Teljes WireGuard útmutató: Telepítés, kulcsok és speciális konfiguráció

Utolsó frissítés: 24/09/2025
Szerző: Daniel Terrasa

  • Egyszerű architektúra és modern titkosítás: peer-enkénti kulcsok és engedélyezett IP-címek az útválasztáshoz.
  • Gyors telepítés Linuxra és hivatalos alkalmazások asztali és mobil eszközökre.
  • Az IPsec/OpenVPN-hez képest kiemelkedő teljesítmény, roaminggal és alacsony késleltetéssel.
Drótvédő útmutató

Ha keres egy VPN ami gyors, biztonságos és könnyen telepíthető, WireGuard Ez a legjobb, amit ma használhatsz. Minimalista dizájnjával és modern titkosításával ideális otthoni felhasználók, szakemberek és vállalati környezetek számára, mind számítógépeken, mind mobileszközökön és routereken.

Ebben a gyakorlati útmutatóban mindent megtalálsz az alapoktól kezdve a gyakorlatias megoldásokig. Speciális konfigurációTelepítés Linuxra (Ubuntu/Debian/CentOS), kulcsok, szerver- és kliensfájlok, IP-továbbítás, NAT/tűzfal, alkalmazások Windows/macOS/Android/iOS rendszereken, osztott alagút, teljesítmény, hibaelhárítás és kompatibilitás olyan platformokkal, mint az OPNsense, a pfSense, a QNAP, a Mikrotik vagy a Teltonika.

Mi a WireGuard és miért érdemes ezt választani?

WireGuard egy nyílt forráskódú VPN protokoll és szoftver, amelyet arra terveztek, hogy L3 titkosított alagutak UDP-n keresztülEgyszerűsége, teljesítménye és alacsonyabb késleltetése miatt kiemelkedik az OpenVPN-hez vagy az IPsec-hez képest, olyan modern algoritmusokra támaszkodva, mint a Curve25519, ChaCha20-Poly1305, BLAKE2, SipHash24 és HKDF.

A kódbázisa nagyon kicsi (kb. több ezer sor), ami megkönnyíti az auditokat, csökkenti a támadási felületet és javítja a karbantartást. Integrálva van a Linux kernelbe is, lehetővé téve magas átviteli sebesség és agilis válaszidő még szerény hardvereken is.

 

Többplatformos: vannak hivatalos alkalmazások a következőhöz: Windows, macOS, Linux, Android és iOS, valamint támogatást nyújt az olyan router/tűzfal-orientált rendszerekhez, mint az OPNsense. Emellett elérhető olyan környezetekhez is, mint a FreeBSD, az OpenBSD, valamint a NAS és virtualizációs platformok.

vezetékvédő vpn

Hogyan működik belül

 

A WireGuard titkosított alagutat hoz létre a peer-ek között (társaik) kulcsok által azonosítva. Minden eszköz generál egy kulcspárt (privát/nyilvános), és csak a sajátját osztja meg nyilvános kulcs a másik végével; onnantól kezdve az összes forgalom titkosítva és hitelesítve van.

Irányelv Engedélyezett IP-k Meghatározza mind a kimenő útvonalat (milyen forgalomnak kell áthaladnia az alagúton), mind az érvényes források listáját, amelyeket a távoli partner elfogad a csomag sikeres visszafejtése után. Ez a megközelítés az úgynevezett Cryptokey Routing és jelentősen leegyszerűsíti a közlekedéspolitikát.

A WireGuard kiválóan alkalmas a Roaming- Ha az ügyfél IP-címe megváltozik (pl. Wi-Fi-ről 4G/5G-re vált), a munkamenet átláthatóan és nagyon gyorsan újra létrejön. Támogatja a következőket is: kill kapcsoló hogy blokkolja az alagútból kivezető forgalmat, ha a VPN kiesik.

Telepítés Linuxra: Ubuntu/Debian/CentOS

Ubuntu alatt a WireGuard elérhető a hivatalos repókban. Frissítsd a csomagokat, majd telepítsd a szoftvert a modul és az eszközök beszerzéséhez. wg és wg-quick.

apt update && apt upgrade -y
apt install wireguard -y
modprobe wireguard

A Debian stabil verziójában szükség esetén támaszkodhatsz az instabil ág repókra, a javasolt módszert követve és a következővel: gondoskodás a termelésben:

sudo sh -c 'echo deb https://deb.debian.org/debian/ unstable main > /etc/apt/sources.list.d/unstable.list'
sudo sh -c 'printf "Package: *\nPin: release a=unstable\nPin-Priority: 90\n" > /etc/apt/preferences.d/limit-unstable'
sudo apt update
sudo apt install wireguard

A CentOS 8.3-ban a folyamat hasonló: szükség esetén aktiválja az EPEL/ElRepo repókat, majd telepíti a csomagot. WireGuard és a hozzá tartozó modulok.

Exkluzív tartalom – Kattintson ide  Hogyan rejtsd el az IP-címedet torrentezés közben: gyakorlati útmutató és valós összehasonlítás

drótvédő

Kulcsgenerálás

Minden társnak meg kell lennie a sajátjának privát/nyilvános kulcspár. Alkalmazzon umaskot az engedélyek korlátozására és kulcsok generálására a szerver és a kliensek számára.

umask 077
wg genkey | tee privatekey | wg pubkey > publickey

Ismételje meg minden eszközön. Soha ne ossza meg a privát kulcs és mentse el mindkettőt biztonságosan. Ha szeretné, hozzon létre különböző nevű fájlokat, például privátkulcs-kiszolgáló y nyilvános szerverkulcs.

Szerver beállítása

Hozd létre a fő fájlt a /etc/wireguard/wg0.conf fájlJelöljön ki egy VPN alhálózatot (amit nem használ a valódi LAN-on), az UDP portot, és adjon hozzá egy blokkot. [Peer] felhatalmazott ügyfélenként.

[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = <clave_privada_servidor>

# Cliente 1
[Peer]
PublicKey = <clave_publica_cliente1>
AllowedIPs = 10.0.0.2/32

Használhatsz egy másik alhálózatot is, például 192.168.2.0/24, és több partnerrel együtt növekedhessenek. Gyors telepítésekhez gyakori a használata wg-gyors wgN.conf fájlokkal.

Ügyfél konfiguráció

Hozz létre egy fájlt a kliensen, pl. wg0-client.conf fájl, a privát kulcsával, alagútcímével, opcionális DNS-ével, valamint a szerver partnerével annak nyilvános végpontjával és portjával.

[Interface]
PrivateKey = <clave_privada_cliente>
Address = 10.0.0.2/24
DNS = 8.8.8.8

[Peer]
PublicKey = <clave_publica_servidor>
Endpoint = <ip_publica_servidor>:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25

Ha teszel Engedélyezett IP-k = 0.0.0.0/0 Minden forgalom a VPN-en keresztül fog menni; ha csak bizonyos szerverhálózatokat szeretne elérni, korlátozza a szükséges alhálózatokra, és így csökkentheti a... lappangás és a fogyasztás.

IP továbbítás és NAT a szerveren

Engedélyezze az átirányítást, hogy a kliensek a szerveren keresztül férhessenek hozzá az internethez. A módosítások menet közbeni alkalmazása a következővel: sysctl.

echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf
echo 'net.ipv6.conf.all.forwarding=1' >> /etc/sysctl.conf
sysctl -p

Konfigurálja a NAT-ot iptables segítségével a VPN alhálózathoz, beállítva a WAN interfészt (például eth0):

iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADE

Tedd kitartóvá a megfelelő csomagokkal és mentési szabályokkal, amelyek a rendszer újraindításakor alkalmazandók.

apt install -y iptables-persistent netfilter-persistent
netfilter-persistent save

Indítás és ellenőrzés

Indítsa el a felületet, és engedélyezze a szolgáltatás indítását a rendszerrel. Ez a lépés létrehozza a virtuális felületet, és hozzáadja a rutas szükséges.

systemctl start wg-quick@wg0
systemctl enable wg-quick@wg0
wg

Con wg Látni fogod a partnereket, kulcsokat, átviteleket és az utolsó kézfogások időpontjait. Ha a tűzfalszabályzatod korlátozó, engedélyezd a hozzáférést a felületen keresztül. wg0 és a szolgáltatás UDP portja:

iptables -I INPUT 1 -i wg0 -j ACCEPT

Hivatalos alkalmazások: Windows, macOS, Android és iOS

Az asztali számítógépen importálhat egy .conf fájlMobil eszközökön az alkalmazás lehetővé teszi a felület létrehozását egy QR-kód tartalmazza a konfigurációt; nagyon kényelmes a nem műszaki felhasználók számára.

Ha a célod az önkiszolgáló szolgáltatások, például a következők bemutatása Plex/Radar/Sonarr A VPN-en keresztül egyszerűen rendeljen IP-címeket a WireGuard alhálózathoz, és állítsa be az AllowedIPs értékeket, hogy a kliens elérhesse ezt a hálózatot; nem kell további portokat nyitnia kifelé, ha minden hozzáférés a... alagút.

Előnyök és hátrányok

A WireGuard nagyon gyors és egyszerű, de fontos figyelembe venni a korlátait és sajátosságait a felhasználási esettől függően. Íme egy kiegyensúlyozott áttekintés a legfontosabbakról: lényeges.

Exkluzív tartalom – Kattintson ide  Hogyan lehet megváltoztatni az ellenőrzési intervallumot a Little Snitchben?
előny hátrányok
Átlátható és rövid konfiguráció, ideális automatizáláshoz Nem tartalmazza a natív forgalom obfuszkálását
Nagy teljesítmény és alacsony késleltetés még mozgó Néhány régebbi környezetben kevesebb speciális beállítási lehetőség áll rendelkezésre.
Modern kriptográfia és apró kód, ami megkönnyíti könyvvizsgálat Adatvédelem: Az IP/nyilvános kulcs társítása a szabályzatoktól függően bizalmas lehet.
Zökkenőmentes roaming és kill switch elérhető a klienseken A harmadik féltől származó kompatibilitás nem mindig homogén

 

Osztott alagútfúrás: csak a legszükségesebb irányítása

Az osztott alagútkezelés lehetővé teszi, hogy csak a szükséges forgalmat küldd át a VPN-en. Engedélyezett IP-k Ön dönti el, hogy teljes vagy szelektív átirányítást szeretne-e végrehajtani egy vagy több alhálózatra.

# Redirección completa de Internet
[Peer]
AllowedIPs = 0.0.0.0/0
# Solo acceder a recursos de la LAN 192.168.1.0/24 por la VPN
[Peer]
AllowedIPs = 192.168.1.0/24

Vannak olyan változatok, mint a fordított osztott alagúteffektus, amelyeket szűrés szerint lehet használni. URL vagy alkalmazásonként (meghatározott bővítményeken/klienseken keresztül), bár a WireGuard natív alapja az IP-címek és előtagok szerinti vezérlés.

Kompatibilitás és ökoszisztéma

A WireGuard a Linux kernelhez született, de ma már az cross platformAz OPNsense natívan integrálja; a pfSense-t ideiglenesen megvonták az auditok miatt, majd ezt követően a verziótól függően opcionális csomagként kínálták fel.

NAS-okon, mint például a QNAP, QVPN-en vagy virtuális gépeken keresztül csatlakoztatható, kihasználva a 10GbE hálózati kártyákat. nagy sebességekA MikroTik router alaplapok a RouterOS 7.x óta tartalmazzák a WireGuard támogatást; a korai verzióiban béta verzióban volt, és nem ajánlott éles környezetben való használatra, de lehetővé teszi a P2P alagutakat az eszközök és akár a végfelhasználók között is.

A Teltonika és más gyártók olyan csomagokat kínálnak, amelyekkel WireGuarddal bővíthető a routereik; ha felszerelésre van szükséged, megvásárolhatod a következő címen: shop.davantel.com és kövesse a gyártó telepítési utasításait csomagok Extra.

Teljesítmény és késleltetés

Minimalista kialakításának és a hatékony algoritmusok kiválasztásának köszönhetően a WireGuard nagyon nagy sebességet ér el. alacsony késleltetés, általában jobb, mint az L2TP/IPsec és az OpenVPN. Helyi tesztekben, nagy teljesítményű hardverekkel, a tényleges sebesség gyakran kétszerese az alternatíváknak, így ideális a következőkhöz: streaming, játék vagy VoIP.

Vállalati megvalósítás és távmunka

Vállalati környezetben a WireGuard alkalmas irodák közötti alagutak létrehozására, távoli alkalmazotti hozzáférésre és biztonságos kapcsolatokra CPD és felhő (pl. biztonsági mentésekhez). Tömör szintaxisa megkönnyíti a verziókezelést és az automatizálást.

Köztes megoldásokat használva integrálható olyan címtárakkal, mint az LDAP/AD, és IDS/IPS vagy NAC platformokkal is együtt tud működni. Egy népszerű opció a PacketFence (nyílt forráskódú), amely lehetővé teszi a berendezések állapotának ellenőrzését a hozzáférés és a BYOD (személyes eszköz használata) vezérlése előtt.

drótvédő

Windows/macOS: Megjegyzések és tippek

A hivatalos Windows alkalmazás általában problémamentesen működik, de a Windows 10 egyes verzióiban problémák merültek fel a használat során Engedélyezett IP-k = 0.0.0.0/0 útvonalütközések miatt. Ideiglenes alternatívaként egyes felhasználók WireGuard-alapú klienseket, például TunSafe-et választanak, vagy az AllowedIP-ek korlátozását bizonyos alhálózatokra.

Debian gyors üzembe helyezési útmutató példakulcsokkal

Kulcsok generálása a szerver és a kliens számára /etc/wireguard/ és hozd létre a wg0 interfészt. Győződj meg róla, hogy a VPN IP-címek nem egyeznek meg a helyi hálózatodon vagy a klienseiden található más IP-címekkel.

cd /etc/wireguard/
wg genkey | tee claveprivadaservidor | wg pubkey > clavepublicaservidor
wg genkey | tee claveprivadacliente1 | wg pubkey > clavepublicacliente1

wg0.conf szerver 192.168.2.0/24 alhálózattal és 51820 porttal. Engedélyezze a PostUp/PostDown funkciókat, ha automatizálni szeretné NAT iptables-szel a felület megnyitásakor/leállításakor.

[Interface]
Address = 192.168.2.1/24
PrivateKey = <clave_privada_servidor>
ListenPort = 51820
#PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]
PublicKey = <clave_publica_cliente1>
AllowedIPs = 0.0.0.0/0

192.168.2.2 címmel rendelkező kliens, amely a szerver nyilvános végpontjára mutat, és életben tartani opcionális, ha van köztes NAT.

[Interface]
PrivateKey = <clave_privada_cliente1>
Address = 192.168.2.2/32

[Peer]
PublicKey = <clave_publica_servidor>
AllowedIPs = 0.0.0.0/0
Endpoint = <ip_publica_servidor>:51820
#PersistentKeepalive = 25

Húzd fel a kezelőfelületet, és figyeld, ahogy az MTU, az útvonaljelölések és fwmark és az útválasztási irányelvek. Tekintse át a wg-quick kimenetét és állapotát a következővel: wg műsor.

Exkluzív tartalom – Kattintson ide  A Windows 11 leállításának minden módja a Start menü megnyitása nélkül

Mikrotik: alagút a RouterOS 7.x között

A MikroTik a RouterOS 7.x óta támogatja a WireGuardot. Hozz létre egy WireGuard interfészt minden routeren, alkalmazd, és az automatikusan generálódik. kulcsokRendelj IP-címeket az Ether2-höz WAN-ként és a wireguard1-hez alagút interfészként.

Konfigurálja a peer-eket a szerver nyilvános kulcsának áthaladásával a kliens oldalon és fordítva, definiálja az engedélyezett címeket/engedélyezett IP-címeket (például 0.0.0.0/0 ha bármilyen forrást/célállomást engedélyezni szeretne az alagúton keresztül), és állítsa be a távoli végpontot a portjával. A távoli alagút IP-címére irányuló ping megerősíti a kézfogás.

Ha mobiltelefonokat vagy számítógépeket csatlakoztat a Mikrotik alagúthoz, finomhangolja az engedélyezett hálózatokat, hogy ne nyissa meg a szükségesnél többször; a WireGuard a csomagok áramlását az Ön adatai alapján határozza meg. Cryptokey Routingezért fontos az indulási és az úti célok egyeztetése.

Használt kriptográfia

A WireGuard a következők modern készletét alkalmazza: Zaj keretrendszerként Curve25519 az ECDH-hoz, ChaCha20 a Poly1305-tel hitelesített szimmetrikus titkosításhoz, BLAKE2 a hasheléshez, SipHash24 a hash táblákhoz és HKDF a levezetéshez kulcsokHa egy algoritmus elavult, a protokoll verziózható a zökkenőmentes migráció érdekében.

Előnyök és hátrányok mobilon

Okostelefonon használva biztonságosan böngészhetsz Nyilvános Wi-Fi, elrejtheted a forgalmat az internetszolgáltatód elől, és csatlakozhatsz az otthoni hálózatodhoz a NAS, az otthoni automatizálás vagy a játékok eléréséhez. iOS/Android rendszeren a hálózatváltás nem okoz gondot, ami javítja a felhasználói élményt.

Hátrányként némi sebességveszteséget és nagyobb késleltetést vonsz magaddal a közvetlen kimenethez képest, és attól függsz, hogy a szerver mindig működik-e. rendelkezésre állóAz IPsec/OpenVPN-hez képest azonban a büntetés általában alacsonyabb.

A WireGuard az egyszerűséget, a sebességet és a valódi biztonságot ötvözi a könnyű tanulási görbével: telepítse, generáljon kulcsokat, definiálja az engedélyezett IP-címeket, és máris használhatja. Adjon hozzá IP-továbbítást, jól megvalósított NAT-ot, QR-kódokkal rendelkező hivatalos alkalmazásokat, és kompatibilitást olyan ökoszisztémákkal, mint az OPNsense, a Mikrotik vagy a Teltonika. egy modern VPN szinte bármilyen forgatókönyvhöz, a nyilvános hálózatok biztosításától kezdve a központok összekapcsolásán át az otthoni szolgáltatások fejfájásmentes eléréséig.