- シンプルなアーキテクチャと最新の暗号化: ルーティング用のピアごとのキーと AllowedIPs。
- Linux へのクイックインストールとデスクトップおよびモバイル用の公式アプリ。
- ローミングと低遅延により、IPsec/OpenVPN よりも優れたパフォーマンスを実現します。
あなたが探しているなら VPN 高速で安全、導入も簡単 ワイヤガード 現時点で最高のセキュリティ対策です。ミニマルなデザインと最新の暗号化技術を採用し、パソコン、モバイルデバイス、ルーターなど、家庭、ビジネス、企業環境に最適です。
この実践ガイドでは、基本から 高度な構成: Linux (Ubuntu/Debian/CentOS)へのインストール、キー、サーバーおよびクライアントファイル、IP転送、NAT/ファイアウォール、Windows/macOS/Android/iOS上のアプリケーション、 スプリットトンネリング、パフォーマンス、トラブルシューティング、および OPNsense、pfSense、QNAP、Mikrotik、Teltonika などのプラットフォームとの互換性について説明します。
WireGuard とは何ですか? また、なぜそれを選択するのですか?
ワイヤガード オープンソースのVPNプロトコルとソフトウェアで、 UDP経由のL3暗号化トンネルOpenVPNやIPsecと比べて、シンプルさ、パフォーマンス、低遅延が際立っており、次のような最新のアルゴリズムを採用しています。 Curve25519、ChaCha20-Poly1305、BLAKE2、SipHash24、HKDF.
コードベースは非常に小さい(約 数千行)は、監査を容易にし、攻撃対象領域を縮小し、メンテナンス性を向上させます。また、Linuxカーネルに統合されているため、 高い転送速度 控えめなハードウェアでも俊敏な応答を実現します。
マルチプラットフォーム対応:公式アプリあり Windows、macOS、Linux、Android、iOSOPNsenseのようなルーター/ファイアウォール指向のシステムもサポートしています。FreeBSD、OpenBSD、NAS、仮想化プラットフォームなどの環境でも利用可能です。
内部の仕組み
WireGuardはピア間で暗号化されたトンネルを確立します(ピア)はキーによって識別されます。各デバイスはキーペア(秘密鍵/公開鍵)を生成し、そのキーのみを共有します。 公開鍵 反対側からは、すべてのトラフィックが暗号化され、認証されます。
指令 許可されたIP 送信ルーティング(トンネルを通過するトラフィック)と、リモートピアがパケットの復号に成功した後に受け入れる有効な送信元リストの両方を定義します。このアプローチは 暗号鍵ルーティング 交通ポリシーが大幅に簡素化されます。
WireGuardは、 ローミング- クライアントのIPアドレスが変更された場合(例:Wi-Fiから4G/5Gに切り替えた場合)、セッションは透過的に、非常に迅速に再確立されます。また、 キルスイッチ VPN がダウンした場合にトンネルからのトラフィックをブロックします。
Linuxへのインストール: Ubuntu/Debian/CentOS
Ubuntuでは、WireGuardは公式リポジトリから入手できます。パッケージを更新してからソフトウェアをインストールし、モジュールとツールを入手してください。 wg と wg-quick.
apt update && apt upgrade -y
apt install wireguard -y
modprobe wireguardDebian安定版では、必要に応じて、推奨方法に従って不安定なブランチリポジトリを利用できます。 生産における配慮:
sudo sh -c 'echo deb https://deb.debian.org/debian/ unstable main > /etc/apt/sources.list.d/unstable.list'
sudo sh -c 'printf "Package: *\nPin: release a=unstable\nPin-Priority: 90\n" > /etc/apt/preferences.d/limit-unstable'
sudo apt update
sudo apt install wireguardCentOS 8.3でもフローは同様です。必要に応じてEPEL/ElRepoリポジトリを有効化し、パッケージをインストールします。 ワイヤガード および対応するモジュール。
鍵の生成
各ピアは独自の 秘密鍵と公開鍵のペアumask を適用して権限を制限し、サーバーとクライアントのキーを生成します。
umask 077
wg genkey | tee privatekey | wg pubkey > publickey各デバイスで繰り返します。 秘密鍵 両方を安全に保存してください。必要に応じて、異なる名前のファイルを作成してください。例: 秘密鍵サーバー y 公開サーバーキー.
サーバー構成
メインファイルを作成する /etc/wireguard/wg0.conf. VPNサブネット(実際のLANでは使用されていないもの)とUDPポートを割り当て、ブロックを追加します。 [ピア] 承認された顧客ごとに。
[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = <clave_privada_servidor>
# Cliente 1
[Peer]
PublicKey = <clave_publica_cliente1>
AllowedIPs = 10.0.0.2/32別のサブネットを使用することもできます。たとえば、 192.168.2.0/24複数のピアで拡張できます。迅速な導入には、 wg-クイック wgN.conf ファイルを使用します。
クライアント構成
クライアント側でファイルを作成します。例: wg0-client.conf、その秘密鍵、トンネル アドレス、オプションの DNS、およびサーバーのピアとそのパブリック エンドポイントおよびポート。
[Interface]
PrivateKey = <clave_privada_cliente>
Address = 10.0.0.2/24
DNS = 8.8.8.8
[Peer]
PublicKey = <clave_publica_servidor>
Endpoint = <ip_publica_servidor>:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25もしあなたが 許可されたIP = 0.0.0.0/0 すべてのトラフィックはVPNを経由します。特定のサーバーネットワークにのみアクセスしたい場合は、必要なサブネットに制限することで、 待ち時間 そして消費。
サーバー上のIP転送とNAT
転送を有効にすると、クライアントはサーバー経由でインターネットにアクセスできるようになります。変更は、 sysctl.
echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf
echo 'net.ipv6.conf.all.forwarding=1' >> /etc/sysctl.conf
sysctl -pVPNサブネットにiptablesを使用してNATを設定し、WANインターフェースを設定します(例: eth0):
iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADE持続的に行う システムの再起動時に適用される適切なパッケージと保存ルールを使用します。
apt install -y iptables-persistent netfilter-persistent
netfilter-persistent save起動と検証
インターフェースを起動し、システムでサービスが起動するようにします。この手順で仮想インターフェースを作成し、 ルート 必要。
systemctl start wg-quick@wg0
systemctl enable wg-quick@wg0
wgとともに wg ピア、キー、転送、および最後のハンドシェイク時刻が表示されます。ファイアウォールポリシーで制限が厳しい場合は、インターフェースからのアクセスを許可してください。 wg0 サービスの UDP ポート:
iptables -I INPUT 1 -i wg0 -j ACCEPT
公式アプリ: Windows、macOS、Android、iOS
デスクトップでは、 .confファイルモバイルデバイスでは、アプリを使ってインターフェースを作成できます。 QRコード 構成が含まれており、技術に詳しくない顧客にとって非常に便利です。
次のようなセルフホスト型サービスを公開することが目的の場合 プレックス/レーダー/ソナー VPN経由で、WireGuardサブネットにIPアドレスを割り当て、AllowedIPsを調整するだけで、クライアントがそのネットワークにアクセスできるようになります。すべてのアクセスがVPN経由で行われる場合、外部への追加ポートを開く必要はありません。 トンネル.
利点と欠点
WireGuardは非常に高速でシンプルですが、使用状況に応じて制限や特異性を考慮することが重要です。以下は、最もバランスの取れた概要です。 関連した.
| 利点 | デメリット |
|---|---|
| 明確で簡潔な構成、自動化に最適 | ネイティブトラフィック難読化を組み込んでいない |
| 高いパフォーマンスと低レイテンシーを実現 携帯電話 | 一部のレガシー環境では、高度なオプションが少ない |
| 現代の暗号と小さなコードで簡単に 監査 | プライバシー: IP/公開鍵の関連付けはポリシーによっては機密情報となる場合があります |
| クライアントでシームレスローミングとキルスイッチが利用可能 | サードパーティの互換性は必ずしも均一ではない |
スプリットトンネリング:必要なものだけを誘導する
スプリットトンネリングを使用すると、必要なトラフィックのみをVPN経由で送信できます。 許可されたIP 1 つ以上のサブネットへの完全なリダイレクトを行うか、選択的なリダイレクトを行うかを決定します。
# Redirección completa de Internet
[Peer]
AllowedIPs = 0.0.0.0/0# Solo acceder a recursos de la LAN 192.168.1.0/24 por la VPN
[Peer]
AllowedIPs = 192.168.1.0/24リバーススプリットトンネリングなどのバリエーションがあり、 URL またはアプリケーション (特定の拡張機能/クライアント経由) によって制御されますが、WireGuard のネイティブ ベースでは IP とプレフィックスによる制御が採用されています。
互換性とエコシステム
WireGuardはLinuxカーネル用に生まれましたが、今日では クロスプラットフォームOPNsense はこれをネイティブに統合します。pfSense は監査のために一時的に廃止され、その後バージョンに応じてオプション パッケージとして提供されるようになりました。
QNAPのようなNASでは、QVPNまたは仮想マシン経由でマウントし、10GbE NICを利用して 高速MikroTik ルーター ボードには、RouterOS 7.x 以降、WireGuard サポートが組み込まれています。初期のバージョンではベータ版であり、実稼働には推奨されていませんでしたが、デバイス間およびエンド クライアント間の P2P トンネルを許可しています。
Teltonikaのようなメーカーは、ルーターにWireGuardを追加するためのパッケージを提供しています。機器が必要な場合は、以下から購入できます。 shop.davantel.com メーカーの設置ガイドラインに従ってください パッケージ 余分。
パフォーマンスとレイテンシー
WireGuardは、ミニマリストなデザインと効率的なアルゴリズムの選択により、非常に高い速度と 低レイテンシー一般的にL2TP/IPsecやOpenVPNよりも優れています。強力なハードウェアを使ったローカルテストでは、実際の速度は他の選択肢の2倍になることが多く、 ストリーミング、ゲーム、VoIP.
企業導入とテレワーク
企業では、WireGuardはオフィス間のトンネル、リモート従業員のアクセス、そして安全な接続の構築に適しています。 CPDとクラウド (例:バックアップ用)。簡潔な構文により、バージョン管理と自動化が容易になります。
中間ソリューションを使用してLDAP/ADなどのディレクトリと統合し、IDS/IPSやNACプラットフォームと共存できます。一般的な選択肢は パケットフェンス (オープンソース)により、BYOD へのアクセスと制御を許可する前に機器の状態を確認することができます。
Windows/macOS: 注意事項とヒント
公式のWindowsアプリは通常問題なく動作しますが、Windows 10の一部のバージョンでは使用時に問題が発生しています。 許可されたIP = 0.0.0.0/0 ルート競合が原因です。一時的な代替手段として、TunSafeなどのWireGuardベースのクライアントを使用するか、AllowedIPを特定のサブネットに制限することを選択するユーザーもいます。
Debian クイックスタートガイド(サンプルキー付き)
サーバーとクライアントのキーを生成する /etc/ワイヤーガード/ wg0インターフェースを作成します。VPN IPがローカルネットワークやクライアント上の他のIPと一致していないことを確認してください。
cd /etc/wireguard/
wg genkey | tee claveprivadaservidor | wg pubkey > clavepublicaservidor
wg genkey | tee claveprivadacliente1 | wg pubkey > clavepublicacliente1wg0.confサーバ(サブネット192.168.2.0/24、ポート51820)。PostUp/PostDownを自動化したい場合は有効にしてください。 NAT インターフェイスを起動/停止するときに iptables を使用します。
[Interface]
Address = 192.168.2.1/24
PrivateKey = <clave_privada_servidor>
ListenPort = 51820
#PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
[Peer]
PublicKey = <clave_publica_cliente1>
AllowedIPs = 0.0.0.0/0192.168.2.2のアドレスを持つクライアントは、サーバーのパブリックエンドポイントを指し、 生き続ける 中間 NAT がある場合はオプションです。
[Interface]
PrivateKey = <clave_privada_cliente1>
Address = 192.168.2.2/32
[Peer]
PublicKey = <clave_publica_servidor>
AllowedIPs = 0.0.0.0/0
Endpoint = <ip_publica_servidor>:51820
#PersistentKeepalive = 25インターフェースをプルアップして、MTU、ルートマーキング、 フォマーク ルーティングポリシールール。wg-quickの出力とステータスを確認するには、 WGショー.
Mikrotik: RouterOS 7.x 間のトンネル
MikroTikはRouterOS 7.x以降、WireGuardをサポートしています。各ルーターにWireGuardインターフェースを作成し、適用すると、自動的に生成されます。 クラベス. Ether2 に WAN として、wireguard1 にトンネル インターフェイスとして IP を割り当てます。
サーバーの公開鍵をクライアント側で交差させてピアを設定し、その逆も行います。許可されたアドレス/許可されたIPを定義します(例: 0.0.0.0/0 トンネルを通過させるすべての送信元/宛先を許可する場合は、リモートエンドポイントのポート番号を設定します。リモートトンネルのIPアドレスにpingを実行することで、 握手.
携帯電話やコンピューターをMikrotikトンネルに接続する場合は、許可するネットワークを微調整して、必要以上に開かないようにしてください。WireGuardは、あなたのネットワークに基づいてパケットの流れを決定します。 暗号鍵ルーティングしたがって、出発地と目的地を一致させることが重要です。
使用される暗号化
WireGuard は次のような最新の技術を採用しています: ノイズ フレームワークとして、ECDHにはCurve25519、Poly1305による認証付き対称暗号化にはChaCha20、ハッシュにはBLAKE2、ハッシュテーブルにはSipHash24、導出にはHKDFが使用されている。 クラベスアルゴリズムが廃止された場合、プロトコルをバージョン管理してシームレスに移行できます。
モバイルの長所と短所
スマートフォンで使用すれば、安全に閲覧できます 公共Wi-FiISPからのトラフィックを隠し、ホームネットワークに接続してNAS、ホームオートメーション、ゲームにアクセスできます。iOS/Androidでは、ネットワークを切り替えてもトンネルが切断されないため、エクスペリエンスが向上します。
デメリットとしては、直接出力に比べて速度が遅くなり、遅延が大きくなること、そしてサーバーが常に disponibleただし、IPsec/OpenVPN と比較すると、通常はペナルティは低くなります。
WireGuardは、シンプルさ、スピード、そして真のセキュリティを、容易な学習曲線と組み合わせた製品です。インストール、キーの生成、AllowedIPsの定義だけですぐに使い始めることができます。IP転送、適切に実装されたNAT、QRコード対応の公式アプリ、そしてOPNsense、Mikrotik、Teltonikaなどのエコシステムとの互換性も備えています。 最新のVPN パブリックネットワークのセキュリティ保護から本社への接続、自宅のサービスへのアクセスまで、ほぼあらゆるシナリオに対応します。
テクノロジーとインターネット問題を専門とする編集者で、さまざまなデジタル メディアで 10 年以上の経験があります。私は、電子商取引、通信、オンライン マーケティング、広告会社で編集者およびコンテンツ作成者として働いてきました。経済、金融、その他の分野のウェブサイトにも執筆しています。私の仕事は私の情熱でもあります。さて、私の記事を通じて、 Tecnobits, 私は、私たちの生活を向上させるために、テクノロジーの世界が私たちに提供するすべてのニュースや新しい機会を毎日調査しようとしています。