WireGuard를 간편하게 사용하세요: 15분 만에 나만의 VPN을 만들어 보세요

빠르고 안전하며 끝없는 설정으로 짜증나지 않는 VPN을 찾고 계신가요? 와이어 가드 최고의 옵션 중 하나입니다. 이 현대적인 프로토콜은 단순성과 최첨단 암호화를 우선시하여 누구나 쉽게 안전한 터널을 설정할 수 있도록 합니다.

공용 네트워크에서 사용자를 보호하고 가정이나 회사 네트워크에 액세스할 수 있도록 하는 것 외에도, VPN은 지역 차단 및 검열을 우회하는 데 도움이 됩니다.WireGuard를 사용하면 놀라울 정도로 간단한 설정 과정을 통해 컴퓨터와 모바일 기기 모두에서 추가적인 개인 정보 보호와 성능을 누릴 수 있습니다.

WireGuard 간략히 보기

WireGuard는 VPN 소프트웨어 3계층(L3)에 맞춰 오픈소스로 지향됨 UDP만 사용하고 기본적으로 최신 암호화를 사용합니다.가장 큰 장점은 코드 줄이 매우 적은 미니멀리스트 디자인으로, 감사를 용이하게 하고 공격 표면을 줄이며 성능을 향상시킨다는 점입니다.

다른 VPN이 제공하는 것과 달리 여기서는 수십 개의 알고리즘이나 단계를 선택할 수 없습니다. WireGuard는 일관된 암호화 "패키지"를 정의합니다.알고리즘이 더 이상 사용되지 않으면 새로운 버전이 출시되고 클라이언트/서버는 업그레이드를 투명하게 협상합니다.

이 프로토콜은 항상 터널 모드에서 작동합니다. IPv4 및 IPv6를 지원합니다(필요한 경우 하나를 다른 하나 안에 캡슐화).이를 사용하려면 라우터에서 서버로 가는 UDP 포트(구성 가능)를 열어야 합니다.

호환성 및 지원

방화벽의 세계에서, OPNsense는 WireGuard를 커널에 통합합니다. 속도를 최대화하기 위해 pfSense에는 장단점이 있었습니다. 버전 2.5.0에 등장했고 보안 문제로 인해 2.5.1에서 제거되었습니다. 오늘은 패키지로 설치가 가능합니다 웹 인터페이스에서 관리됩니다.

 

사용된 암호화

WireGuard는 최신의 엄격한 감사 알고리즘을 사용합니다. 노이즈 프로토콜 프레임워크, Curve25519, ChaCha20, Poly1305, BLAKE2, SipHash 및 HKDF데이터 암호화에는 ChaCha20-Poly1305(AEAD)를 사용하고, Curve25519에서 ECDH를 교환하며, HKDF를 통해 키를 도출합니다.

이 접근 방식은 서로 다른 제품군을 혼합하는 것을 방지합니다. 구성 오류를 줄입니다또한 모든 노드가 동일한 암호화 언어를 사용하므로 문제 해결이 간소화됩니다.

성능 및 지연 시간

최소한의 구현과 저수준 통합이 가능합니다. 매우 빠른 속도와 매우 낮은 지연 시간L2TP/IPsec 및 OpenVPN과 실제 비교 시 WireGuard가 일반적으로 더 우수하며, 동일한 하드웨어에서 처리량을 두 배로 늘리는 경우가 많습니다.

불안정하거나 모바일 네트워크에서는 세션 복원이 빠릅니다 네트워크 변경(로밍) 후 재연결은 거의 눈에 띄지 않습니다. 리소스가 제한된 기기(라우터, IoT 기기)에서는 낮은 전력 소모가 CPU와 배터리 전력을 절약하여 큰 차이를 만들어냅니다.

Linux에 빠른 설치

최신 배포판에서는 WireGuard가 이미 안정적인 저장소에 포함되어 있습니다. Debian/Ubuntu에서는 간단히 설치하세요. 공식 패키지를 업데이트하고 설치하세요다른 경우에는 저장소를 추가하거나 커널 모듈을 활성화해야 할 수도 있습니다.

sudo apt update && sudo apt upgrade -y
sudo apt install wireguard -y
sudo modprobe wireguard

"안정적"이 아닌 브랜치를 사용하는 경우 우선 순위 제어 하에 "불안정/테스트" 저장소를 사용할 수 있습니다. 이상적으로는 안정적인 저장소에서 가져와야 합니다. 배포판이 출시되면 알려드리겠습니다.

키 생성

각 장치(서버와 클라이언트)에는 고유한 키 쌍이 필요합니다. 개인실은 잠가 두세요. 그리고 피어와만 공개된 것만 공유합니다.

umask 077
wg genkey | tee privatekey | wg pubkey > publickey

각 클라이언트에 대해 이 과정을 반복하고 이름으로 추적할 수 있습니다. 동료들 사이의 혼란을 피하다 배포가 확대됨에 따라.

서버 구성

일반적인 파일은 다음과 같습니다. /etc/wireguard/wg0.conf이 섹션에서는 VPN IP 주소, 개인 키, UDP 포트를 정의합니다. 각 섹션에서 클라이언트를 추가하고 해당 클라이언트의 공개 키와 승인된 IP 주소를 허용합니다.

Address = 192.168.2.1/24
ListenPort = 51820
PrivateKey = <clave_privada_servidor>
# Ejemplo de NAT automátizado con PostUp/PostDown, si lo necesitas
#PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE


PublicKey = <clave_publica_cliente1>
AllowedIPs = 192.168.2.2/32

# Añade más peers según necesites
#
#PublicKey = <clave_publica_cliente2>
#AllowedIPs = 192.168.2.3/32

모든 클라이언트 IP를 허용하고 경로를 별도로 관리하려는 경우 다음을 사용할 수 있습니다. 허용 된 IP = 0.0.0.0/0 피어 환경이지만 통제된 ​​환경에서는 추적을 위해 클라이언트당 /32를 할당하는 것이 더 좋습니다.

클라이언트 구성

La 섹션 VPN에는 개인 키와 IP가 저장되고, 서버의 공개 키, 엔드포인트, 라우팅 정책도 저장됩니다.

PrivateKey = <clave_privada_cliente>
Address = 192.168.2.2/32
DNS = 1.1.1.1


PublicKey = <clave_publica_servidor>
Endpoint = <IP_publica_servidor>:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25

El 지속적 Keepalive (25) 클라이언트가 비활성 매핑을 차단하는 NAT/방화벽 뒤에 있는 경우 이 설정이 유용합니다. AllowedIPs는 모든 트래픽을 VPN(0.0.0.0/0)을 통해 라우팅할지, 아니면 특정 서브넷만 라우팅할지 정의합니다.

NAT, 포워딩 및 방화벽

클라이언트가 서버를 통해 인터넷에 액세스할 수 있도록 하려면 다음이 필요합니다. IP 전달을 활성화합니다 WAN 인터페이스에 NAT를 적용합니다.

echo "net.ipv4.ip_forward=1" | sudo tee -a /etc/sysctl.conf
echo "net.ipv6.conf.all.forwarding=1" | sudo tee -a /etc/sysctl.conf
sudo sysctl -p

sudo iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j MASQUERADE

방화벽 정책이 제한적인 경우 wg0 인터페이스에서 트래픽을 허용합니다 방화벽/NAT 라우터에서 선택한 UDP 포트를 엽니다.

sudo iptables -I INPUT 1 -i wg0 -j ACCEPT

인터페이스를 불러오고 시작 시 서비스를 활성화하려면: wg-quick 및 systemd 그들은 당신을 위해 자동 조종 장치를 놓아 둡니다.

sudo wg-quick up wg0
sudo systemctl enable wg-quick@wg0

로밍, 킬 스위치 및 모빌리티

WireGuard는 일상적인 모바일 사용을 위해 설계되었습니다. Wi-Fi에서 4G/5G로 전환하면 터널이 순식간에 재설정됩니다.네트워크를 전환할 때 심각한 중단을 느끼지 못할 것입니다.

또한 다음을 활성화할 수 있습니다. 킬 스위치 (플랫폼이나 앱에 따라 다름) VPN이 다운되면 시스템이 복구될 때까지 트래픽을 차단하여 실수로 유출되는 것을 방지합니다.

스플릿 터널링

분할 터널을 사용하면 결정할 수 있습니다. 어떤 트래픽이 VPN을 통해 이동하고 어떤 트래픽이 직접 나가나요?낮은 대기 시간을 유지하는 데 유용합니다. 게임이나 화상 통화 터널을 통해 내부 리소스에 접근합니다.

두 가지 일반적인 구성 예 클라이언트에서 AllowedIPs 지시어를 사용합니다.

# Redirección total por la VPN

PublicKey = <clave_publica_servidor>
AllowedIPs = 0.0.0.0/0
Endpoint = <IP_publica_servidor>:51820

# Solo la LAN remota (por ejemplo, 192.168.1.0/24) a través de la VPN

PublicKey = <clave_publica_servidor>
AllowedIPs = 192.168.1.0/24
Endpoint = <IP_publica_servidor>:51820

이렇게 하면 속도/대기 시간에 미치는 영향이 줄어듭니다. 당신은 경험을 최적화합니다 정말로 보호해야 할 것이 무엇인지 알아보세요.

WireGuard의 장단점

• 마음에 드는: 속도, 낮은 지연 시간, 단순성, 최신 암호화, 리소스 소비 감소, 감사를 용이하게 하는 작은 코드베이스.
• 에 맞서: 일부 기존 생태계의 지원은 IPsec/OpenVPN보다 성숙도가 낮고, 고급 기능(스크립트 및 기본 난독화)이 제한적이며, 공개 키가 내부 터널 IP와 연결되기 때문에 개인 정보 보호에 대한 고려 사항이 있습니다.

방화벽, NAS 및 QNAP 지원

방화벽 유형의 어플라이언스에서는 OPNsense는 WireGuard를 통합합니다 커널 가속을 지원합니다. pfSense에서는 안정적인 통합을 기다리는 동안 패키지를 설치하고 GUI에서 편리하게 관리할 수 있습니다.

QNAP NAS에서 QVPN 2를 통해 L2TP/IPsec, OpenVPN, WireGuard 서버를 설정할 수 있습니다....AES-GCM으로 OpenVPN을 조정하거나 iperf3로 측정하려는 경우 Debian을 가상화할 수도 있습니다. 강력한 하드웨어(예: Ryzen 7 및 10GbE를 탑재한 QNAP)와 10GbE 클라이언트를 사용한 테스트에서 WireGuard는 성능을 두 배로 높였습니다. 동일한 로컬 환경에서 L2TP/IPsec 또는 OpenVPN과 비교.

모바일에서의 WireGuard: 장점과 단점

iOS와 Android에서 공식 앱을 사용하면 네트워크 간 원활한 전환이 간편해집니다. 주요 장점은 다음과 같습니다. 공용 Wi-Fi에서 안전하게 브라우징하기 호텔이나 공항에서 인터넷 서비스 제공업체(ISP)의 트래픽을 차단할 수 있습니다. 게다가, 직접 서버를 구축하면 마치 실제 현장에 있는 것처럼 집이나 회사에 접속할 수 있습니다.

논리적 대응은 다음과 같습니다. 약간의 지연이 추가되고 속도가 약간 떨어집니다.특히 모든 트래픽을 리디렉션하는 경우 더욱 그렇습니다. 하지만 WireGuard는 배터리 효율과 성능 측면에서 가장 우수한 프로토콜 중 하나입니다. 다음 권장 사항도 참조하세요. Android 귀하의 사건이 모바일인 경우.

다른 플랫폼에 설치하여 사용하세요

macOS, Windows, Android 및 iOS에서는 공식 앱이 있습니다. 다음 작업을 수행해야 합니다. .conf 파일을 가져오거나 QR 코드를 스캔하세요 구성 관리자에서 생성됩니다. 프로세스는 Linux의 프로세스와 거의 동일합니다.

VPS에 설정하려는 경우 다음 모범 사례를 기억하세요. 시스템 업데이트, 방화벽 활성화가능하다면 WireGuard UDP 포트를 허용된 IP로 제한하고 정책에 따라 필요한 경우 키를 순환합니다.

검증 및 진단

모든 것이 제대로 되어 있는지 확인하려면 기대십시오. wg와 wg-quick핸드셰이크, 전송된 바이트, 마지막 스왑 이후 시간이 표시됩니다.

wg
wg show

연결이 되지 않으면 다음을 확인하세요. 시스템 경로, NAT, 열린 UDP 포트 라우터에서 각 피어의 엔드포인트와 키가 올바른지 확인합니다. VPN에서 서버의 IP 주소로 ping을 보내는 것이 일반적으로 가장 먼저 유용한 테스트입니다.

간단한 접근 방식, 최신 암호화 및 눈에 띄는 성능을 통해 WireGuard는 선호되는 VPN으로서의 자리를 굳혔습니다. 개인 사용자와 기업 사용자 모두에게 적합합니다. 설치가 간편하고 관리가 편리하며, 원격 액세스, 사이트 간 연결, 보안 모빌리티, 분할 터널링 등 다양한 용도로 사용할 수 있어 거의 모든 시나리오에 적합합니다. 우수한 보안 관행, 잘 조정된 방화벽, 그리고 기본적인 모니터링 기능을 추가하면 빠르고 안정적이며 침입이 매우 어려운 터널을 구축할 수 있습니다.