Gid WireGuard: Enstalasyon ak Konfigirasyon Etap pa Etap

Achitekti senp ak chifreman modèn: kle pou chak kanmarad ak AllowedIPs pou routage.
Enstalasyon rapid sou Linux ak aplikasyon ofisyèl pou òdinatè ak mobil.
Pèfòmans siperyè pase IPsec/OpenVPN, ak itinérance ak latans ki ba.

Si ou ap chèche pou yon VPN ki rapid, an sekirite epi fasil pou deplwaye, WireGuard Se pi bon bagay ou ka itilize jodi a. Avèk yon konsepsyon minimalist ak yon kriptografi modèn, li ideyal pou itilizatè lakay, pwofesyonèl, ak anviwònman antrepriz, ni sou òdinatè ni sou aparèy mobil ak routeurs.

Nan gid pratik sa a, ou pral jwenn tout bagay, depi nan baz yo rive nan Avanse konfigirasyonEnstalasyon sou Linux (Ubuntu/Debian/CentOS), kle, fichye sèvè ak kliyan, redireksyon IP, NAT/Firewall, aplikasyon sou Windows/macOS/Android/iOS, fann tinèl, pèfòmans, depanaj, ak konpatibilite ak platfòm tankou OPNsense, pfSense, QNAP, Mikrotik oswa Teltonika.

Ki sa WireGuard ye e poukisa ou ta dwe chwazi li?

WireGuard se yon pwotokòl VPN sous ouvè ak yon lojisyèl ki fèt pou kreye Tinèl chiffres L3 sou UDPLi diferan de OpenVPN oubyen IPsec poutèt senplisite li, pèfòmans li ak latans ki pi ba, li baze sou algoritm modèn tankou Curve25519, ChaCha20-Poly1305, BLAKE2, SipHash24 ak HKDF.

Baz kòd li a piti anpil (anviwon plizyè milye liy), ki fasilite odit, diminye sifas atak epi amelyore antretyen. Li entegre tou nan nwayo Linux la, sa ki pèmèt gwo pousantaj transfè ak repons ajil menm sou pyès ki nan konpitè modès.

Li miltiplatfòm: gen aplikasyon ofisyèl pou Windows, macOS, Linux, andwad ak iOS, ak sipò pou sistèm oryante routeur/pare-feu tankou OPNsense. Li disponib tou pou anviwònman tankou FreeBSD, OpenBSD, ak NAS ak platfòm vityalizasyon.

Kijan li fonksyone anndan

WireGuard etabli yon tinèl chiffres ant kanmarad yo (kamarad klas) idantifye pa kle yo. Chak aparèy jenere yon pè kle (prive/piblik) epi pataje sèlman kle li yo kle piblik ak lòt bout la; apati de la, tout trafik la chiffres epi otantifye.

Directive AllowedIPs Defini tou de routaj sortan an (ki trafik ki ta dwe pase nan tinèl la) ak lis sous valab ke kanmarad a distans lan pral aksepte apre li fin dekripte yon pake avèk siksè. Apwòch sa a ke yo rekonèt kòm Cryptokey Routage epi li senplifye politik trafik la anpil.

WireGuard ekselan ak la Itinérance- Si IP kliyan ou an chanje (pa egzanp, ou chanje soti nan Wi-Fi pou ale nan 4G/5G), sesyon an retabli yon fason transparan e trè rapid. Li sipòte tou switch pou touye moun pou bloke trafik k ap soti nan tinèl la si VPN lan tonbe.

Enstalasyon sou Linux: Ubuntu/Debian/CentOS

Sou Ubuntu, WireGuard disponib nan depo ofisyèl yo. Mete pakè yo ajou epi enstale lojisyèl la pou jwenn modil la ak zouti yo. wg ak wg-rapid.

apt update && apt upgrade -y
apt install wireguard -y
modprobe wireguard

Nan Debian ki estab, ou ka konte sou depo branch ki pa estab si ou bezwen, swiv metòd rekòmande a epi avèk... swen nan pwodiksyon:

sudo sh -c 'echo deb https://deb.debian.org/debian/ unstable main > /etc/apt/sources.list.d/unstable.list'
sudo sh -c 'printf "Package: *\nPin: release a=unstable\nPin-Priority: 90\n" > /etc/apt/preferences.d/limit-unstable'
sudo apt update
sudo apt install wireguard

Nan CentOS 8.3, pwosesis la sanble: ou aktive repozitwa EPEL/ElRepo yo si sa nesesè epi answit ou enstale pake a. WireGuard ak modil ki koresponn yo.

Kontni eksklizif - Klike la a Ki jan yo efase done òdinatè pou reyèl

Jenerasyon kle

Chak kanmarad dwe gen pwòp pa li pè kle prive/piblikAplike umask pou limite pèmisyon yo epi jenere kle pou sèvè a ak kliyan yo.

umask 077
wg genkey | tee privatekey | wg pubkey > publickey

Repete sou chak aparèy. Pa janm pataje kle prive epi sove tou de san danje. Si ou prefere, kreye fichye ak non diferan, pa egzanp sèvè kle prive y kle sèvè piblik.

Konfigirasyon sèvè

Kreye dosye prensipal la nan /etc/wireguard/wg0.confBay yon sou-rezo VPN (ki pa itilize sou LAN reyèl ou a), pò UDP a epi ajoute yon blòk. [Kanmarad] pou chak kliyan otorize.

[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = <clave_privada_servidor>

# Cliente 1
[Peer]
PublicKey = <clave_publica_cliente1>
AllowedIPs = 10.0.0.2/32

Ou kapab itilize yon lòt sou-rezo tou, pa egzanp 192.168.2.0/24, epi grandi avèk plizyè kanmarad. Pou deplwaman rapid, li komen pou itilize wg-rapid avèk fichye wgN.conf yo.

Konfigirasyon kliyan an

Sou kliyan an kreye yon dosye, pa egzanp wg0-kliyan.konf, avèk kle prive li, adrès tinèl li, DNS opsyonèl li, epi kanmarad sèvè a ak pwen final piblik li ak pò li.

[Interface]
PrivateKey = <clave_privada_cliente>
Address = 10.0.0.2/24
DNS = 8.8.8.8

[Peer]
PublicKey = <clave_publica_servidor>
Endpoint = <ip_publica_servidor>:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25

Si ou mete AllowedIPs = 0.0.0.0/0 Tout trafik la ap pase nan VPN lan; si ou sèlman vle rive nan rezo sèvè espesifik, limite li nan sou-rezo ki nesesè yo epi ou pral diminye latansi ak konsomasyon.

Redireksyon IP ak NAT sou sèvè a

Aktive redireksyon an pou kliyan yo ka jwenn aksè a Entènèt la atravè sèvè a. Aplike chanjman yo sou plas avèk sysctl.

echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf
echo 'net.ipv6.conf.all.forwarding=1' >> /etc/sysctl.conf
sysctl -p

Konfigire NAT ak iptables pou sou-rezo VPN lan, mete koòdone WAN an (pa egzanp, eth0):

iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADE

Fè li pèsistan avèk pakè ki apwopriye yo epi sove règ yo pou aplike lè sistèm nan rdemare.

apt install -y iptables-persistent netfilter-persistent
netfilter-persistent save

Demaraj ak verifikasyon

Louvri koòdone nan epi pèmèt sèvis la kòmanse ak sistèm nan. Etap sa a kreye koòdone vityèl la epi ajoute wout yo nesesè.

systemctl start wg-quick@wg0
systemctl enable wg-quick@wg0
wg

ak wg W ap wè kanmarad yo, kle yo, transfè yo, ak dènye lè koneksyon an te fèt. Si règleman pare-feu ou a restriksyon, pèmèt antre nan koòdone nan. wg0 ak pò UDP sèvis la:

iptables -I INPUT 1 -i wg0 -j ACCEPT

Aplikasyon ofisyèl yo: Windows, macOS, Android, ak iOS

Sou òdinatè a ou ka enpòte yon Fichye .confSou aparèy mobil yo, aplikasyon an pèmèt ou kreye koòdone a apati de yon Kr kòd ki gen konfigirasyon an; li trè pratik pou kliyan ki pa teknik.

Si objektif ou se ekspoze sèvis oto-òganize tankou Plex/Radar/Sonar Atravè VPN ou a, tou senpleman bay adrès IP nan sou-rezo WireGuard la epi ajiste AllowedIPs yo pou kliyan an ka rive jwenn rezo sa a; ou pa bezwen louvri pò adisyonèl sou deyò a si tout aksè a fèt atravè... tinèl.

Avantaj ak enkonvenyan

WireGuard trè rapid e senp, men li enpòtan pou konsidere limit ak espesifikasyon li yo selon ka itilizasyon an. Men yon apèsi ekilibre sou pi bon yo. enpòtan.

Kontni eksklizif - Klike la a Kouman mwen ka evalye efikasite Intego Mac Sekirite Entènèt?

avantaj	dezavantaj
Konfigirasyon klè ak kout, ideyal pou automatisation	Pa enkòpore obfuskasyon trafik natif natal
Segondè pèfòmans ak ba latans menm nan mobil	Nan kèk anviwònman ansyen, gen mwens opsyon avanse.
Kriptografi modèn ak ti kòd ki fè li fasil kontwòl kontab	Konfidansyalite: Asosyasyon IP/kle piblik la ka sansib selon règleman yo.
Itinérance san pwoblèm ak switch pou touye moun disponib sou kliyan yo	Konpatibilite twazyèm pati pa toujou omojèn

Tinèl divize: dirije sèlman sa ki nesesè

Tinèl divize a pèmèt ou voye sèlman trafik ou bezwen an atravè VPN nan. Avèk AllowedIPs Ou deside si ou vle fè redireksyon konplè oswa selektif sou youn oubyen plizyè sou-rezo.

# Redirección completa de Internet
[Peer]
AllowedIPs = 0.0.0.0/0

# Solo acceder a recursos de la LAN 192.168.1.0/24 por la VPN
[Peer]
AllowedIPs = 192.168.1.0/24

Gen varyant tankou tinèl fann envès, filtre pa URL oubyen pa aplikasyon (atravè ekstansyon/kliyan espesifik), byenke baz natif natal nan WireGuard se kontwòl pa IP ak prefiks.

Konpatibilite ak ekosistèm

WireGuard te fèt pou kernel Linux la, men jodi a li ye. platfòm travèseOPNsense entegre li natif natalman; pfSense te sispann tanporèman pou odit, epi li te ofri apre sa kòm yon pake opsyonèl selon vèsyon an.

Sou NAS tankou QNAP ou ka monte li atravè QVPN oubyen machin vityèl, pwofite kat rezo 10GbE yo pou gwo vitèsKat routeur MikroTik yo te enkòpore sipò WireGuard depi RouterOS 7.x; nan premye vèsyon li yo, li te nan beta epi yo pa t rekòmande li pou pwodiksyon, men li pèmèt tinèl P2P ant aparèy e menm kliyan final yo.

Konpayi fabrikasyon tankou Teltonika gen yon pake pou ajoute WireGuard nan routeur yo; si ou bezwen ekipman, ou ka achte yo nan boutik.davantel.com epi swiv enstriksyon manifakti a pou enstalasyon pakè siplemantè.

Pèfòmans ak latans

Gras a konsepsyon minimalist li yo ak chwa algoritm efikas li yo, WireGuard rive nan vitès trè wo ak latans ki ba, jeneralman siperyè pase L2TP/IPsec ak OpenVPN. Nan tès lokal ak pyès ki nan konpitè pwisan, vitès aktyèl la souvan doub vitès altènativ yo, sa ki fè li ideyal pou difizyon, jwèt videyo oswa VoIP.

Aplikasyon antrepriz ak travay a distans

Nan antrepriz la, WireGuard apwopriye pou kreye tinèl ant biwo yo, aksè anplwaye a distans, ak koneksyon an sekirite ant... CPD ak nwaj la (pa egzanp, pou backup). Sintaks kout li fè kontwòl vèsyon ak automatisation fasil.

Li entegre ak anyè tankou LDAP/AD lè l sèvi avèk solisyon entèmedyè epi li ka koegziste ak platfòm IDS/IPS oswa NAC. Yon opsyon popilè se PakeFence (sous ouvè), ki pèmèt ou verifye estati ekipman yo anvan ou ba yo aksè epi kontwole BYOD la.

Windows/macOS: Nòt ak Konsèy

Aplikasyon ofisyèl Windows la anjeneral fonksyone san pwoblèm, men nan kèk vèsyon Windows 10 te gen pwoblèm lè w ap itilize li. AllowedIPs = 0.0.0.0/0 akòz konfli wout. Kòm yon altènatif tanporè, gen kèk itilizatè ki chwazi kliyan ki baze sou WireGuard tankou TunSafe oubyen limite AllowedIPs a sou-rezo espesifik.

Gid Demaraj Rapid Debian ak Egzanp Kle

Jenere kle pou sèvè ak kliyan an /etc/wireguard/ epi kreye koòdone wg0 la. Asire w ke IP VPN yo pa koresponn ak okenn lòt IP sou rezo lokal ou a oswa kliyan ou yo.

cd /etc/wireguard/
wg genkey | tee claveprivadaservidor | wg pubkey > clavepublicaservidor
wg genkey | tee claveprivadacliente1 | wg pubkey > clavepublicacliente1

Sèvè wg0.conf ak sou-rezo 192.168.2.0/24 ak pò 51820. Aktive PostUp/PostDown si ou vle otomatize. Nat avèk iptables lè w ap aktive/dezaktive koòdone a.

[Interface]
Address = 192.168.2.1/24
PrivateKey = <clave_privada_servidor>
ListenPort = 51820
#PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]
PublicKey = <clave_publica_cliente1>
AllowedIPs = 0.0.0.0/0

Kliyan ki gen adrès 192.168.2.2, ki montre pwen final piblik sèvè a epi ki gen kenbe vivan opsyonèl si gen yon NAT entèmedyè.

[Interface]
PrivateKey = <clave_privada_cliente1>
Address = 192.168.2.2/32

[Peer]
PublicKey = <clave_publica_servidor>
AllowedIPs = 0.0.0.0/0
Endpoint = <ip_publica_servidor>:51820
#PersistentKeepalive = 25

Rale koòdone a anlè epi gade pandan MTU a, mak wout yo, ak mak fw ak règ politik routage yo. Revize rezilta ak estati wg-quick la avèk emisyon wg.

Kontni eksklizif - Klike la a Ki jan yo swiv yon telefòn selilè pa WhatsApp san yo pa reyalize?

Mikrotik: tinèl ant RouterOS 7.x

MikroTik sipòte WireGuard depi RouterOS 7.x. Kreye yon koòdone WireGuard sou chak routeur, aplike li, epi li pral jenere otomatikman. kleBay Ether2 adrès IP yo kòm WAN epi wireguard1 kòm koòdone tinèl la.

Konfigire kanmarad yo lè w kwaze kle piblik sèvè a sou bò kliyan an epi vis vèsa, defini Adrès Otorize/IP Otorize yo (pa egzanp 0.0.0.0/0 si ou vle pèmèt nenpòt sous/destinasyon pase nan tinèl la) epi mete pwen final aleka a ak pò li. Yon ping sou IP tinèl aleka a ap konfime negosyasyon.

Si ou konekte telefòn mobil oswa òdinatè nan tinèl Mikrotik la, ajiste rezo ki otorize yo pou yo pa louvri plis pase sa nesesè; WireGuard deside koule pakè yo dapre ou. Cryptokey Routage, kidonk li enpòtan pou fè orijin ak destinasyon yo matche.

Kriptografi itilize

WireGuard itilize yon seri modèn de: Bri kòm yon kad, Curve25519 pou ECDH, ChaCha20 pou chifreman simetrik otantifye ak Poly1305, BLAKE2 pou hachaj, SipHash24 pou tablo hachaj ak HKDF pou derivasyon kleSi yon algorit pa itil ankò, yo ka vèsyone pwotokòl la pou l migre san pwoblèm.

Avantaj ak dezavantaj sou mobil

Sèvi ak li sou telefòn entelijan pèmèt ou navige san danje sou Wi-Fi piblik, kache trafik la pou founisè sèvis entènèt ou a, epi konekte ak rezo lakay ou pou jwenn aksè nan NAS, automatisation lakay, oswa jwèt videyo. Sou iOS/Android, chanje rezo pa anpeche koneksyon an pase, sa ki amelyore eksperyans lan.

Kòm dezavantaj, ou trennen kèk pèt vitès ak pi gwo latans konpare ak pwodiksyon dirèk, epi ou depann sou sèvè a ki toujou ap fonksyone. disponibSepandan, konpare ak IPsec/OpenVPN, penalite a anjeneral pi ba.

WireGuard konbine senplisite, vitès, ak sekirite reyèl avèk yon koub aprantisaj dou: enstale li, jenere kle, defini AllowedIPs, epi ou pare pou ale. Ajoute redireksyon IP, NAT byen aplike, aplikasyon ofisyèl ak kòd QR, ak konpatibilite ak ekosistèm tankou OPNsense, Mikrotik, oswa Teltonika. yon VPN modèn pou prèske nenpòt senaryo, soti nan sekirize rezo piblik yo rive nan konekte katye jeneral yo ak jwenn aksè a sèvis lakay ou san tèt fè mal.

Danyèl Terrasa

Editè espesyalize nan pwoblèm teknoloji ak entènèt ak plis pase dis ane eksperyans nan diferan medya dijital. Mwen te travay kòm yon editè ak kreyatè kontni pou e-commerce, kominikasyon, maketing sou entènèt ak konpayi piblisite. Mwen te ekri tou sou sit entènèt ekonomi, finans ak lòt sektè. Travay mwen se pasyon mwen tou. Koulye a, atravè atik mwen yo nan Tecnobits, Mwen eseye eksplore tout nouvèl ak nouvo opòtinite ke mond lan nan teknoloji ofri nou chak jou amelyore lavi nou.