WireGuard 전체 가이드: 설치, 키 및 고급 구성

당신이 찾고 있다면 VPN 빠르고 안전하며 배포하기 쉬운 와이어 가드 오늘날 사용할 수 있는 최고의 제품입니다. 미니멀한 디자인과 최신 암호화 기능을 탑재하여 가정 사용자, 전문가, 기업 환경 모두에 적합하며, 컴퓨터, 모바일 기기, 라우터 모두에서 사용할 수 있습니다.

이 실용적인 가이드에서는 기본 사항부터 다음 사항까지 모든 것을 찾을 수 있습니다. 고급 구성: Linux(Ubuntu/Debian/CentOS)에 설치, 키, 서버 및 클라이언트 파일, IP 전달, NAT/방화벽, Windows/macOS/Android/iOS에 대한 애플리케이션 분할 터널링, 성능, 문제 해결 및 OPNsense, pfSense, QNAP, Mikrotik 또는 Teltonika와 같은 플랫폼과의 호환성.

WireGuard란 무엇이고 왜 선택해야 하나요?

와이어 가드 오픈 소스 VPN 프로토콜이자 소프트웨어로, UDP를 통한 L3 암호화 터널. OpenVPN이나 ​​IPsec에 비해 단순성, 성능 및 낮은 대기 시간으로 인해 두드러지며 최신 알고리즘을 사용합니다. Curve25519, ChaCha20-Poly1305, BLAKE2, SipHash24 및 HKDF.

코드베이스는 매우 작습니다(약 수천 줄), 감사를 용이하게 하고, 공격 표면을 줄이며, 유지 관리를 개선합니다. 또한 Linux 커널에 통합되어 있어 높은 전송 속도 그리고 적당한 하드웨어에서도 민첩하게 대응합니다.

 

멀티플랫폼입니다. 공식 앱이 있습니다. 윈도우, 맥OS, 리눅스, 안드로이드, iOSOPNsense와 같은 라우터/방화벽 기반 시스템을 지원합니다. FreeBSD, OpenBSD, NAS 및 가상화 플랫폼과 같은 환경에서도 사용할 수 있습니다.

내부 작동 방식

 

WireGuard는 피어 간에 암호화된 터널을 설정합니다.동료) 키로 식별됩니다. 각 장치는 키 쌍(개인/공개)을 생성하고 해당 키만 공유합니다. 공개 키 반대쪽에서는 모든 트래픽이 암호화되고 인증됩니다.

지령 허용 된 IP 송신 라우팅(터널을 통과해야 하는 트래픽)과 원격 피어가 패킷을 성공적으로 복호화한 후 허용할 유효한 소스 목록을 모두 정의합니다. 이 접근 방식을 암호키 라우팅 교통 정책이 대폭 간소화됩니다.

WireGuard는 다음과 같은 점에서 우수합니다. 로밍- 클라이언트의 IP가 변경되는 경우(예: Wi-Fi에서 4G/5G로 전환) 세션이 투명하고 매우 빠르게 재설정됩니다. 또한 다음을 지원합니다. 킬 스위치 VPN이 다운되면 터널에서 나가는 트래픽을 차단합니다.

Linux에 설치: Ubuntu/Debian/CentOS

Ubuntu에서는 WireGuard를 공식 저장소에서 사용할 수 있습니다. 패키지를 업데이트한 후 소프트웨어를 설치하여 모듈과 도구를 받으세요. wg와 wg-quick.

apt update && apt upgrade -y
apt install wireguard -y
modprobe wireguard

Debian stable에서는 권장 방법을 따르고 필요한 경우 불안정한 브랜치 저장소를 사용할 수 있습니다. 생산에서의 주의:

sudo sh -c 'echo deb https://deb.debian.org/debian/ unstable main > /etc/apt/sources.list.d/unstable.list'
sudo sh -c 'printf "Package: *\nPin: release a=unstable\nPin-Priority: 90\n" > /etc/apt/preferences.d/limit-unstable'
sudo apt update
sudo apt install wireguard

CentOS 8.3에서는 흐름이 비슷합니다. 필요한 경우 EPEL/ElRepo 저장소를 활성화한 다음 패키지를 설치합니다. 와이어 가드 및 해당 모듈.

키 생성

각 피어는 자신의 것을 가져야 합니다. 개인/공개 키 쌍. umask를 적용하여 권한을 제한하고 서버와 클라이언트에 대한 키를 생성합니다.

umask 077
wg genkey | tee privatekey | wg pubkey > publickey

각 기기에서 반복하세요. 절대 공유하지 마세요. 개인 키 두 파일 모두 안전하게 저장하세요. 원하시면 다른 이름으로 파일을 만들어 보세요. 예를 들어, 개인키서버 y 공개서버키.

서버 구성

메인 파일을 생성하세요 /etc/wireguard/wg0.conf. VPN 서브넷(실제 LAN에서는 사용되지 않음)과 UDP 포트를 할당하고 블록을 추가합니다. [동료] 승인된 고객당.

[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = <clave_privada_servidor>

# Cliente 1
[Peer]
PublicKey = <clave_publica_cliente1>
AllowedIPs = 10.0.0.2/32

예를 들어 다른 서브넷을 사용할 수도 있습니다. 192.168.2.0/24, 여러 동료와 함께 성장합니다. 빠른 배포를 위해서는 다음을 사용하는 것이 일반적입니다. wg-퀵 wgN.conf 파일을 사용하여.

클라이언트 구성

클라이언트에서 파일을 생성합니다. 예를 들어, wg0-client.conf개인 키, 터널 주소, 선택 사항인 DNS, 공개 엔드포인트와 포트가 있는 서버의 피어.

[Interface]
PrivateKey = <clave_privada_cliente>
Address = 10.0.0.2/24
DNS = 8.8.8.8

[Peer]
PublicKey = <clave_publica_servidor>
Endpoint = <ip_publica_servidor>:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25

만약 당신이 넣으면 허용 된 IP = 0.0.0.0/0 모든 트래픽은 VPN을 통해 전달됩니다. 특정 서버 네트워크에만 도달하려는 경우 필요한 서브넷으로 제한하면 트래픽이 줄어듭니다. 레이턴시 그리고 소비.

서버의 IP 전달 및 NAT

클라이언트가 서버를 통해 인터넷에 액세스할 수 있도록 전달을 활성화합니다. 다음을 사용하여 변경 사항을 즉시 적용합니다. sysctl.

echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf
echo 'net.ipv6.conf.all.forwarding=1' >> /etc/sysctl.conf
sysctl -p

VPN 서브넷에 대해 iptables로 NAT를 구성하고 WAN 인터페이스를 설정합니다(예: eth0):

iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADE

지속적으로 만들어라 적절한 패키지와 저장 규칙을 사용하여 시스템을 재부팅할 때 적용합니다.

apt install -y iptables-persistent netfilter-persistent
netfilter-persistent save

시작 및 검증

인터페이스를 불러오고 시스템에서 서비스를 시작할 수 있도록 설정합니다. 이 단계에서는 가상 인터페이스를 생성하고 추가합니다. 노선 필요한.

systemctl start wg-quick@wg0
systemctl enable wg-quick@wg0
wg

와 wg 피어, 키, 전송 및 마지막 핸드셰이크 시간이 표시됩니다. 방화벽 정책이 제한적인 경우 인터페이스를 통한 진입을 허용하세요. wg0 그리고 서비스의 UDP 포트:

iptables -I INPUT 1 -i wg0 -j ACCEPT

공식 앱: Windows, macOS, Android 및 iOS

데스크탑에서 다음을 가져올 수 있습니다. .conf 파일모바일 기기에서 앱을 사용하면 인터페이스를 만들 수 있습니다. QR 코드 구성이 포함되어 있어 기술에 익숙하지 않은 고객에게 매우 편리합니다.

자체 호스팅 서비스를 노출하는 것이 목표인 경우 플렉스/레이더/소나르 VPN을 통해 WireGuard 서브넷에 IP를 할당하고 AllowedIPs를 조정하여 클라이언트가 해당 네트워크에 접속할 수 있도록 합니다. 모든 액세스가 해당 네트워크를 통해 이루어지는 경우 외부로 추가 포트를 열 필요가 없습니다. 터널.

장점과 단점

WireGuard는 매우 빠르고 간단하지만, 사용 사례에 따라 한계와 특수성을 고려하는 것이 중요합니다. 다음은 가장 중요한 기능에 대한 균형 잡힌 개요입니다. 관련된.

이점	단점
명확하고 간단한 구성으로 자동화에 이상적	네이티브 트래픽 난독화를 통합하지 않습니다.
고성능과 낮은 지연 시간도 제공합니다. 모바일	일부 레거시 환경에서는 고급 옵션이 더 적습니다.
현대 암호화와 이를 쉽게 만드는 작은 코드 심사	개인정보 보호: IP/공개 키 연결은 정책에 따라 민감할 수 있습니다.
클라이언트에서 원활한 로밍 및 킬 스위치 사용 가능	타사 호환성은 항상 동질적이지 않습니다.

 

분할 터널링: 필요한 것만 지시

분할 터널링을 사용하면 필요한 트래픽만 VPN을 통해 전송할 수 있습니다. 허용 된 IP 하나 이상의 서브넷으로 전체 리디렉션을 수행할지, 선택적으로 리디렉션할지 결정합니다.

# Redirección completa de Internet
[Peer]
AllowedIPs = 0.0.0.0/0

# Solo acceder a recursos de la LAN 192.168.1.0/24 por la VPN
[Peer]
AllowedIPs = 192.168.1.0/24

역방향 분할 터널링과 같은 변형이 있습니다. URL 또는 애플리케이션(특정 확장 프로그램/클라이언트)을 통해 제어할 수 있지만 WireGuard의 기본 원칙은 IP와 접두사로 제어하는 ​​것입니다.

호환성 및 생태계

WireGuard는 Linux 커널을 위해 탄생했지만 오늘날에는 크로스 플랫폼OPNsense는 이를 기본적으로 통합합니다. pfSense는 감사를 위해 일시적으로 중단되었으며 이후 버전에 따라 옵션 패키지로 제공되었습니다.

QNAP와 같은 NAS에서는 QVPN 또는 가상 머신을 통해 마운트하여 10GbE NIC를 활용할 수 있습니다. 고속MikroTik 라우터 보드는 RouterOS 7.x부터 WireGuard 지원을 통합했습니다. 초기 버전에서는 베타 상태였고 프로덕션에 권장되지 않았지만 장치와 최종 클라이언트 간의 P2P 터널을 허용합니다.

Teltonika와 같은 제조업체는 WireGuard를 라우터에 추가하는 패키지를 제공합니다. 장비가 필요한 경우 다음에서 구매할 수 있습니다. shop.davantel.com 그리고 설치를 위해 제조업체의 지침을 따르세요 꾸러미 추가.

성능 및 지연 시간

최소한의 디자인과 효율적인 알고리즘 선택 덕분에 WireGuard는 매우 빠른 속도를 달성합니다. 낮은 대기 시간일반적으로 L2TP/IPsec 및 OpenVPN보다 우수합니다. 강력한 하드웨어를 사용한 로컬 테스트에서 실제 속도는 다른 대안보다 두 배 이상 빠른 경우가 많아 이상적인 선택입니다. 스트리밍, 게임 또는 VoIP.

기업 구현 및 재택근무

기업에서 WireGuard는 사무실 간 터널 생성, 원격 직원 액세스 및 보안 연결에 적합합니다. CPD와 클라우드 (예: 백업) 간결한 구문 덕분에 버전 관리와 자동화가 쉽습니다.

중간 솔루션을 사용하여 LDAP/AD와 같은 디렉터리와 통합되며 IDS/IPS 또는 NAC 플랫폼과 함께 사용할 수 있습니다. 인기 있는 옵션은 다음과 같습니다. 패킷펜스 (오픈 소스)를 사용하면 BYOD에 대한 액세스 및 제어를 허용하기 전에 장비 상태를 확인할 수 있습니다.

Windows/macOS: 참고 사항 및 팁

공식 Windows 앱은 일반적으로 문제 없이 작동하지만 일부 Windows 10 버전에서는 사용 시 문제가 발생했습니다. 허용 된 IP = 0.0.0.0/0 경로 충돌로 인해 발생합니다. 임시적인 대안으로 일부 사용자는 TunSafe와 같은 WireGuard 기반 클라이언트를 사용하거나 AllowedIP를 특정 서브넷으로 제한하는 것을 선택합니다.

예제 키가 포함된 Debian 빠른 시작 가이드

서버와 클라이언트에 대한 키 생성 /등/와이어가드/ wg0 인터페이스를 생성하세요. VPN IP가 로컬 네트워크나 클라이언트의 다른 IP와 일치하지 않는지 확인하세요.

cd /etc/wireguard/
wg genkey | tee claveprivadaservidor | wg pubkey > clavepublicaservidor
wg genkey | tee claveprivadacliente1 | wg pubkey > clavepublicacliente1

서브넷 192.168.2.0/24 및 포트 51820이 있는 wg0.conf 서버. 자동화하려면 PostUp/PostDown을 활성화하세요. NAT 인터페이스를 켜거나 끌 때 iptables를 사용합니다.

[Interface]
Address = 192.168.2.1/24
PrivateKey = <clave_privada_servidor>
ListenPort = 51820
#PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]
PublicKey = <clave_publica_cliente1>
AllowedIPs = 0.0.0.0/0

서버의 공개 엔드포인트를 가리키고 주소가 192.168.2.2인 클라이언트 살아 유지 중간 NAT가 있는 경우 선택 사항입니다.

[Interface]
PrivateKey = <clave_privada_cliente1>
Address = 192.168.2.2/32

[Peer]
PublicKey = <clave_publica_servidor>
AllowedIPs = 0.0.0.0/0
Endpoint = <ip_publica_servidor>:51820
#PersistentKeepalive = 25

인터페이스를 끌어올리고 MTU, 경로 표시 등을 살펴보세요. fw마크 및 라우팅 정책 규칙. wg‑quick 출력 및 상태를 검토하세요. wg 쇼.

Mikrotik: RouterOS 7.x 간 터널

MikroTik은 RouterOS 7.x부터 WireGuard를 지원해 왔습니다. 각 라우터에 WireGuard 인터페이스를 생성하고 적용하면 자동으로 생성됩니다. clavesEther2에 WAN으로 IP를 할당하고, Wireguard1에 터널 인터페이스로 IP를 할당합니다.

클라이언트 측에서 서버의 공개 키를 교차하여 피어를 구성하고 그 반대로 허용 주소/허용 IP를 정의합니다(예: 0.0.0.0/0 터널을 통해 모든 소스/대상을 허용하려면 원격 엔드포인트의 포트를 설정합니다. 원격 터널 IP로 ping을 보내면 확인됩니다. 악수.

모바일폰이나 컴퓨터를 Mikrotik 터널에 연결하는 경우 허용된 네트워크를 미세 조정하여 필요 이상으로 열리지 않도록 합니다. WireGuard는 사용자의 패킷 흐름을 결정합니다. 암호키 라우팅따라서 출발지와 목적지를 일치시키는 것이 중요합니다.

사용된 암호화

WireGuard는 다음과 같은 최신 기술을 사용합니다. 노이즈 프레임워크로서 ECDH를 위한 Curve25519, Poly1305를 사용한 인증된 대칭 암호화를 위한 ChaCha20, 해싱을 위한 BLAKE2, 해시 테이블을 위한 SipHash24 및 파생을 위한 HKDF claves알고리즘이 더 이상 사용되지 않으면 프로토콜 버전을 관리하여 원활하게 마이그레이션할 수 있습니다.

모바일의 장단점

스마트폰에서 사용하면 안전하게 탐색할 수 있습니다. 공공 Wi-FiISP 트래픽을 숨기고, 홈 네트워크에 연결하여 NAS, 홈 자동화 또는 게임에 접속할 수 있습니다. iOS/Android에서는 네트워크 전환 시 터널링이 중단되지 않아 사용자 경험이 향상됩니다.

단점으로는 직접 출력에 비해 속도 저하와 대기 시간이 길어지고 서버가 항상 켜져 있어야 한다는 것입니다. 장군은 일시적으로 연결이그러나 IPsec/OpenVPN과 비교하면 페널티가 일반적으로 낮습니다.

WireGuard는 간편함, 속도, 그리고 실질적인 보안을 쉬운 학습 곡선과 결합합니다. 설치하고, 키를 생성하고, AllowedIPs를 정의하면 바로 사용할 수 있습니다. IP 포워딩, 잘 구현된 NAT, QR 코드가 포함된 공식 앱, 그리고 OPNsense, Mikrotik, Teltonika와 같은 생태계와의 호환성까지 제공합니다. 최신 VPN 공공 네트워크 보안부터 본사 연결, 그리고 어려움 없이 홈 서비스에 접속하는 것까지 거의 모든 시나리오에 적합합니다.