Kako koristiti WireGuard: instalacija, konfiguracija i sigurnost

WireGuard nudi visoke performanse i nisku latenciju s modernom kriptografijom i jednostavnim postavljanjem.
Podržava roaming, kill-switching i split-tunneling, idealan za mobilnost i siguran pristup mreži.
Homogena i višeplatformska konfiguracija s jasnim upravljanjem ključevima i pravilima NAT/zaštitnog zida.
U poslovnim okruženjima integrira se s NAC-om, IDS-om/IPS-om i direktorijima za kontrolirani pristup.

Tražite li VPN koji je brz, siguran i koji vas neće tjerati da izgubite strpljenje beskrajnim konfiguracijama? WireGuard To je jedna od najboljih opcija. Ovaj moderni protokol daje prioritet jednostavnosti i najsuvremenijoj kriptografiji, što svima olakšava postavljanje sigurnog tunela.

Osim što vas štiti na javnim mrežama i omogućuje vam pristup vašoj kućnoj ili poslovnoj mreži, VPN pomaže u zaobilaženju geoblokada i cenzureS WireGuardom, ta dodatna privatnost i performanse dolaze s iznenađujuće jednostavnim postupkom postavljanja, kako na računalima tako i na mobilnim uređajima.

WireGuard ukratko

WireGuard je vpn softver otvorenog koda orijentiran na sloj 3 (L3) koji Koristi isključivo UDP i modernu kriptografiju prema zadanim postavkama.Njegova glavna prednost je minimalistički dizajn s vrlo malo linija koda, što olakšava revizije, smanjuje površinu napada i poboljšava performanse.

Za razliku od onoga što nude drugi VPN-ovi, ovdje ne birate desetke algoritama ili faza; WireGuard definira koherentni kriptografski "paket"Ako se algoritam ukine, objavljuje se nova verzija i klijenti/poslužitelji transparentno pregovaraju o nadogradnji.

Ovaj protokol uvijek radi u tunelskom načinu rada i Podržava IPv4 i IPv6 (po potrebi enkapsulirajući jedan unutar drugog)Da biste ga koristili, morat ćete otvoriti UDP port (konfigurabilan) na usmjerivaču prema poslužitelju.

Kompatibilnost i podrška

U svijetu zaštitnih zidova, OPNsense integrira WireGuard u kernel kako bi se maksimizirala brzina. pfSense je imao svoje uspone i padove: pojavio se u verziji 2.5.0, uklonjen je u verziji 2.5.1 zbog sigurnosnih nedostataka i Danas se može instalirati kao paket upravlja se s web sučelja.

Korištena kriptografija

WireGuard se oslanja na skup modernih i visoko revidiranih algoritama: Okvir protokola za šum, Curve25519, ChaCha20, Poly1305, BLAKE2, SipHash i HKDFŠifriranje podataka koristi ChaCha20-Poly1305 (AEAD), s ECDH izmjenom na Curve25519 i derivacijom ključa pomoću HKDF-a.

Ovaj pristup izbjegava miješanje različitih paketa i smanjuje pogreške u konfiguracijiTakođer pojednostavljuje rješavanje problema, budući da svi čvorovi govore istim kriptografskim jezikom.

Ekskluzivan sadržaj - Kliknite ovdje kako deblokirati facebook na računalu

Performanse i latencija

Minimalistička implementacija i integracija niske razine omogućuju vrlo velike brzine i vrlo niske latencijeU stvarnim usporedbama s L2TP/IPsec i OpenVPN-om, WireGuard obično izlazi na vrh, često udvostručujući propusnost na istom hardveru.

Na nestabilnim ili mobilnim mrežama, Obnavljanje sesije je brzo A ponovno povezivanje nakon promjena mreže (roaming) je jedva primjetno. Na uređajima s ograničenim resursima (usmjerivači, IoT uređaji), niska potrošnja energije čini veliku razliku, štedeći snagu procesora i baterije.

žičani čuvar

Brza instalacija na Linuxu

U modernim distribucijama, WireGuard je već dostupan u stabilnim repozitorijima. Na Debianu/Ubuntuu ga jednostavno instalirajte. ažurirajte i instalirajte službeni paketU drugima ćete možda trebati dodati repozitorije ili aktivirati modul kernela.

sudo apt update && sudo apt upgrade -y
sudo apt install wireguard -y
sudo modprobe wireguard

Ako koristite granu koja ga nema u "stable", mogli biste se poslužiti repozitorijima "unstable/testing" pod kontrolom prioriteta, iako Idealno bi bilo da ga preuzmete iz stabilnog repozitorija. vaše distribucije kada postane dostupna.

Generiranje ključeva

Svaki uređaj (poslužitelj i klijent) treba svoj vlastiti par ključeva. Držite privatnu sobu zaključanu. i dijeli samo javni s vršnjakom.

umask 077
wg genkey | tee privatekey | wg pubkey > publickey

Postupak možete ponoviti za svakog klijenta i pratiti ga po imenu. izbjegavanje zabune među vršnjacima kako vaša implementacija raste.

Konfiguracija poslužitelja

Tipična datoteka je /etc/wireguard/wg0.confU ovom odjeljku definirate VPN IP adresu, privatni ključ i UDP port. U svakom odjeljku dodajete klijenta, dopuštajući njegov javni ključ i autorizirane IP adrese.


Address = 192.168.2.1/24
ListenPort = 51820
PrivateKey = <clave_privada_servidor>
# Ejemplo de NAT automátizado con PostUp/PostDown, si lo necesitas
#PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE


PublicKey = <clave_publica_cliente1>
AllowedIPs = 192.168.2.2/32

# Añade más peers según necesites
#
#PublicKey = <clave_publica_cliente2>
#AllowedIPs = 192.168.2.3/32

Ako želite dopustiti bilo koju IP adresu klijenta i upravljati rutama zasebno, možete koristiti Dopušteni IP-ovi = 0.0.0.0/0 U peer okruženjima, ali i u kontroliranim okruženjima, bolje je dodijeliti /32 po klijentu radi sljedivosti.

Konfiguracija klijenta

La odjeljak U VPN-u nosi privatni ključ i svoju IP adresu; javni ključ poslužitelja, njegovu krajnju točku i politiku usmjeravanja.


PrivateKey = <clave_privada_cliente>
Address = 192.168.2.2/32
DNS = 1.1.1.1


PublicKey = <clave_publica_servidor>
Endpoint = <IP_publica_servidor>:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25

El TrajnoKeepalive (25) Ovo pomaže ako se klijent nalazi iza NAT-a/zaštitnih zidova koji blokiraju neaktivna mapiranja. AllowedIPs definira hoćete li sav promet usmjeravati kroz VPN (0.0.0.0/0) ili samo određene podmreže.

Ekskluzivan sadržaj - Kliknite ovdje Kupujete na Amazonu? Ovo su najčešći napadi o kojima biste trebali znati

NAT, prosljeđivanje i vatrozid

Da biste omogućili klijentima pristup internetu putem poslužitelja, morate omogući IP prosljeđivanje i primijenite NAT na WAN sučelju.

echo "net.ipv4.ip_forward=1" | sudo tee -a /etc/sysctl.conf
echo "net.ipv6.conf.all.forwarding=1" | sudo tee -a /etc/sysctl.conf
sudo sysctl -p

sudo iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j MASQUERADE

Ako su pravila vašeg vatrozida restriktivna, dopušta promet na wg0 sučelju i otvorite odabrani UDP port na vatrozidu/NAT usmjerivaču.

sudo iptables -I INPUT 1 -i wg0 -j ACCEPT

Za prikaz sučelja i omogućavanje usluge pri pokretanju: wg-quick i systemd Ostavljaju to na autopilotu za vas.

sudo wg-quick up wg0
sudo systemctl enable wg-quick@wg0

Roaming, Kill-Switch i mobilnost

WireGuard je dizajniran za svakodnevnu mobilnu upotrebu: Ako prebacite s Wi-Fi mreže na 4G/5G, tunel se ponovno uspostavlja u trenu.Nećete primijetiti nikakve ozbiljne prekide prilikom promjene mreže.

Osim toga, možete omogućiti ubojiti prekidač (ovisno o platformi ili aplikaciji) tako da, ako VPN padne, sustav blokira promet dok se ne obnovi, sprječavajući slučajna curenja.

Split-tunneling

Podijeljeni tunel vam omogućuje da odlučite Koji promet putuje kroz VPN, a koji ide direktno van?Korisno za održavanje niske latencije u igre ili videopozive prilikom pristupanja internim resursima kroz tunel.

Dva tipična primjera konfiguracije na klijentu, korištenjem direktive AllowedIPs:

# Redirección total por la VPN

PublicKey = <clave_publica_servidor>
AllowedIPs = 0.0.0.0/0
Endpoint = <IP_publica_servidor>:51820

# Solo la LAN remota (por ejemplo, 192.168.1.0/24) a través de la VPN

PublicKey = <clave_publica_servidor>
AllowedIPs = 192.168.1.0/24
Endpoint = <IP_publica_servidor>:51820

To smanjuje utjecaj na brzinu/latenciju i Optimizirate iskustvo za ono što stvarno trebate zaštititi.

Prednosti i nedostaci WireGuarda

U KORISTbrzina, niska latencija, jednostavnost, moderna kriptografija, smanjena potrošnja resursa i mala kodna baza koja olakšava revizije.
PROTIV: Podrška u nekim naslijeđenim ekosustavima je manje zrela nego kod IPsec/OpenVPN-a, ima ograničenije napredne značajke (skripte i izvorno maskiranje) i razmatranja privatnosti jer su javni ključevi povezani s internim IP adresama tunela.

Podrška za vatrozidove, NAS i QNAP

U uređajima tipa vatrozida, OPNsense integrira WireGuard s ubrzanjem kernela. U pfSenseu, dok čekate stabilnu integraciju, možete instalirati paket i njime praktično upravljati iz grafičkog korisničkog sučelja.

Ekskluzivan sadržaj - Kliknite ovdje Praktična rješenja za oporavak BIOS lozinke

Na QNAP NAS-u, putem QVPN 2, Možete postaviti L2TP/IPsec, OpenVPN i WireGuard servere....i čak virtualizirati Debian ako želite podesiti OpenVPN s AES-GCM-om ili mjeriti s iperf3. U testovima s moćnim hardverom (kao što je QNAP s Ryzen 7 i 10GbE) i 10GbE klijentom, WireGuard je udvostručio performanse u odnosu na L2TP/IPsec ili OpenVPN u istom lokalnom okruženju.

WireGuard na mobilnim uređajima: snage i slabosti

Na iOS-u i Androidu, službena aplikacija omogućuje jednostavno prebacivanje između mreža. Velika prednost: Sigurno pregledavanje na javnoj Wi-Fi mreži iz hotela ili zračnih luka i sakriti promet od svog davatelja internetskih usluga. Nadalje, ako postavite vlastiti poslužitelj, možete pristupiti svom domu ili poslovnom prostoru kao da ste stvarno tamo.

Logičan pandan je taj Dodaje se određena latencija i brzina neznatno padaposebno ako preusmjeravate sav promet. Međutim, WireGuard je među protokolima koji najviše troše bateriju i performanse. Pogledajte i preporuke za Android ako je vaša kutija mobilna.

Instalirajte i koristite na drugim platformama

Na macOS-u, Windowsu, Androidu i iOS-u imate službene aplikacije; sve što trebate učiniti je uvezite .conf datoteku ili skenirajte QR kod generirano iz vašeg upravitelja konfiguracije. Postupak je gotovo identičan onome u Linuxu.

Ako ćete ga postaviti na VPS, imajte na umu dobre prakse: ažuriraj sustav, omogući vatrozidOgraničite WireGuard UDP port na dopuštene IP adrese ako je izvedivo i rotirajte ključeve kada to zahtijeva vaša politika.

Verifikacija i dijagnoza

Da biste potvrdili da je sve u redu, naslonite se na wg i wg-brzoVidjet ćete rukovanja, prenesene bajtove i vrijeme od posljednje zamjene.

wg
wg show

Ako nema povezivosti, provjerite: sistemske rute, NAT, otvoreni UDP port na usmjerivaču i da su krajnja točka i ključevi za svakog peer-a ispravni. Ping na IP adresu poslužitelja na VPN-u obično je prvi koristan test.

S jednostavnim pristupom, modernom kriptografijom i zamjetnim performansama, WireGuard je zaslužio svoje mjesto kao preferirani VPN Za kućne korisnike i tvrtke. Instalacija je jednostavna, upravljanje praktično, a raspon upotrebe (udaljeni pristup, od lokacije do lokacije, sigurna mobilnost ili podijeljeno tuneliranje) odgovara gotovo svakom scenariju. Dodajte dobre sigurnosne prakse, dobro podešen vatrozid i osnovni nadzor i imat ćete brz, stabilan i vrlo teško probojan tunel.

Daniel Terrasa

Urednik specijaliziran za pitanja tehnologije i interneta s više od deset godina iskustva u različitim digitalnim medijima. Radio sam kao urednik i kreator sadržaja za tvrtke koje se bave e-trgovinom, komunikacijom, internetskim marketingom i oglašavanjem. Pisao sam i na web stranicama o ekonomiji, financijama i drugim sektorima. Moj posao je također moja strast. Sada, kroz moje članke u Tecnobits, nastojim istražiti sve novosti i nove mogućnosti koje nam svijet tehnologije svakodnevno nudi za poboljšanje života.