùis cleachdaidh. Seo sealladh farsaing cothromach air na rudan as motha buntainneach.

Buannachdan	-eas-bhuannachdan
Rèiteachadh soilleir is goirid, freagarrach airson fèin-ghluasad	Chan eil e a’ toirt a-steach bacadh air trafaic dhùthchasach
Coileanadh àrd agus latency ìosal eadhon ann an fònaichean-làimhe	Ann an cuid de dh'àrainneachdan dìleab tha nas lugha de roghainnean adhartach ann
Crioptagrafaireachd ùr-nodha agus còd beag a tha ga dhèanamh furasta sgrùdadh	Prìobhaideachd: Dh’ fhaodadh gum bi ceangal IP/iuchair phoblach mothachail a rèir phoileasaidhean
Roaming gun fhiosta agus suidse marbhadh ri fhaighinn air luchd-dèiligidh	Chan eil co-chòrdalachd treas-phàrtaidh an-còmhnaidh aon-ghnèitheach

 

Tunnaladh roinnte: a’ stiùireadh dìreach na tha riatanach

Le tunaileadh roinnte, faodaidh tu dìreach an trafaic a dh’ fheumas tu a chur tron ​​VPN. IPan ceadaichte Bidh thu a’ co-dhùnadh am bu chòir dhut ath-stiùireadh iomlan no roghnach a dhèanamh gu aon no barrachd fho-lìonran.

# Redirección completa de Internet
[Peer]
AllowedIPs = 0.0.0.0/0

# Solo acceder a recursos de la LAN 192.168.1.0/24 por la VPN
[Peer]
AllowedIPs = 192.168.1.0/24

Tha caochlaidhean ann leithid tunaileadh sgoltadh cùil, air a shìoladh le URL no le aplacaid (tro leudachaidhean/luchd-dèiligidh sònraichte), ged a tha am bunait dhùthchasach ann an WireGuard fo smachd le IP agus ro-leasachain.

Co-chòrdalachd agus eag-shiostam

Rugadh WireGuard airson eithne Linux, ach an-diugh tha e àrd-ùrlar tarsainnBidh OPNsense ga amalachadh gu dùthchasach; chaidh pfSense a stad airson ùine airson sgrùdaidhean, agus chaidh a thabhann às deidh sin mar phacaid roghainneil a rèir an dreach.

Air NAS mar QNAP faodaidh tu a chuir suas tro QVPN no innealan brìgheil, a’ gabhail brath air NICan 10GbE gus astaran àrdaTha taic WireGuard air a bhith aig bùird router MikroTik bho RouterOS 7.x; anns na ciad dreachan aige, bha e ann am beta agus cha deach a mholadh airson cinneasachadh, ach tha e a’ leigeil le tunailean P2P eadar innealan agus eadhon luchd-dèiligidh deireannach.

Tha pasgan aig luchd-saothrachaidh mar Teltonika gus WireGuard a chur ris na routers aca; ma tha feum agad air uidheamachd, faodaidh tu an ceannach aig bùth.davantel.com agus lean stiùiridhean an neach-dèanamh airson an stàladh pacaidean a bharrachd.

Coileanadh agus dàil

Taing don dealbhadh as ìsle aige agus an taghadh de algairidhean èifeachdach, bidh WireGuard a’ coileanadh astaran glè àrd agus dàil ìosal, san fharsaingeachd nas fheàrr na L2TP/IPsec agus OpenVPN. Ann an deuchainnean ionadail le bathar-cruaidh cumhachdach, bidh an ìre fhèin gu tric dùbailte na tha aig na roghainnean eile, ga dhèanamh freagarrach airson sruthadh, geamannan no VoIP.

Buileachadh corporra agus obair-teil

Anns a’ ghnìomhachas, tha WireGuard freagarrach airson tunailean a chruthachadh eadar oifisean, ruigsinneachd iomallach do luchd-obrach, agus ceanglaichean tèarainte eadar CPD agus sgòth (m.e., airson cùl-taicean). Tha an co-chàradh goirid aige a’ dèanamh dreachdadh agus fèin-ghluasad furasta.

Bidh e ag amalachadh le clàran-stiùiridh leithid LDAP/AD a’ cleachdadh fuasglaidhean eadar-mheadhanach agus faodaidh e obrachadh còmhla ri àrd-ùrlaran IDS/IPS no NAC. Is e roghainn mòr-chòrdte a th’ ann PacaidFence (stòr fosgailte), a leigeas leat inbhe uidheamachd a dhearbhadh mus toir thu cothrom agus smachd a chumail air BYOD.

Windows/macOS: Notaichean agus Molaidhean

Mar as trice bidh an aplacaid oifigeil Windows ag obair gun duilgheadasan, ach ann an cuid de dhreachan de Windows 10 tha cùisean air a bhith ann nuair a thathar ga chleachdadh. CeadaichteIPs = 0.0.0.0/0 air sgàth còmhstri slighe. Mar roghainn eile sealach, bidh cuid de luchd-cleachdaidh a’ roghnachadh teachdaichean stèidhichte air WireGuard leithid TunSafe no a’ cuingealachadh AllowedIPs gu fo-lìonraidhean sònraichte.

Stiùireadh Tòiseachaidh Luath Debian le Iuchraichean Eisimpleir

Cruthaich iuchraichean airson an fhrithealaiche agus an neach-dèiligidh ann an /etc/wireguard/ agus cruthaich an eadar-aghaidh wg0. Dèan cinnteach nach eil na IPan VPN a’ freagairt ri IPan sam bith eile air an lìonra ionadail agad no air na teachdaichean agad.

cd /etc/wireguard/
wg genkey | tee claveprivadaservidor | wg pubkey > clavepublicaservidor
wg genkey | tee claveprivadacliente1 | wg pubkey > clavepublicacliente1

Frithealaiche wg0.conf le fo-lìonra 192.168.2.0/24 agus port 51820. Cuir PostUp/PostDown an comas ma tha thu airson fèin-ghluasad a dhèanamh. NAT'an le iptables nuair a bhios an eadar-aghaidh ga thogail/a’ fosgladh.

[Interface]
Address = 192.168.2.1/24
PrivateKey = <clave_privada_servidor>
ListenPort = 51820
#PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]
PublicKey = <clave_publica_cliente1>
AllowedIPs = 0.0.0.0/0

Neach-dèiligidh leis an t-seòladh 192.168.2.2, a’ comharrachadh gu ceann-uidhe poblach an fhrithealaiche agus le glèidhidh roghainneil ma tha NAT eadar-mheadhanach ann.

[Interface]
PrivateKey = <clave_privada_cliente1>
Address = 192.168.2.2/32

[Peer]
PublicKey = <clave_publica_servidor>
AllowedIPs = 0.0.0.0/0
Endpoint = <ip_publica_servidor>:51820
#PersistentKeepalive = 25

Tarraing suas an eadar-aghaidh agus coimhead fhad ‘s a tha an MTU, comharran slighe, agus comharra-fw agus riaghailtean poileasaidh sligheachaidh. Thoir sùil air toradh is inbhe wg-quick le taisbeanadh wg.

Mikrotik: tunail eadar RouterOS 7.x

Tha MikroTik air taic a thoirt do WireGuard bho RouterOS 7.x. Cruthaich eadar-aghaidh WireGuard air gach router, cuir an sàs e, agus thèid a chruthachadh gu fèin-ghluasadach. iuchraicheanSònraich IPan do Ether2 mar WAN agus wireguard1 mar eadar-aghaidh tunail.

Cuir air dòigh na co-aoisean le bhith a’ dol thairis air iuchair phoblach an fhrithealaiche air taobh an neach-dèiligidh agus a chaochladh, mìnich Seòladh Ceadaichte/IPan Ceadaichte (mar eisimpleir 0.0.0.0/0 (ma tha thu airson leigeil le stòr/ceann-uidhe sam bith tron ​​tunail) agus suidhich an ceann-uidhe iomallach leis a’ phort aige. Dearbhaidh ping chun IP tunail iomallach an crathadh-làimhe.

Ma cheanglas tu fònaichean-làimhe no coimpiutairean ris an tunail Mikrotik, dèan atharrachaidhean air na lìonraidhean ceadaichte gus nach fosgail iad barrachd air a tha riatanach; bidh WireGuard a’ co-dhùnadh sruthadh nam pacaidean stèidhichte air na tha thu ag iarraidh. Routing Cryptokey, agus mar sin tha e cudromach tùsan agus cinn-uidhe a mhaidseadh.

Crioptagrafaireachd air a chleachdadh

Bidh WireGuard a’ cleachdadh seata ùr-nodha de: Fuaim mar fhrèam-obrach, Curve25519 airson ECDH, ChaCha20 airson crioptachadh co-chothromach dearbhte le Poly1305, BLAKE2 airson hashing, SipHash24 airson clàran hash agus HKDF airson toirt a-mach iuchraicheanMa thèid algairim a chur à bith, faodar dreach den phròtacal atharrachadh gus gluasad gun fhiosta.

Buannachdan agus eas-bhuannachdan air fònaichean-làimhe

Le bhith ga chleachdadh air fònaichean sgairteil, faodaidh tu brobhsadh gu sàbhailte air Wi-Fi Poblach, falaich trafaic bhon t-solaraiche seirbheis eadar-lìn agad, agus ceangail ris an lìonra dachaigh agad gus faighinn gu NAS, fèin-ghluasad dachaigh, no geamannan. Air iOS/Android, chan eil atharrachadh lìonraidhean a’ toirt sìos an tunail, a tha a’ leasachadh an eòlais.

Mar eas-bhuannachdan, bidh thu a’ slaodadh beagan call astar agus barrachd dàil an taca ri toradh dìreach, agus tha thu an urra ris an fhrithealaiche a bhith an-còmhnaidh ri fhaotainnAch, an taca ri IPsec/OpenVPN, mar as trice bidh am peanas nas ìsle.

Bidh WireGuard a’ cothlamadh sìmplidheachd, astar, agus fìor thèarainteachd le lùb ionnsachaidh socair: stàlaich e, cruthaich iuchraichean, mìnich AllowedIPs, agus tha thu deiseil airson falbh. Cuir ris ath-sheòladh IP, NAT a tha air a chur an gnìomh gu math, aplacaidean oifigeil le còdan QR, agus co-chòrdalachd le eag-shiostaman mar OPNsense, Mikrotik, no Teltonika. VPN ùr-nodha airson cha mhòr suidheachadh sam bith, bho bhith a’ dèanamh tèarainte air lìonraidhean poblach gu bhith a’ ceangal prìomh oifisean agus a’ faighinn cothrom air na seirbheisean dachaigh agad gun cheann goirt.