- Einföld arkitektúr og nútímaleg dulkóðun: lyklar fyrir hvern jafningja og leyfð IP-tölur fyrir leiðsögn.
- Fljótleg uppsetning á Linux og opinber forrit fyrir skjáborð og farsíma.
- Betri afköst en IPsec/OpenVPN, með reiki og lágri seinkun.
Ef þú ert að leita að VPN sem er hraðvirkt, öruggt og auðvelt í uppsetningu, WireGuard Þetta er það besta sem þú getur notað í dag. Með lágmarkshönnun og nútímalegri dulritun er það tilvalið fyrir heimilisnotendur, fagfólk og fyrirtæki, bæði í tölvum og á snjalltækjum og leiðum.
Í þessari hagnýtu handbók finnur þú allt frá grunnatriðunum til Ítarleg stillingUppsetning á Linux (Ubuntu/Debian/CentOS), lyklar, skrár fyrir netþjóna og notendur, IP-framsending, NAT/eldveggur, forrit á Windows/macOS/Android/iOS, skipt göng, afköst, bilanaleit og eindrægni við kerfi eins og OPNsense, pfSense, QNAP, Mikrotik eða Teltonika.
Hvað er WireGuard og hvers vegna að velja það?
WireGuard er opinn VPN samskiptareglur og hugbúnaður hannaður til að búa til L3 dulkóðaðar göng yfir UDPÞað sker sig úr samanborið við OpenVPN eða IPsec vegna einfaldleika, afkasta og minni seinkunar, þar sem það byggir á nútíma reikniritum eins og Curve25519, ChaCha20-Poly1305, BLAKE2, SipHash24 og HKDF.
Kóðagrunnur þess er mjög lítill (um það bil þúsundir lína), sem auðveldar endurskoðanir, minnkar árásarflöt og bætir viðhald. Það er einnig samþætt í Linux kjarnann, sem gerir kleift háar flutningshraði og lipur viðbrögð jafnvel á hóflegum vélbúnaði.
Það er fjölpallur: það eru til opinber öpp fyrir Windows, macOS, Linux, Android og iOSog stuðningur fyrir beinar-/eldveggjatengd kerfi eins og OPNsense. Það er einnig í boði fyrir umhverfi eins og FreeBSD, OpenBSD og NAS og sýndarvæðingarkerfi.
Hvernig það virkar inni
WireGuard setur upp dulkóðað göng milli jafningja (jafningja) auðkennd með lyklum. Hvert tæki býr til lyklapar (einkalykil/opinber lykil) og deilir aðeins sínum opinber lykill við hinn endann; þaðan er öll umferð dulkóðuð og staðfest.
Tilskipun Leyfðar IP-tölur Skilgreinir bæði útleið (hvaða umferð á að fara í gegnum göngin) og lista yfir gildar heimildir sem fjarlægur jafningi mun samþykkja eftir að pakka hefur verið afkóðað með góðum árangri. Þessi aðferð er þekkt sem Dulritunarlykla leið og einfaldar umferðarstefnuna til muna.
WireGuard er frábært með Reiki- Ef IP-tala viðskiptavinarins breytist (t.d. ef þú skiptir úr Wi-Fi yfir í 4G/5G), þá endurræsist fundurinn á gagnsæjan og mjög fljótlegan hátt. Það styður einnig slökkvibúnaður til að loka fyrir umferð út úr göngunum ef VPN-tengingin fer niður.
Uppsetning á Linux: Ubuntu/Debian/CentOS
Á Ubuntu er WireGuard fáanlegt í opinberu geymslunum. Uppfærðu pakkana og settu síðan upp hugbúnaðinn til að fá eininguna og verkfærin. wg og wg-quick.
apt update && apt upgrade -y
apt install wireguard -y
modprobe wireguardÍ stöðugu Debian kerfi geturðu treyst á óstöðugar greinargeymslur ef þörf krefur, með því að fylgja ráðlögðum aðferðum og með umhyggja í framleiðslu:
sudo sh -c 'echo deb https://deb.debian.org/debian/ unstable main > /etc/apt/sources.list.d/unstable.list'
sudo sh -c 'printf "Package: *\nPin: release a=unstable\nPin-Priority: 90\n" > /etc/apt/preferences.d/limit-unstable'
sudo apt update
sudo apt install wireguardÍ CentOS 8.3 er ferlið svipað: þú virkjar EPEL/ElRepo geymslurnar ef þörf krefur og setur síðan upp pakkann. WireGuard og samsvarandi einingar.
Lykilkynslóð
Hver jafningi verður að hafa sinn eigin einkalyklapar/opinber lykillNotið umask til að takmarka heimildir og búa til lykla fyrir netþjóninn og viðskiptavini.
umask 077
wg genkey | tee privatekey | wg pubkey > publickeyEndurtakið á hverju tæki. Deilið aldrei einkalykill og vistaðu bæði á öruggan hátt. Ef þú vilt frekar geturðu búið til skrár með mismunandi nöfnum, til dæmis einkalykilþjónn y lykill almenningsþjóns.
Uppsetning netþjóns
Búðu til aðalskrána í /etc/wireguard/wg0.confÚthlutaðu VPN undirneti (ekki notað á raunverulegu staðarnetinu þínu), UDP tengi og bættu við blokk [Jafning] á hvern viðurkenndan viðskiptavin.
[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = <clave_privada_servidor>
# Cliente 1
[Peer]
PublicKey = <clave_publica_cliente1>
AllowedIPs = 10.0.0.2/32Þú getur líka notað annað undirnet, til dæmis 192.168.2.0/24og vaxa með mörgum jafningjum. Til að fá hraðari dreifingu er algengt að nota wg-fljótlegt með wgN.conf skrám.
Uppsetning viðskiptavinar
Búðu til skrá á viðskiptavininum, til dæmis wg0-client.conf, með einkalykli sínum, göngvistfangi, valfrjálsu DNS og jafningja netþjónsins með opinberum endapunkti og tengi.
[Interface]
PrivateKey = <clave_privada_cliente>
Address = 10.0.0.2/24
DNS = 8.8.8.8
[Peer]
PublicKey = <clave_publica_servidor>
Endpoint = <ip_publica_servidor>:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25Ef þú setur Leyfðar IP-tölur = 0.0.0.0/0 Öll umferð fer í gegnum VPN; ef þú vilt aðeins ná til ákveðinna netþjóna, takmarkaðu hana við nauðsynleg undirnet og þú munt draga úr leynd og neysla.
IP-áframsending og NAT á netþjóninum
Virkja áframsendingu svo viðskiptavinir geti fengið aðgang að internetinu í gegnum netþjóninn. Virkja breytingar samstundis með sysctl.
echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf
echo 'net.ipv6.conf.all.forwarding=1' >> /etc/sysctl.conf
sysctl -pStilltu NAT með iptables fyrir VPN undirnetið, stilltu WAN viðmótið (til dæmis, eth0):
iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADEGerðu það viðvarandi með viðeigandi pakka og vistunarreglum sem eiga að vera notaðar við endurræsingu kerfisins.
apt install -y iptables-persistent netfilter-persistent
netfilter-persistent saveGangsetning og staðfesting
Opnaðu viðmótið og virkjaðu þjónustuna til að ræsa með kerfinu. Þetta skref býr til sýndarviðmótið og bætir við leiðum nauðsynlegt.
systemctl start wg-quick@wg0
systemctl enable wg-quick@wg0
wgmeð wg Þú munt sjá jafningja, lykla, millifærslur og síðustu handabandstíma. Ef eldveggsstefnan þín er takmörkuð skaltu leyfa aðgang í gegnum viðmótið. wg0 og UDP tengið fyrir þjónustuna:
iptables -I INPUT 1 -i wg0 -j ACCEPT
Opinber forrit: Windows, macOS, Android og iOS
Á skjáborðið er hægt að flytja inn .conf skráÍ snjalltækjum gerir appið þér kleift að búa til viðmótið úr QR kóða sem inniheldur stillingarnar; það er mjög þægilegt fyrir viðskiptavini sem eru ekki tæknilega kunnugir.
Ef markmið þitt er að afhjúpa sjálfhýstar þjónustur eins og Plex/Radarr/Sonarr Í gegnum VPN-ið þitt skaltu einfaldlega úthluta IP-tölum í WireGuard undirnetinu og stilla AllowedIP-tölur svo að viðskiptavinurinn geti náð til þess nets; þú þarft ekki að opna fleiri tengi út á við ef allur aðgangur er í gegnum göng.
Kostir og gallar
WireGuard er mjög hraðvirkt og einfalt, en það er mikilvægt að hafa í huga takmarkanir þess og sérstöðu eftir notkunartilfelli. Hér er yfirlit yfir það helsta viðeigandi.
| Kosturinn | ókostir |
|---|---|
| Skýr og stutt stilling, tilvalin fyrir sjálfvirkni | Inniheldur ekki dulritunarumferð fyrir innfædda notendur |
| Mikil afköst og lítil seinkun, jafnvel í móviles | Í sumum eldri umhverfum eru færri ítarlegri valkostir |
| Nútíma dulritun og lítill kóði sem gerir það auðvelt endurskoðun | Persónuvernd: Tengsl IP/opinberra lykla geta verið viðkvæm eftir því hvaða stefnur eru notaðar |
| Óaðfinnanleg reiki og neyðarrofi í boði fyrir viðskiptavini | Samrýmanleiki þriðja aðila er ekki alltaf einsleitur |
Skipt göng: aðeins að beina því sem nauðsynlegt er
Skipt göng leyfa þér að senda aðeins þá umferð sem þú þarft í gegnum VPN. Með Leyfðar IP-tölur Þú ákveður hvort þú vilt framkvæma fulla eða valkvæða tilvísun á eitt eða fleiri undirnet.
# Redirección completa de Internet
[Peer]
AllowedIPs = 0.0.0.0/0# Solo acceder a recursos de la LAN 192.168.1.0/24 por la VPN
[Peer]
AllowedIPs = 192.168.1.0/24Það eru til afbrigði eins og öfug klofin göng, síuð með URL eða með forriti (í gegnum tilteknar viðbætur/biðlara), þó að innbyggði grunnurinn í WireGuard sé stjórnun með IP og forskeytum.
Samhæfni og vistkerfi
WireGuard varð til fyrir Linux kjarnann, en í dag er það krosspallurOPNsense samþættir það innfædda; pfSense var tímabundið hætt í notkun vegna endurskoðunar og það var síðan boðið upp á sem valfrjáls pakki eftir útgáfu.
Á NAS eins og QNAP er hægt að tengja það í gegnum QVPN eða sýndarvélar og nýta sér 10GbE netkort til að... miklum hraðaMikroTik leiðarakort hafa innbyggt WireGuard-stuðning frá RouterOS 7.x; í fyrstu útgáfum var það í beta-útgáfu og ekki mælt með til framleiðslu, en það gerir kleift að nota P2P-göng milli tækja og jafnvel notenda.
Framleiðendur eins og Teltonika bjóða upp á pakka til að bæta WireGuard við beinarana sína; ef þú þarft búnað geturðu keypt hann á shop.davantel.com og fylgið leiðbeiningum framleiðanda um uppsetningu pakkar aukalega.
Afköst og seinkun
Þökk sé lágmarkshönnun og vali á skilvirkum reikniritum nær WireGuard mjög miklum hraða og lágar seinkanir, almennt betri en L2TP/IPsec og OpenVPN. Í staðbundnum prófunum með öflugum vélbúnaði er raunverulegur hraði oft tvöfaldur miðað við valkostina, sem gerir það tilvalið fyrir streymi, tölvuleikir eða VoIP.
Innleiðing fyrirtækja og fjarvinna
Í fyrirtækjum hentar WireGuard vel til að búa til göng milli skrifstofa, fá aðgang starfsmanna á fjarlægan hátt og tryggja öruggar tengingar milli... Símenntun og ský (t.d. fyrir afrit). Hnitmiðuð setningafræði þess auðveldar útgáfustjórnun og sjálfvirkni.
Það samþættist við möppur eins og LDAP/AD með millilausnum og getur verið til samhliða IDS/IPS eða NAC kerfum. Vinsæll valkostur er Packet Fence (opinn hugbúnaður), sem gerir þér kleift að staðfesta stöðu búnaðar áður en aðgangur er veittur og stjórna BYOD (Take Your Own Device).
Windows/macOS: Athugasemdir og ráð
Opinbera Windows forritið virkar venjulega vandræðalaust, en í sumum útgáfum af Windows 10 hafa komið upp vandamál við notkun Leyfðar IP-tölur = 0.0.0.0/0 vegna leiðarárekstra. Sem bráðabirgðavalkost kjósa sumir notendur WireGuard-byggða viðskiptavini eins og TunSafe eða takmarka AllowedIPs við ákveðin undirnet.
Debian fljótleg leiðarvísir með dæmum um lykla
Búa til lykla fyrir netþjón og biðlara í /etc/wireguard/ og búðu til wg0 viðmótið. Gakktu úr skugga um að VPN IP tölurnar passi ekki við aðrar IP tölur á staðarnetinu þínu eða hjá viðskiptavinum þínum.
cd /etc/wireguard/
wg genkey | tee claveprivadaservidor | wg pubkey > clavepublicaservidor
wg genkey | tee claveprivadacliente1 | wg pubkey > clavepublicacliente1wg0.conf netþjónn með undirneti 192.168.2.0/24 og tengi 51820. Virkjaðu PostUp/PostDown ef þú vilt gera sjálfvirkan NAT með iptables þegar viðmótið er ræst/ræst.
[Interface]
Address = 192.168.2.1/24
PrivateKey = <clave_privada_servidor>
ListenPort = 51820
#PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
[Peer]
PublicKey = <clave_publica_cliente1>
AllowedIPs = 0.0.0.0/0Viðskiptavinur með vistfangið 192.168.2.2, sem vísar á opinbera endapunkt netþjónsins og með halda á lífi valfrjálst ef millistig NAT er til staðar.
[Interface]
PrivateKey = <clave_privada_cliente1>
Address = 192.168.2.2/32
[Peer]
PublicKey = <clave_publica_servidor>
AllowedIPs = 0.0.0.0/0
Endpoint = <ip_publica_servidor>:51820
#PersistentKeepalive = 25Opnaðu viðmótið og horfðu á meðan MTU, leiðarmerkingar og fwmark og reglur um leiðarstefnu. Farið yfir wg-quick úttak og stöðu með wg sýning.
Mikrotik: göng milli RouterOS 7.x
MikroTik hefur stutt WireGuard frá RouterOS 7.x. Búið til WireGuard viðmót á hverri leið, notið það og það verður búið til sjálfkrafa. lyklaÚthlutaðu IP-tölum til Ether2 sem WAN og wireguard1 sem tunnel interface.
Stilltu jafningjana með því að nota opinberan lykil netþjónsins á viðskiptavinarhliðinni og öfugt, skilgreindu Leyfð netfang/Leyfð IP-tölur (til dæmis 0.0.0.0/0 ef þú vilt leyfa hvaða uppruna/áfangastað sem er í gegnum göngin) og stilla fjarlæga endapunktinn með tengi sínu. Ping á IP-tölu fjarlæga göngsins mun staðfesta handabandi.
Ef þú tengir farsíma eða tölvur við Mikrotik-göngin skaltu fínstilla leyfileg net svo að þau opnist ekki meira en nauðsyn krefur; WireGuard ákveður flæði pakka út frá þínum þörfum. Dulritunarlykla leið, þannig að það er mikilvægt að passa saman uppruna og áfangastaði.
Dulkóðun notuð
WireGuard notar nútímalegt sett af: Noise sem rammi, Curve25519 fyrir ECDH, ChaCha20 fyrir staðfesta samhverfa dulkóðun með Poly1305, BLAKE2 fyrir hass, SipHash24 fyrir hasstöflur og HKDF fyrir afleiðu á lyklaEf reiknirit er úrelt er hægt að breyta útgáfum samskiptareglunnar til að flytja hana óaðfinnanlega.
Kostir og gallar í farsíma
Með því að nota það í snjallsímum geturðu vafrað á öruggan hátt Opinbert þráðlaust net, fela umferð fyrir internetþjónustuaðilanum þínum og tengjast heimanetinu þínu til að fá aðgang að NAS, sjálfvirkni heimilisins eða tölvuleikjum. Í iOS/Android eyðir það ekki tengingunni að skipta um net, sem bætir upplifunina.
Sem ókostir taparðu hraða og seinkunartíma samanborið við beina úttak og þú treystir á að netþjónninn sé alltaf í lagi. í boðiHins vegar, samanborið við IPsec/OpenVPN, er refsingin yfirleitt lægri.
WireGuard sameinar einfaldleika, hraða og raunverulegt öryggi með vægum námsferli: settu það upp, búðu til lykla, skilgreindu AllowedIPs og þú ert tilbúinn. Bættu við IP-framsendingu, vel útfærðu NAT, opinberum forritum með QR kóðum og eindrægni við vistkerfi eins og OPNsense, Mikrotik eða Teltonika. nútímalegt VPN fyrir nánast allar aðstæður, allt frá því að tryggja almenningsnet til að tengja höfuðstöðvar og fá aðgang að heimaþjónustu án höfuðverkja.
Ritstjóri sérhæfður í tækni- og netmálum með meira en tíu ára reynslu í mismunandi stafrænum miðlum. Ég hef starfað sem ritstjóri og efnishöfundur fyrir rafræn viðskipti, samskipti, markaðssetningu á netinu og auglýsingafyrirtæki. Ég hef einnig skrifað á vefsíður hagfræði, fjármála og annarra geira. Vinnan mín er líka ástríða mín. Nú, í gegnum greinar mínar í Tecnobits, Ég reyni að kanna allar fréttir og ný tækifæri sem tækniheimurinn býður okkur á hverjum degi til að bæta líf okkar.