Potpuni vodič za WireGuard: Instalacija, ključevi i napredna konfiguracija

Ako tražite a VPN koji je brz, siguran i jednostavan za implementaciju, WireGuard To je najbolje što danas možete koristiti. S minimalističkim dizajnom i modernom kriptografijom, idealan je za kućne korisnike, profesionalce i korporativna okruženja, kako na računalima tako i na mobilnim uređajima i usmjerivačima.

U ovom praktičnom vodiču pronaći ćete sve, od osnova do Napredna konfiguracijaInstalacija na Linuxu (Ubuntu/Debian/CentOS), ključevi, datoteke poslužitelja i klijenta, IP prosljeđivanje, NAT/zaštitni zid, aplikacije na Windowsima/macOS-u/Androidu/iOS-u, podijeljeno tuneliranje, performanse, rješavanje problema i kompatibilnost s platformama kao što su OPNsense, pfSense, QNAP, Mikrotik ili Teltonika.

Što je WireGuard i zašto ga odabrati?

WireGuard je VPN protokol i softver otvorenog koda dizajniran za stvaranje L3 šifrirani tuneli preko UDP-aIstiče se u usporedbi s OpenVPN-om ili IPsecom zbog svoje jednostavnosti, performansi i niže latencije, oslanjajući se na moderne algoritme kao što su Curve25519, ChaCha20-Poly1305, BLAKE2, SipHash24 i HKDF.

Njegova kodna baza je vrlo mala (oko tisuće redaka), što olakšava revizije, smanjuje površinu napada i poboljšava održavanje. Također je integriran u Linux kernel, omogućujući visoke stope prijenosa i agilan odziv čak i na skromnoj hardverskoj opremi.

 

Višeplatformski je: postoje službene aplikacije za Windows, macOS, Linux, Android i iOS, i podršku za sustave orijentirane na usmjerivače/vatrozide poput OPNsensea. Također je dostupan za okruženja poput FreeBSD-a, OpenBSD-a i NAS-a te platforme za virtualizaciju.

Kako funkcionira iznutra

 

WireGuard uspostavlja šifrirani tunel između peerova (vršnjaci) identificirani ključevima. Svaki uređaj generira par ključeva (privatni/javni) i dijeli samo svoj javni ključ s drugim krajem; od tamo se sav promet šifrira i autentificira.

Direktiva Dopušteni IP-ovi Definira i odlazno usmjeravanje (koji promet treba prolaziti kroz tunel) i popis valjanih izvora koje će udaljeni peer prihvatiti nakon uspješnog dešifriranja paketa. Ovaj pristup poznat je kao Usmjeravanje kriptoključa i uvelike pojednostavljuje prometnu politiku.

WireGuard je odličan s Roaming- Ako se IP adresa vašeg klijenta promijeni (npr. pređete s Wi-Fi mreže na 4G/5G), sesija se transparentno i vrlo brzo ponovno uspostavlja. Također podržava prekidač za gašenje blokirati promet iz tunela ako VPN padne.

Instalacija na Linuxu: Ubuntu/Debian/CentOS

Na Ubuntuu je WireGuard dostupan u službenim repozitorijima. Ažurirajte pakete, a zatim instalirajte softver kako biste dobili modul i alate. wg i wg-brzo.

apt update && apt upgrade -y
apt install wireguard -y
modprobe wireguard

U stabilnom Debianu možete se osloniti na repozitorije nestabilnih grana ako je potrebno, slijedeći preporučenu metodu i uz briga u proizvodnji:

sudo sh -c 'echo deb https://deb.debian.org/debian/ unstable main > /etc/apt/sources.list.d/unstable.list'
sudo sh -c 'printf "Package: *\nPin: release a=unstable\nPin-Priority: 90\n" > /etc/apt/preferences.d/limit-unstable'
sudo apt update
sudo apt install wireguard

U CentOS-u 8.3 tijek je sličan: aktivirate EPEL/ElRepo repozitorije ako je potrebno, a zatim instalirate paket. WireGuard i odgovarajući moduli.

Generiranje ključeva

Svaki vršnjak mora imati svog par privatnog/javnog ključaPrimijenite umask za ograničavanje dozvola i generiranje ključeva za poslužitelj i klijente.

umask 077
wg genkey | tee privatekey | wg pubkey > publickey

Ponovite na svakom uređaju. Nikada ne dijelite privatni ključ i spremite oboje na sigurno. Ako želite, stvorite datoteke s različitim nazivima, na primjer poslužitelj privatnih ključeva y javni ključ poslužitelja.

Konfiguracija poslužitelja

Napravite glavnu datoteku u /etc/wireguard/wg0.confDodijelite VPN podmrežu (ne koristi se na vašoj stvarnoj LAN mreži), UDP port i dodajte blok [Vršnjak] po ovlaštenom kupcu.

[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = <clave_privada_servidor>

# Cliente 1
[Peer]
PublicKey = <clave_publica_cliente1>
AllowedIPs = 10.0.0.2/32

Također možete koristiti drugu podmrežu, na primjer 192.168.2.0/24i rasti s više vršnjaka. Za brza postavljanja uobičajeno je koristiti wg-brzo s datotekama wgN.conf.

Konfiguracija klijenta

Na klijentu kreirajte datoteku, na primjer wg0-client.conf, s njegovim privatnim ključem, adresom tunela, opcionalnim DNS-om i serverskim peerom s njegovom javnom krajnjom točkom i portom.

[Interface]
PrivateKey = <clave_privada_cliente>
Address = 10.0.0.2/24
DNS = 8.8.8.8

[Peer]
PublicKey = <clave_publica_servidor>
Endpoint = <ip_publica_servidor>:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25

Ako stavite Dopušteni IP-ovi = 0.0.0.0/0 Sav promet će prolaziti kroz VPN; ako želite dosegnuti samo određene serverske mreže, ograničite ga na potrebne podmreže i smanjit ćete skrivenost i potrošnja.

IP prosljeđivanje i NAT na poslužitelju

Omogućite prosljeđivanje kako bi klijenti mogli pristupiti internetu putem poslužitelja. Primijenite promjene u hodu pomoću sysctl.

echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf
echo 'net.ipv6.conf.all.forwarding=1' >> /etc/sysctl.conf
sysctl -p

Konfigurirajte NAT s iptablesima za VPN podmrežu, postavljajući WAN sučelje (na primjer, eth0):

iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADE

Učinite to trajnim s odgovarajućim paketima i pravilima spremanja koja će se primijeniti prilikom ponovnog pokretanja sustava.

apt install -y iptables-persistent netfilter-persistent
netfilter-persistent save

Pokretanje i provjera

Otvorite sučelje i omogućite servisu da se pokrene sa sustavom. Ovaj korak stvara virtualno sučelje i dodaje rutas potrebno.

systemctl start wg-quick@wg0
systemctl enable wg-quick@wg0
wg

s wg Vidjet ćete peerove, ključeve, prijenose i vremena zadnjeg rukovanja. Ako su pravila vašeg vatrozida restriktivna, dopustite ulaz kroz sučelje. wg0 i UDP port usluge:

iptables -I INPUT 1 -i wg0 -j ACCEPT

Službene aplikacije: Windows, macOS, Android i iOS

Na radnoj površini možete uvesti .conf datotekaNa mobilnim uređajima aplikacija vam omogućuje stvaranje sučelja iz QR kod sadrži konfiguraciju; vrlo je praktično za korisnike koji nisu tehnički potkovani.

Ako vam je cilj izložiti samostalno hostane usluge kao što su Plex/Radar/Sonar Putem VPN-a jednostavno dodijelite IP adrese u WireGuard podmreži i prilagodite AllowedIPs kako bi klijent mogao dosegnuti tu mrežu; ne morate otvarati dodatne portove prema van ako je sav pristup putem... tunel.

Prednosti i nedostaci

WireGuard je vrlo brz i jednostavan, ali važno je uzeti u obzir njegova ograničenja i specifičnosti ovisno o slučaju upotrebe. Evo uravnoteženog pregleda najpopularnijih relevantan.

Prednost	Nedostaci
Jasna i kratka konfiguracija, idealna za automatizaciju	Ne uključuje izvorno zamagljivanje prometa
Visoke performanse i niska latencija čak i u mobilan	U nekim starijim okruženjima postoji manje naprednih opcija
Moderna kriptografija i mali kod koji olakšava revizija	Privatnost: Povezivanje IP-a/javnog ključa može biti osjetljivo ovisno o pravilima
Besprijekorni roaming i kill switch dostupni su na klijentima	Kompatibilnost s trećim stranama nije uvijek homogena

 

Podijeljeno tuneliranje: usmjeravanje samo onoga što je potrebno

Podijeljeno tuneliranje omogućuje vam slanje samo prometa koji vam je potreban putem VPN-a. S Dopušteni IP-ovi Vi odlučujete hoćete li izvršiti potpuno ili selektivno preusmjeravanje na jednu ili više podmreža.

# Redirección completa de Internet
[Peer]
AllowedIPs = 0.0.0.0/0

# Solo acceder a recursos de la LAN 192.168.1.0/24 por la VPN
[Peer]
AllowedIPs = 192.168.1.0/24

Postoje varijante kao što je obrnuto podijeljeno tuneliranje, filtrirano po URL ili putem aplikacije (putem specifičnih ekstenzija/klijenata), iako je izvorna osnova u WireGuardu kontrola putem IP-a i prefiksa.

Kompatibilnost i ekosustav

WireGuard je nastao za Linux kernel, ali danas je... križna platformaOPNsense ga integrira izvorno; pfSense je privremeno ukinut zbog revizija, a naknadno je ponuđen kao opcionalni paket ovisno o verziji.

Na NAS-u poput QNAP-a možete ga montirati putem QVPN-a ili virtualnih strojeva, koristeći prednosti 10GbE NIC-ova za velike brzineMikroTik usmjerivači imaju ugrađenu podršku za WireGuard od RouterOS-a 7.x; u svojim ranim iteracijama bio je u beta verziji i nije se preporučivao za produkciju, ali omogućuje P2P tunele između uređaja, pa čak i krajnjih klijenata.

Proizvođači poput Teltonike imaju paket za dodavanje WireGuarda svojim ruterima; ako vam je potrebna oprema, možete je kupiti na shop.davantel.com i slijedite upute proizvođača za ugradnju paketi Dodatni.

Performanse i latencija

Zahvaljujući minimalističkom dizajnu i izboru učinkovitih algoritama, WireGuard postiže vrlo velike brzine i niske latencije, općenito superiorniji od L2TP/IPsec i OpenVPN-a. U lokalnim testovima s moćnim hardverom, stvarna brzina je često dvostruko veća od alternativa, što ga čini idealnim za streaming, igranje ili VoIP.

Korporativna implementacija i rad na daljinu

U poduzeću je WireGuard prikladan za stvaranje tunela između ureda, udaljeni pristup zaposlenika i sigurne veze između... CPD i oblak (npr. za sigurnosne kopije). Njegova koncizna sintaksa olakšava verzioniranje i automatizaciju.

Integrira se s direktorijima kao što su LDAP/AD koristeći posrednička rješenja i može koegzistirati s IDS/IPS ili NAC platformama. Popularna opcija je PacketFence (otvorenog koda), što vam omogućuje provjeru statusa opreme prije odobravanja pristupa i kontrole BYOD-a.

Windows/macOS: Napomene i savjeti

Službena Windows aplikacija obično radi bez problema, ali u nekim verzijama sustava Windows 10 bilo je problema prilikom korištenja Dopušteni IP-ovi = 0.0.0.0/0 zbog sukoba ruta. Kao privremenu alternativu, neki korisnici se odlučuju za klijente temeljene na WireGuardu poput TunSafea ili ograničavaju AllowedIP-ove na određene podmreže.

Debian vodič za brzi početak s primjerima ključeva

Generiraj ključeve za poslužitelj i klijenta u /etc/wireguard/ i stvorite wg0 sučelje. Provjerite da se VPN IP adrese ne podudaraju s drugim IP adresama na vašoj lokalnoj mreži ili vašim klijentima.

cd /etc/wireguard/
wg genkey | tee claveprivadaservidor | wg pubkey > clavepublicaservidor
wg genkey | tee claveprivadacliente1 | wg pubkey > clavepublicacliente1

wg0.conf poslužitelj s podmrežom 192.168.2.0/24 i portom 51820. Omogućite PostUp/PostDown ako želite automatizirati NAT s iptablesima prilikom pokretanja/zatvaranja sučelja.

[Interface]
Address = 192.168.2.1/24
PrivateKey = <clave_privada_servidor>
ListenPort = 51820
#PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]
PublicKey = <clave_publica_cliente1>
AllowedIPs = 0.0.0.0/0

Klijent s adresom 192.168.2.2, koji pokazuje na javnu krajnju točku poslužitelja i s držati na životu opcionalno ako postoji međuprelazni NAT.

[Interface]
PrivateKey = <clave_privada_cliente1>
Address = 192.168.2.2/32

[Peer]
PublicKey = <clave_publica_servidor>
AllowedIPs = 0.0.0.0/0
Endpoint = <ip_publica_servidor>:51820
#PersistentKeepalive = 25

Otvorite sučelje i gledajte kako se MTU, oznake rute i oznaka za početak i pravila politike usmjeravanja. Pregledajte wg-quick izlaz i status s wg show.

Mikrotik: tunel između RouterOS 7.x

MikroTik podržava WireGuard od RouterOS-a 7.x. Napravite WireGuard sučelje na svakom ruteru, primijenite ga i ono će se automatski generirati. ključeviDodijelite IP adrese Ether2 kao WAN i Wireguard1 kao sučelje tunela.

Konfigurirajte peerove križanjem javnog ključa poslužitelja na strani klijenta i obrnuto, definirajte dopuštene adrese/dopuštene IP-ove (na primjer 0.0.0.0/0 ako želite dopustiti bilo koji izvor/odredište kroz tunel) i postavite udaljenu krajnju točku s njezinim portom. Ping na IP adresu udaljenog tunela potvrdit će rukovanje.

Ako spajate mobilne telefone ili računala na Mikrotik tunel, fino podesite dopuštene mreže kako se ne bi otvaralo više nego što je potrebno; WireGuard odlučuje o protoku paketa na temelju vaših Usmjeravanje kriptoključa, stoga je važno uskladiti polazišta i odredišta.

Korištena kriptografija

WireGuard koristi moderan skup: Buka kao okvir, Curve25519 za ECDH, ChaCha20 za autentificirano simetrično šifriranje s Poly1305, BLAKE2 za hashiranje, SipHash24 za hash tablice i HKDF za derivaciju ključeviAko je algoritam zastario, protokol se može verzionirati za besprijekornu migraciju.

Prednosti i mane na mobitelu

Korištenjem na pametnim telefonima možete sigurno pregledavati Javni Wi-Fi, sakrijte promet od svog davatelja internetskih usluga i povežite se s kućnom mrežom za pristup NAS-u, kućnoj automatizaciji ili igranju igara. Na iOS-u/Androidu, promjena mreže ne prekida tunel, što poboljšava iskustvo.

Kao nedostatke, povlačite određeni gubitak brzine i veću latenciju u usporedbi s izravnim izlazom, te ovisite o tome da je poslužitelj uvijek aktivan. dostupanMeđutim, u usporedbi s IPsec/OpenVPN-om, kazna je obično niža.

WireGuard kombinira jednostavnost, brzinu i stvarnu sigurnost s laganom krivuljom učenja: instalirajte ga, generirajte ključeve, definirajte dopuštene IP adrese i spremni ste za korištenje. Dodajte prosljeđivanje IP adresa, dobro implementiran NAT, službene aplikacije s QR kodovima i kompatibilnost s ekosustavima poput OPNsensea, Mikrotika ili Teltonike. moderni VPN za gotovo svaki scenarij, od osiguranja javnih mreža do povezivanja sjedišta i pristupa kućnim uslugama bez glavobolja.