ការណែនាំអំពី WireGuard ពេញលេញ៖ ការដំឡើង សោ និងការកំណត់រចនាសម្ព័ន្ធកម្រិតខ្ពស់

ប្រសិនបើអ្នកកំពុងស្វែងរក VPN ដែលលឿន សុវត្ថិភាព និងងាយស្រួលក្នុងការដាក់ពង្រាយ WireGuard វាល្អបំផុតដែលអ្នកអាចប្រើថ្ងៃនេះ។ ជាមួយនឹងការរចនាតិចតួចបំផុត និងការសរសេរកូដបែបទំនើប វាល្អសម្រាប់អ្នកប្រើប្រាស់តាមផ្ទះ អ្នកជំនាញ និងបរិស្ថានសាជីវកម្ម ទាំងនៅលើកុំព្យូទ័រ និងនៅលើឧបករណ៍ចល័ត និងរ៉ោតទ័រ។

នៅក្នុងមគ្គុទ្ទេសក៍ជាក់ស្តែងនេះ អ្នកនឹងរកឃើញអ្វីគ្រប់យ៉ាងពីមូលដ្ឋានទៅ ការកំណត់រចនាសម្ព័ន្ធកម្រិតខ្ពស់៖ ការដំឡើងនៅលើលីនុច (អ៊ូប៊ុនទូ/ដេបៀន/CentOS), គ្រាប់ចុច, ម៉ាស៊ីនមេ និងឯកសារម៉ាស៊ីនភ្ញៀវ, ការបញ្ជូនបន្ត IP, NAT/Firewall, កម្មវិធីនៅលើ Windows/macOS/Android/iOS, បំបែកផ្លូវរូងក្រោមដីការអនុវត្ត ការដោះស្រាយបញ្ហា និងភាពឆបគ្នាជាមួយវេទិកាដូចជា OPNsense, pfSense, QNAP, Mikrotik ឬ Teltonika ។

តើ WireGuard គឺជាអ្វី ហើយហេតុអ្វីត្រូវជ្រើសរើសវា?

WireGuard គឺជាពិធីការ VPN ប្រភពបើកចំហ និងកម្មវិធីដែលត្រូវបានរចនាឡើងដើម្បីបង្កើត ផ្លូវរូងក្រោមដីដែលបានអ៊ិនគ្រីប L3 លើ UDP. វាលេចធ្លោបើប្រៀបធៀបទៅនឹង OpenVPN ឬ IPsec ដោយសារតែភាពសាមញ្ញ ដំណើរការ និងភាពយឺតយ៉ាវទាបរបស់វា ដោយពឹងផ្អែកលើក្បួនដោះស្រាយទំនើបដូចជា Curve25519, ChaCha20-Poly1305, BLAKE2, SipHash24 និង HKDF.

មូលដ្ឋានកូដរបស់វាគឺតូចណាស់ (នៅជុំវិញ រាប់ពាន់ជួរ) ដែលសម្របសម្រួលសវនកម្ម កាត់បន្ថយផ្ទៃវាយប្រហារ និងកែលម្អការថែទាំ។ វាត្រូវបានដាក់បញ្ចូលទៅក្នុងខឺណែលលីនុចផងដែរ ដែលអនុញ្ញាត អត្រាផ្ទេរប្រាក់ខ្ពស់។ និងការឆ្លើយតបរហ័សសូម្បីតែនៅលើផ្នែករឹងតិចតួច។

 

វាមានពហុវេទិកា៖ មានកម្មវិធីផ្លូវការសម្រាប់ Windows, macOS, Linux, Android និង iOSនិងការគាំទ្រសម្រាប់ប្រព័ន្ធតម្រង់ទិសរ៉ោតទ័រ/ជញ្ជាំងភ្លើងដូចជា OPNsense។ វាក៏មានសម្រាប់បរិស្ថានដូចជា FreeBSD, OpenBSD, និង NAS និងវេទិកានិម្មិត។

របៀបដែលវាដំណើរការនៅខាងក្នុង

 

WireGuard បង្កើតផ្លូវរូងក្រោមដីដែលបានអ៊ិនគ្រីបរវាងមិត្តភក្ដិ (មិត្តភក្ដិ) កំណត់អត្តសញ្ញាណដោយសោ។ ឧបករណ៍នីមួយៗបង្កើតគូគន្លឹះ (ឯកជន/សាធារណៈ) ហើយចែករំលែកតែវាប៉ុណ្ណោះ។ កូនសោសាធារណៈ ជាមួយនឹងចុងម្ខាងទៀត; ពីទីនោះ ចរាចរណ៍ទាំងអស់ត្រូវបានអ៊ិនគ្រីប និងផ្ទៀងផ្ទាត់។

ការណែនាំ IPs ដែលបានអនុញ្ញាត កំណត់ទាំងផ្លូវចេញ (អ្វីដែលចរាចរគួរឆ្លងកាត់ផ្លូវរូងក្រោមដី) និងបញ្ជីប្រភពត្រឹមត្រូវដែលមិត្តភ័ក្តិពីចម្ងាយនឹងទទួលយកបន្ទាប់ពីការឌិគ្រីបកញ្ចប់ព័ត៌មានដោយជោគជ័យ។ វិធីសាស្រ្តនេះត្រូវបានគេស្គាល់ថាជា ការកំណត់ផ្លូវគ្រីបតូ និងជួយសម្រួលយ៉ាងខ្លាំងនូវគោលនយោបាយចរាចរណ៍។

WireGuard គឺល្អឥតខ្ចោះជាមួយ រ៉ូមីង- ប្រសិនបើ IP របស់អតិថិជនរបស់អ្នកផ្លាស់ប្តូរ (ឧ. អ្នកលោតពី Wi-Fi ទៅ 4G/5G) វគ្គត្រូវបានបង្កើតឡើងឡើងវិញប្រកបដោយតម្លាភាព និងលឿនបំផុត។ វាក៏គាំទ្រផងដែរ។ កុងតាក់សម្លាប់ ដើម្បីទប់ស្កាត់ចរាចរណ៍ចេញពីផ្លូវរូងក្រោមដី ប្រសិនបើ VPN ធ្លាក់ចុះ។

ការដំឡើងនៅលើលីនុច៖ Ubuntu/Debian/CentOS

នៅលើអ៊ូប៊ុនទូ WireGuard មាននៅក្នុងឃ្លាំងផ្លូវការ។ ធ្វើបច្ចុប្បន្នភាពកញ្ចប់ហើយបន្ទាប់មកដំឡើងកម្មវិធីដើម្បីទទួលបានម៉ូឌុល និងឧបករណ៍។ wg និង wg-រហ័ស.

apt update && apt upgrade -y
apt install wireguard -y
modprobe wireguard

នៅក្នុងស្ថេរភាព Debian អ្នកអាចពឹងផ្អែកលើសាខាមិនស្ថិតស្ថេរ ប្រសិនបើអ្នកត្រូវការ ដោយធ្វើតាមវិធីសាស្ត្រដែលបានណែនាំ និងជាមួយ ការថែរក្សានៅក្នុងផលិតកម្ម:

sudo sh -c 'echo deb https://deb.debian.org/debian/ unstable main > /etc/apt/sources.list.d/unstable.list'
sudo sh -c 'printf "Package: *\nPin: release a=unstable\nPin-Priority: 90\n" > /etc/apt/preferences.d/limit-unstable'
sudo apt update
sudo apt install wireguard

នៅក្នុង CentOS 8.3 លំហូរគឺស្រដៀងគ្នា៖ អ្នកធ្វើឱ្យ EPEL/ElRepo repos ប្រសិនបើចាំបាច់ ហើយបន្ទាប់មកដំឡើងកញ្ចប់ WireGuard និងម៉ូឌុលដែលត្រូវគ្នា។

ជំនាន់គន្លឹះ

មិត្តភ័ក្តិនីមួយៗត្រូវតែមានរបស់ខ្លួន។ គូសោឯកជន/សាធារណៈ. អនុវត្ត umask ដើម្បីដាក់កម្រិតការអនុញ្ញាត និងបង្កើតសោសម្រាប់ម៉ាស៊ីនមេ និងអតិថិជន។

umask 077
wg genkey | tee privatekey | wg pubkey > publickey

ធ្វើម្តងទៀតនៅលើឧបករណ៍នីមួយៗ។ មិនដែលចែករំលែក សោឯកជន និងរក្សាទុកទាំងពីរដោយសុវត្ថិភាព។ ប្រសិនបើអ្នកចូលចិត្ត បង្កើតឯកសារដែលមានឈ្មោះផ្សេងគ្នា ជាឧទាហរណ៍ ម៉ាស៊ីនមេឯកជន y publicserverkey.

រៀបចំម៉ាស៊ីនមេ

បង្កើតឯកសារសំខាន់នៅក្នុង /etc/wireguard/wg0.conf. កំណត់បណ្តាញរង VPN (មិនប្រើនៅលើ LAN ពិតប្រាកដរបស់អ្នក) ច្រក UDP និងបន្ថែមប្លុក [មិត្តភក្ដិ] សម្រាប់អតិថិជនដែលមានការអនុញ្ញាត។

[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = <clave_privada_servidor>

# Cliente 1
[Peer]
PublicKey = <clave_publica_cliente1>
AllowedIPs = 10.0.0.2/32

ឧទាហរណ៍ អ្នកក៏អាចប្រើបណ្តាញរងផ្សេងទៀតផងដែរ។ 192.168.2.0/24និងរីកចម្រើនជាមួយមិត្តភក្ដិច្រើន។ សម្រាប់ការដាក់ពង្រាយយ៉ាងឆាប់រហ័ស វាជារឿងធម្មតាក្នុងការប្រើប្រាស់ wg-រហ័ស ជាមួយឯកសារ wgN.conf ។

ការកំណត់រចនាសម្ព័ន្ធអតិថិជន

នៅលើម៉ាស៊ីនភ្ញៀវបង្កើតឯកសារឧទាហរណ៍ wg0-client.confជាមួយនឹងសោឯកជន អាសយដ្ឋានផ្លូវរូងក្រោមដី DNS ស្រេចចិត្ត និងម៉ាស៊ីនមេដែលមានចំណុចបញ្ចប់ និងច្រកសាធារណៈរបស់វា។

[Interface]
PrivateKey = <clave_privada_cliente>
Address = 10.0.0.2/24
DNS = 8.8.8.8

[Peer]
PublicKey = <clave_publica_servidor>
Endpoint = <ip_publica_servidor>:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25

ប្រសិនបើអ្នកដាក់ AllowedIPs = 0.0.0.0/0 ចរាចរណ៍ទាំងអស់នឹងឆ្លងកាត់ VPN ។ ប្រសិនបើអ្នកគ្រាន់តែចង់ទៅដល់បណ្តាញម៉ាស៊ីនមេជាក់លាក់ សូមកំណត់វាទៅបណ្តាញរងចាំបាច់ ហើយអ្នកនឹងកាត់បន្ថយ ភាពយឺតយ៉ាវ និងការប្រើប្រាស់។

ការបញ្ជូនបន្ត IP និង NAT នៅលើម៉ាស៊ីនមេ

បើកដំណើរការបញ្ជូនបន្ត ដូច្នេះអតិថិជនអាចចូលប្រើអ៊ីនធឺណិតតាមរយៈម៉ាស៊ីនមេ។ អនុវត្តការផ្លាស់ប្តូរភ្លាមៗជាមួយ អេសស៊ីល.

echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf
echo 'net.ipv6.conf.all.forwarding=1' >> /etc/sysctl.conf
sysctl -p

កំណត់រចនាសម្ព័ន្ធ NAT ជាមួយ iptables សម្រាប់បណ្តាញរង VPN កំណត់ចំណុចប្រទាក់ WAN (ឧទាហរណ៍ eth0):

iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADE

ធ្វើឱ្យវាជាប់លាប់ ជាមួយនឹងកញ្ចប់សមស្រប និងច្បាប់រក្សាទុកដែលត្រូវអនុវត្តនៅពេលចាប់ផ្ដើមប្រព័ន្ធឡើងវិញ។

apt install -y iptables-persistent netfilter-persistent
netfilter-persistent save

ការចាប់ផ្តើម និងការផ្ទៀងផ្ទាត់

បង្ហាញចំណុចប្រទាក់ ហើយបើកសេវាកម្មដើម្បីចាប់ផ្តើមជាមួយប្រព័ន្ធ។ ជំហាននេះបង្កើតចំណុចប្រទាក់និម្មិត និងបន្ថែម ផ្លូវ ចាំបាច់។

systemctl start wg-quick@wg0
systemctl enable wg-quick@wg0
wg

ជាមួយ wg អ្នកនឹងឃើញមិត្តភ័ក្តិ កូនសោ ការផ្ទេរប្រាក់ និងពេលវេលាចាប់ដៃចុងក្រោយ។ ប្រសិនបើគោលការណ៍ជញ្ជាំងភ្លើងរបស់អ្នកមានកម្រិត សូមអនុញ្ញាតឱ្យចូលតាមរយៈចំណុចប្រទាក់។ wg0 និងច្រក UDP នៃសេវាកម្ម៖

iptables -I INPUT 1 -i wg0 -j ACCEPT

កម្មវិធីផ្លូវការ៖ Windows, macOS, Android និង iOS

នៅលើផ្ទៃតុអ្នកអាចនាំចូល a ឯកសារ .conf. នៅលើឧបករណ៍ចល័ត កម្មវិធីអនុញ្ញាតឱ្យអ្នកបង្កើតចំណុចប្រទាក់ពី a QR code មានការកំណត់រចនាសម្ព័ន្ធ; វាងាយស្រួលសម្រាប់អតិថិជនដែលមិនមានបច្ចេកទេស។

ប្រសិនបើគោលដៅរបស់អ្នកគឺដើម្បីបង្ហាញសេវាកម្មដែលបង្ហោះដោយខ្លួនឯងដូចជា Plex/Radarr/Sonarr តាមរយៈ VPN របស់អ្នក គ្រាន់តែកំណត់ IPs នៅក្នុងបណ្តាញរង WireGuard ហើយកែតម្រូវ AllowedIPs ដូច្នេះអតិថិជនអាចទៅដល់បណ្តាញនោះ។ អ្នកមិនចាំបាច់បើកច្រកបន្ថែមទៅខាងក្រៅទេ ប្រសិនបើការចូលប្រើទាំងអស់គឺតាមរយៈ ផ្លូវរូងក្រោមដី។.

គុណសម្បត្តិនិងគុណវិបត្តិ

WireGuard មានល្បឿនលឿន និងសាមញ្ញ ប៉ុន្តែវាមានសារៈសំខាន់ណាស់ក្នុងការពិចារណាលើដែនកំណត់ និងភាពជាក់លាក់របស់វាអាស្រ័យលើករណីប្រើប្រាស់។ នេះគឺជាទិដ្ឋភាពទូទៅដែលមានតុល្យភាពនៃភាគច្រើនបំផុត។ ពាក់ព័ន្ធ.

គុណសម្បត្តិ	គុណវិបត្តិ
ការកំណត់រចនាសម្ព័ន្ធច្បាស់លាស់ និងខ្លី ល្អសម្រាប់ស្វ័យប្រវត្តិកម្ម	មិនរួមបញ្ចូលការស្ទះចរាចរណ៍ក្នុងស្រុក
ដំណើរការខ្ពស់ និងមានភាពយឺតយ៉ាវទាបសូម្បីតែនៅក្នុង ទូរស័ព្ទ	នៅក្នុងបរិយាកាសកេរ្តិ៍ដំណែលមួយចំនួន មានជម្រើសកម្រិតខ្ពស់តិចជាងមុន។
ការ​គ្រីប​ទំនើប​និង​កូដ​តូច​ដែល​ធ្វើ​ឱ្យ​វា​ងាយ​ស្រួល សវនកម្ម	ឯកជនភាព៖ ទំនាក់ទំនង IP/សាធារណៈអាចមានភាពរសើប អាស្រ័យលើគោលការណ៍
ការរ៉ូមីង និងកុងតាក់សម្លាប់គ្មានថ្នេរ មាននៅលើអតិថិជន	ភាពឆបគ្នារបស់ភាគីទីបីមិនតែងតែដូចគ្នាទេ។

 

ការបំបែកផ្លូវរូងក្រោមដី៖ ដឹកនាំតែអ្វីដែលចាំបាច់

ការបំបែកផ្លូវរូងក្រោមដីអនុញ្ញាតឱ្យអ្នកផ្ញើតែចរាចរណ៍ដែលអ្នកត្រូវការតាមរយៈ VPN ។ ជាមួយ IPs ដែលបានអនុញ្ញាត អ្នកសម្រេចចិត្តថាតើត្រូវធ្វើការប្តូរទិសដៅពេញលេញ ឬជ្រើសរើសទៅកាន់បណ្តាញរងមួយ ឬច្រើន។

# Redirección completa de Internet
[Peer]
AllowedIPs = 0.0.0.0/0

# Solo acceder a recursos de la LAN 192.168.1.0/24 por la VPN
[Peer]
AllowedIPs = 192.168.1.0/24

មានវ៉ារ្យ៉ង់ដូចជាការបំបែកផ្លូវរូងក្រោមដីបញ្ច្រាស ត្រងដោយ URL ឬតាមរយៈកម្មវិធី (តាមរយៈផ្នែកបន្ថែម/អតិថិជនជាក់លាក់) ទោះបីជាមូលដ្ឋានដើមនៅក្នុង WireGuard ត្រូវបានគ្រប់គ្រងដោយ IP និងបុព្វបទក៏ដោយ។

ភាពឆបគ្នានិងប្រព័ន្ធអេកូឡូស៊ី

WireGuard កើតមកសម្រាប់ខឺណែលលីនុច ប៉ុន្តែសព្វថ្ងៃនេះវាគឺជា ឆ្លងវេទិកាOPNsense រួមបញ្ចូលវាពីកំណើត។ pfSense ត្រូវបានបញ្ឈប់ជាបណ្តោះអាសន្នសម្រាប់ការធ្វើសវនកម្ម ហើយវាត្រូវបានផ្តល់ជូនជាបន្តបន្ទាប់ជាកញ្ចប់ស្រេចចិត្តអាស្រ័យលើកំណែ។

នៅលើ NAS ដូចជា QNAP អ្នកអាចភ្ជាប់វាតាមរយៈ QVPN ឬម៉ាស៊ីននិម្មិត ដោយទាញយកអត្ថប្រយោជន៍ពី 10GbE NICs ដើម្បី ល្បឿនខ្ពស់។ក្រុមប្រឹក្សារ៉ោតទ័រ MikroTik បានដាក់បញ្ចូលការគាំទ្រ WireGuard ចាប់តាំងពី RouterOS 7.x; នៅក្នុងកំណែដំបូងរបស់វា វាស្ថិតនៅក្នុងបេតា ហើយមិនត្រូវបានណែនាំសម្រាប់ការផលិតនោះទេ ប៉ុន្តែវាអនុញ្ញាតឱ្យផ្លូវរូងក្រោមដី P2P រវាងឧបករណ៍ និងសូម្បីតែអតិថិជនបញ្ចប់។

ក្រុមហ៊ុនផលិតដូចជា Teltonika មានកញ្ចប់បន្ថែម WireGuard ទៅរ៉ោតទ័ររបស់ពួកគេ។ ប្រសិនបើអ្នកត្រូវការឧបករណ៍ អ្នកអាចទិញវាបាននៅ shop.davantel.com ហើយធ្វើតាមការណែនាំរបស់អ្នកផលិតសម្រាប់ការដំឡើង កញ្ចប់ បន្ថែម។

ការអនុវត្តនិងភាពយឺតយ៉ាវ

សូមអរគុណចំពោះការរចនាតិចតួចបំផុតរបស់វា និងជម្រើសនៃក្បួនដោះស្រាយដ៏មានប្រសិទ្ធភាព WireGuard សម្រេចបាននូវល្បឿនលឿនបំផុត និង ភាពយឺតយ៉ាវទាបជាទូទៅប្រសើរជាង L2TP/IPsec និង OpenVPN។ នៅក្នុងការធ្វើតេស្តក្នុងស្រុកជាមួយនឹងផ្នែករឹងដ៏មានអានុភាព អត្រាពិតប្រាកដគឺច្រើនតែទ្វេដងនៃជម្រើសដែលធ្វើឱ្យវាល្អសម្រាប់ ការស្ទ្រីម ហ្គេម ឬ VoIP.

ការអនុវត្តសាជីវកម្ម និងការងារទូរគមនាគមន៍

នៅក្នុងសហគ្រាស WireGuard គឺសមរម្យសម្រាប់ការបង្កើតផ្លូវរូងក្រោមដីរវាងការិយាល័យ ការចូលប្រើបុគ្គលិកពីចម្ងាយ និងការតភ្ជាប់សុវត្ថិភាពរវាង CPD និងពពក (ឧ. សម្រាប់ការបម្រុងទុក)។ វាក្យសម្ព័ន្ធសង្ខេបរបស់វាធ្វើឱ្យកំណែ និងស្វ័យប្រវត្តិកម្មមានភាពងាយស្រួល។

វារួមបញ្ចូលជាមួយថតដូចជា LDAP/AD ដោយប្រើដំណោះស្រាយកម្រិតមធ្យម ហើយអាចរួមរស់ជាមួយវេទិកា IDS/IPS ឬ NAC ។ ជម្រើសដ៏ពេញនិយមមួយគឺ របងកញ្ចប់ (ប្រភពបើកចំហ) ដែលអនុញ្ញាតឱ្យអ្នកផ្ទៀងផ្ទាត់ស្ថានភាពនៃឧបករណ៍មុនពេលផ្តល់សិទ្ធិចូលប្រើ និងគ្រប់គ្រង BYOD ។

Windows/macOS៖ កំណត់ចំណាំ និងគន្លឹះ

កម្មវិធី Windows ផ្លូវការជាធម្មតាដំណើរការដោយគ្មានបញ្ហា ប៉ុន្តែនៅក្នុងកំណែមួយចំនួនរបស់ Windows 10 មានបញ្ហានៅពេលប្រើ AllowedIPs = 0.0.0.0/0 ដោយសារតែការប៉ះទង្គិចផ្លូវ។ ជាជម្រើសបណ្តោះអាសន្ន អ្នកប្រើប្រាស់មួយចំនួនជ្រើសរើសអតិថិជនដែលមានមូលដ្ឋានលើ WireGuard ដូចជា TunSafe ឬកំណត់ AllowedIPs ទៅនឹងបណ្តាញរងជាក់លាក់។

មគ្គុទ្ទេសក៍ចាប់ផ្តើមរហ័សរបស់ Debian ជាមួយឧទាហរណ៍សោ

បង្កើតកូនសោសម្រាប់ម៉ាស៊ីនមេ និងម៉ាស៊ីនភ្ញៀវចូល /etc/wireguard/ ហើយបង្កើតចំណុចប្រទាក់ wg0 ។ ត្រូវប្រាកដថា IPs VPN មិនត្រូវគ្នានឹង IP ផ្សេងទៀតនៅលើបណ្តាញមូលដ្ឋានរបស់អ្នក ឬអតិថិជនរបស់អ្នក។

cd /etc/wireguard/
wg genkey | tee claveprivadaservidor | wg pubkey > clavepublicaservidor
wg genkey | tee claveprivadacliente1 | wg pubkey > clavepublicacliente1

ម៉ាស៊ីនមេ wg0.conf ដែលមានបណ្តាញរង 192.168.2.0/24 និងច្រក 51820។ បើកដំណើរការ PostUp/PostDown ប្រសិនបើអ្នកចង់ធ្វើស្វ័យប្រវត្តិកម្ម ណ ជាមួយ iptables នៅពេលបង្ហាញ / ទម្លាក់ចំណុចប្រទាក់។

[Interface]
Address = 192.168.2.1/24
PrivateKey = <clave_privada_servidor>
ListenPort = 51820
#PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]
PublicKey = <clave_publica_cliente1>
AllowedIPs = 0.0.0.0/0

ម៉ាស៊ីនភ្ញៀវដែលមានអាសយដ្ឋាន 192.168.2.2 ចង្អុលទៅចំណុចបញ្ចប់សាធារណៈរបស់ម៉ាស៊ីនមេ និងជាមួយ រក្សា​ជីវិត ជាជម្រើសប្រសិនបើមាន NAT កម្រិតមធ្យម។

[Interface]
PrivateKey = <clave_privada_cliente1>
Address = 192.168.2.2/32

[Peer]
PublicKey = <clave_publica_servidor>
AllowedIPs = 0.0.0.0/0
Endpoint = <ip_publica_servidor>:51820
#PersistentKeepalive = 25

ទាញចំណុចប្រទាក់ឡើង ហើយមើលជា MTU ការសម្គាល់ផ្លូវ និង fwmark និងគោលការណ៍ណែនាំផ្លូវ។ ពិនិត្យមើលលទ្ធផល wg-រហ័ស និងស្ថានភាពជាមួយ wg បង្ហាញ.

Mikrotik៖ ផ្លូវរូងក្រោមដីរវាង RouterOS 7.x

MikroTik បានគាំទ្រ WireGuard ចាប់តាំងពី RouterOS 7.x ។ បង្កើតចំណុចប្រទាក់ WireGuard នៅលើរ៉ោតទ័រនីមួយៗ អនុវត្តវា ហើយវានឹងត្រូវបានបង្កើតដោយស្វ័យប្រវត្តិ។ គ្រាប់ចុច. កំណត់ IPs ទៅ Ether2 ជា WAN និង wireguard1 ជាចំណុចប្រទាក់ផ្លូវរូងក្រោមដី។

កំណត់រចនាសម្ព័ន្ធមិត្តភក្ដិដោយឆ្លងកាត់សោសាធារណៈរបស់ម៉ាស៊ីនមេនៅផ្នែកអតិថិជន ហើយផ្ទុយទៅវិញ កំណត់អាសយដ្ឋានដែលបានអនុញ្ញាត/AllowedIPs (ឧទាហរណ៍ 0.0.0.0/0 ប្រសិនបើអ្នកចង់អនុញ្ញាតប្រភព/ទិសដៅណាមួយតាមរយៈផ្លូវរូងក្រោមដី) ហើយកំណត់ចំណុចបញ្ចប់ពីចម្ងាយជាមួយនឹងច្រករបស់វា។ ការ ping ទៅ IP ផ្លូវរូងក្រោមដីពីចម្ងាយនឹងបញ្ជាក់ ចាប់ដៃ.

ប្រសិនបើអ្នកភ្ជាប់ទូរស័ព្ទចល័ត ឬកុំព្យូទ័រទៅផ្លូវរូងក្រោមដី Mikrotik សូមកែសម្រួលបណ្តាញដែលបានអនុញ្ញាត ដើម្បីកុំឱ្យបើកលើសពីការចាំបាច់។ WireGuard កំណត់លំហូរនៃកញ្ចប់ព័ត៌មានដោយផ្អែកលើរបស់អ្នក។ ការកំណត់ផ្លូវគ្រីបតូដូច្នេះ វាមានសារៈសំខាន់ណាស់ក្នុងការផ្គូផ្គងប្រភពដើម និងទិសដៅ។

ការសរសេរកូដសម្ងាត់ត្រូវបានប្រើប្រាស់

WireGuard ប្រើសំណុំទំនើបនៃ៖ ភាពមិនច្បាស់ ជាក្របខ័ណ្ឌ Curve25519 សម្រាប់ ECDH, ChaCha20 សម្រាប់ការអ៊ិនគ្រីបស៊ីមេទ្រីដែលបានផ្ទៀងផ្ទាត់ជាមួយ Poly1305, BLAKE2 សម្រាប់ hash, SipHash24 សម្រាប់តារាង hash និង HKDF សម្រាប់ការទាញយកពី គ្រាប់ចុចប្រសិនបើ​ក្បួន​ដោះស្រាយ​ត្រូវ​បាន​បដិសេធ ពិធីការ​អាច​ត្រូវ​បាន​កំណែ​ដើម្បី​ធ្វើ​ចំណាក​ស្រុក​យ៉ាង​រលូន។

គុណសម្បត្តិនិងគុណវិបត្តិនៅលើទូរស័ព្ទ

ការប្រើប្រាស់វានៅលើស្មាតហ្វូនអនុញ្ញាតឱ្យអ្នករុករកដោយសុវត្ថិភាព វ៉ាយហ្វាយសាធារណៈលាក់ចរាចរណ៍ពី ISP របស់អ្នក ហើយភ្ជាប់ទៅបណ្តាញផ្ទះរបស់អ្នក ដើម្បីចូលប្រើ NAS ស្វ័យប្រវត្តិកម្មនៅផ្ទះ ឬហ្គេម។ នៅលើ iOS/Android ការប្តូរបណ្តាញមិនដំណើរការផ្លូវរូងក្រោមដីទេ ដែលធ្វើអោយបទពិសោធន៍ប្រើប្រាស់កាន់តែប្រសើរ។

ជាគុណវិបត្តិ អ្នកអូសការបាត់បង់ល្បឿន និងភាពយឺតយ៉ាវកាន់តែច្រើនបើប្រៀបធៀបទៅនឹងទិន្នផលផ្ទាល់ ហើយអ្នកពឹងផ្អែកលើម៉ាស៊ីនមេជានិច្ច។ ដែលអាចប្រើបាន. ទោះយ៉ាងណាក៏ដោយ បើប្រៀបធៀបទៅនឹង IPsec/OpenVPN ការពិន័យជាធម្មតាទាបជាង។

WireGuard រួមបញ្ចូលគ្នានូវភាពសាមញ្ញ ល្បឿន និងសុវត្ថិភាពពិតប្រាកដជាមួយនឹងខ្សែកោងនៃការសិក្សាដ៏ទន់ភ្លន់៖ ដំឡើងវា បង្កើតសោ កំណត់ AllowedIPs ហើយអ្នកត្រៀមខ្លួនរួចរាល់ហើយ។ បន្ថែមការបញ្ជូនបន្ត IP, NAT ដែលបានអនុវត្តយ៉ាងល្អ កម្មវិធីផ្លូវការដែលមានលេខកូដ QR និងភាពឆបគ្នាជាមួយប្រព័ន្ធអេកូឡូស៊ីដូចជា OPNsense, Mikrotik ឬ Teltonika ។ VPN ទំនើប សម្រាប់ស្ទើរតែគ្រប់សេណារីយ៉ូ ចាប់ពីការធានាបណ្តាញសាធារណៈ ដល់ការភ្ជាប់ទីស្នាក់ការកណ្តាល និងការចូលប្រើសេវាកម្មផ្ទះរបស់អ្នកដោយមិនឈឺក្បាល។