- Mîmariya hêsan û şîfrekirina modern: mifteyên her-heval û AllowedIP ji bo rêwerzê.
- Sazkirina bilez li ser Linux û sepanên fermî ji bo sermase û mobîl.
- Performansek bilindtir ji IPsec/OpenVPN, bi gerokî û latencyek kêm.
Eger hûn li pey VPN ku bilez, ewledar û hêsan tê bicihkirin, WireGuard Ew çêtirîn e ku hûn îro dikarin bikar bînin. Bi sêwirana mînîmalîst û krîptografyaya modern, ew ji bo bikarhênerên malê, pisporan û jîngehên pargîdaniyê, hem li ser komputeran û hem jî li ser cîhazên mobîl û routeran îdeal e.
Di vê rêbernameya pratîkî de hûn ê her tiştî, ji bingehan bigire heya... bibînin mîhengên pêşketîSazkirin li ser Linux (Ubuntu/Debian/CentOS), mifte, pelên server û xerîdar, veguheztina IP-ê, NAT/Dîwarê agir, sepanên li ser Windows/macOS/Android/iOS, split tunneling, performans, çareserkirina pirsgirêkan, û lihevhatina bi platformên wekî OPNsense, pfSense, QNAP, Mikrotik an Teltonika re.
WireGuard çi ye û çima wê hilbijêrin?
WireGuard protokol û nermalava VPN-ya çavkaniya vekirî ye ku ji bo afirandinê hatî çêkirin Tunelên şîfrekirî yên L3 li ser UDPEw ji hêla sadehiya xwe, performans û latency-ya kêmtir ve li gorî OpenVPN an IPsec-ê cuda dibe, ku xwe dispêre algorîtmayên nûjen ên wekî Curve25519, ChaCha20-Poly1305, BLAKE2, SipHash24 û HKDF.
Koda wê pir piçûk e (dora bi hezaran rêz), ku kontrolkirinan hêsan dike, rûbera êrîşê kêm dike û lênêrînê baştir dike. Ew di heman demê de di nav kernela Linux-ê de jî entegre ye, rê dide altas tasas de transferencia û bersiva çevik hetta li ser alavên nerm jî.
Pirplatform e: sepanên fermî hene ji bo Windows, macOS, Linux, Android û iOS, û piştgiriya pergalên wekî OPNsense yên ku li ser router/firewall-ê dixebitin heye. Ew ji bo jîngehên wekî FreeBSD, OpenBSD, û NAS û platformên virtualîzasyonê jî heye.
Cómo funciona por dentro
WireGuard tunelek şîfrekirî di navbera hevalên xwe de ava dike (peers) bi mifteyan tê naskirin. Her cîhaz cotek mifteyan çêdike (taybet/giştî) û tenê ya wê parve dike clave pública bi dawiya din re; ji wir, hemî trafîk tê şîfrekirin û rastkirin.
La directiva AllowedIPs Hem rêça derketinê (çi trafîk divê di tunelê re derbas bibe) û hem jî lîsteya çavkaniyên derbasdar ên ku hevtayê dûr piştî şîfrekirina serketî ya pakêtek qebûl dike, destnîşan dike. Ev rêbaz wekî tê zanîn Cryptokey Routing û siyaseta trafîkê pir hêsan dike.
WireGuard bi wan re pir baş e. gerîn- Ger navnîşana IP ya xerîdarê we biguhere (mînak, hûn ji Wi-Fi derbasî 4G/5G bibin), danişîn bi awayekî zelal û pir zû ji nû ve tê sazkirin. Ew her weha piştgirî dike guhêrbarê kuştinê ji bo astengkirina trafîkê ji tunelê ger VPN qut bibe.
Sazkirin li ser Linuxê: Ubuntu/Debian/CentOS
Li ser Ubuntu, WireGuard di depoyên fermî de heye. Pakêtan nûve bikin û dûv re nermalavê saz bikin da ku modul û amûran bistînin. wg û wg-quick.
apt update && apt upgrade -y
apt install wireguard -y
modprobe wireguardDi Debian stabîl de, heke pêwîst be, hûn dikarin xwe bispêrin depoyên şaxên nestabîl, bi şopandina rêbaza pêşniyarkirî û bi lênêrîn di hilberînê de:
sudo sh -c 'echo deb https://deb.debian.org/debian/ unstable main > /etc/apt/sources.list.d/unstable.list'
sudo sh -c 'printf "Package: *\nPin: release a=unstable\nPin-Priority: 90\n" > /etc/apt/preferences.d/limit-unstable'
sudo apt update
sudo apt install wireguardDi CentOS 8.3 de herikîn dişibihe hev: heke pêwîst be hûn depoyên EPEL/ElRepo çalak dikin û dûv re pakêtê saz dikin. WireGuard û modulên têkildar.
Generación de claves
Divê her hevalek xwedîyê xwe be cotek mifteya taybet/giştîUmask bikar bîne da ku destûrnameyan sînordar bike û mifteyên ji bo server û xerîdaran çêbike.
umask 077
wg genkey | tee privatekey | wg pubkey > publickeyLi ser her cîhazê dubare bike. Qet parve neke clave privada û herduyan bi ewlehî tomar bike. Heke hûn tercîh dikin, pelên bi navên cûda biafirînin, bo nimûne servera mifteya taybet y mifteya servera giştî.
Configuración del servidor
Dosyeya sereke li vir biafirîne /etc/wireguard/wg0.conf. Bintoreke VPN (ku li ser LAN-a we ya rastîn nayê bikar anîn), porta UDP-ê destnîşan bikin û blokek lê zêde bikin. [Peer] ji bo her xerîdarê destûrdar.
[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = <clave_privada_servidor>
# Cliente 1
[Peer]
PublicKey = <clave_publica_cliente1>
AllowedIPs = 10.0.0.2/32Her weha hûn dikarin toreke din bikar bînin, bo nimûne 192.168.2.0/24, û bi gelek hevtayên xwe re mezin bibin. Ji bo bicihkirinên bilez, bikaranîna wê gelemperî ye wg-quick bi pelên wgN.conf re.
Configuración del cliente
Li ser xerîdar pelê biafirîne, bo nimûne wg0-client.conf, bi mifteya xwe ya taybet, navnîşana tunelê, DNS-a vebijarkî, û hevtayê serverê bi xala xwe ya dawî û porta xwe ya giştî.
[Interface]
PrivateKey = <clave_privada_cliente>
Address = 10.0.0.2/24
DNS = 8.8.8.8
[Peer]
PublicKey = <clave_publica_servidor>
Endpoint = <ip_publica_servidor>:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25Si pones AllowedIPs = 0.0.0.0/0 Hemû trafîk dê bi rêya VPN-ê derbas bibe; heke hûn tenê dixwazin bigihîjin torên serverên taybetî, wê bi jêr-torên pêwîst ve sînordar bikin û hûn ê kêm bikin derengketin y consumo.
Pêşvebirina IP û NAT li ser Serverê
Beralîkirinê çalak bike da ku xerîdar bikaribin bi rêya serverê bigihîjin înternetê. Guhertinan di cih de bicîh bîne bi sysctl.
echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf
echo 'net.ipv6.conf.all.forwarding=1' >> /etc/sysctl.conf
sysctl -pNAT bi iptables ji bo jêrtora VPN-ê mîheng bike, navrûya WAN-ê saz bike (mînakî, eth0):
iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADEWê domdar bike bi pakêtên guncaw û qaîdeyên tomarkirinê re ku di dema ji nû ve destpêkirina pergalê de werin sepandin.
apt install -y iptables-persistent netfilter-persistent
netfilter-persistent saveDestpêkirin û verastkirin
Navrûyê veke û xizmetê çalak bike da ku bi pergalê re dest pê bike. Ev gav navrûya virtual diafirîne û lê zêde dike rêyan necesarias.
systemctl start wg-quick@wg0
systemctl enable wg-quick@wg0
wgBi wg Hûn ê hevtayên ... wg0 û porta UDP ya xizmetê:
iptables -I INPUT 1 -i wg0 -j ACCEPT
Serlêdanên fermî: Windows, macOS, Android, û iOS
Li ser sermaseyê hûn dikarin wêneyekî import bikin Pelê .confLi ser cîhazên mobîl, sepan dihêle hûn navrûyê ji Koda QR ku mîhengê dihewîne; ji bo xerîdarên ne-teknîkî pir hêsan e.
Ger armanca we ew e ku karûbarên xwe-mêvandar ên wekî vê yekê eşkere bikin Plex/Radarr/Sonarr Bi rêya VPN-ya xwe, tenê IP-yan di bintora WireGuard de destnîşan bikin û AllowedIP-an rast bikin da ku xerîdar bikaribe bigihîje wê torê; heke hemî gihîştin bi rêya be, hûn ne hewce ne ku portên zêde ji derve vekin. túnel.
Ventajas y desventajas
WireGuard pir bilez û hêsan e, lê girîng e ku meriv sînorkirin û taybetmendiyên wê li gorî rewşa karanînê li ber çavan bigire. Li vir nirxandinek hevseng a herî nikartê.
| Awantaj | Dezawantajên |
|---|---|
| Mîhengên zelal û kurt, îdeal ji bo otomasyonê | Astengkirina trafîkê ya xwemalî tê de nagire |
| Performansa bilind û derengiya kêm jî di mobîl | Di hin jîngehên kevn de vebijarkên pêşkeftî kêmtir in. |
| Kriptografiya nûjen û koda piçûk ku wê hêsan dike auditoría | Nepenî: Têkiliya IP/kilîta giştî dikare li gorî polîtîkayan hesas be |
| Gerandina bênavber û guheztina kuştinê li ser xerîdaran heye | Lihevhatina partiya sêyemîn ne her gav homojen e |
Tunekirina parçekirî: tenê tiştê pêwîst rêve dibe
Tunekirina dabeşkirî dihêle hûn tenê trafîka ku hûn hewce ne bi rêya VPN-ê bişînin. Bi AllowedIPs Hûn biryar didin ka beralîkirina tevahî an bijartî bo yek an çend jêrşefan bikin.
# Redirección completa de Internet
[Peer]
AllowedIPs = 0.0.0.0/0# Solo acceder a recursos de la LAN 192.168.1.0/24 por la VPN
[Peer]
AllowedIPs = 192.168.1.0/24Guhertoyên wekî tunelkirina berevajî ya dabeşkirî hene, ku ji hêla ve têne fîltrekirin URL an jî bi serîlêdanê (bi rêya dirêjkirin/xerîdarên taybetî), her çend bingeha xwemalî di WireGuard de kontrola bi IP û pêşgiran e.
Compatibilidad y ecosistema
WireGuard ji bo kernela Linux-ê ji dayik bû, lê îro ew e pirplatformOPNsense wê bi awayekî xwemalî entegre dike; pfSense ji bo vekolînan demkî hate rawestandin, û paşê li gorî guhertoyê wekî pakêtek vebijarkî hate pêşkêş kirin.
Li ser NAS-ê mîna QNAP-ê hûn dikarin wê bi rêya QVPN an makîneyên virtual ve saz bikin, û sûd ji NIC-ên 10GbE werbigirin. altas velocidadesKartên routerên MikroTik ji RouterOS 7.x vir ve piştgiriya WireGuard vedihewînin; di guhertoyên xwe yên destpêkê de, ew di betayê de bû û ji bo hilberînê nayê pêşniyar kirin, lê ew destûrê dide tunelên P2P di navbera cîhazan û tewra xerîdarên dawîn de.
Hilberînerên mîna Teltonika pakêtek heye ku WireGuard li routerên xwe zêde bikin; heke hûn hewceyê alavan bin, hûn dikarin wan li bikirin shop.davantel.com û rêbernameyên sazkirinê yên çêker bişopînin paquetes biserde.
Rendimiento y latencia
Bi saya sêwirana xwe ya mînîmalîst û hilbijartina algorîtmayên bikêrhatî, WireGuard bi leza pir zêde û ... latencias bajas, bi gelemperî ji L2TP/IPsec û OpenVPN çêtir e. Di ceribandinên herêmî de bi alavên bihêz, rêjeya rastîn pir caran du qat ji ya alternatîfan e, ku ew ji bo îdeal dike. weşana zindî, lîstik an VoIP.
Pêkanîna pargîdaniyê û karê ji dûr ve
Di pargîdaniyê de, WireGuard ji bo çêkirina tunelan di navbera ofîsan, gihîştina karmendên dûr, û girêdanên ewledar di navbera wan de guncan e. CPD û ewr (mînak, ji bo hilanîna kopiyan). Rêzimana wê ya kurt guhertoykirin û otomasyonê hêsan dike.
Ew bi karanîna çareseriyên navberî bi peldankên wekî LDAP/AD re entegre dibe û dikare bi platformên IDS/IPS an NAC re bi hev re be. Vebijarkek populer ev e PacketFence (çavkaniya vekirî), ku dihêle hûn rewşa alavan berî dayîna gihîştin û kontrolkirina BYOD-ê verast bikin.
Windows/macOS: Têbînî û Serişte
Serlêdana fermî ya Windows-ê bi gelemperî bê pirsgirêk dixebite, lê di hin guhertoyên Windows 10-ê de dema karanîna wê pirsgirêk çêbûne. AllowedIPs = 0.0.0.0/0 ji ber nakokiyên rêyan. Wekî alternatîfek demkî, hin bikarhêner xerîdarên li ser bingeha WireGuard-ê yên wekî TunSafe an jî sînordarkirina AllowedIP-an bi jêr-torên taybetî hildibijêrin.
Rêbernameya Destpêkirina Bilez a Debian bi Bişkokên Mînakî
Mifteyên ji bo server û xerîdar çêbikin di /etc/wireguard/ û navrûya wg0 biafirîne. Piştrast bike ku IP-yên VPN-ê bi IP-yên din ên li ser tora weya herêmî an xerîdarên we re li hev nakin.
cd /etc/wireguard/
wg genkey | tee claveprivadaservidor | wg pubkey > clavepublicaservidor
wg genkey | tee claveprivadacliente1 | wg pubkey > clavepublicacliente1servera wg0.conf bi binneta 192.168.2.0/24 û porta 51820. Heke hûn dixwazin otomatîk bikin, PostUp/PostDown çalak bikin. NAT bi iptables re dema ku navrûyê vedike/jê dike.
[Interface]
Address = 192.168.2.1/24
PrivateKey = <clave_privada_servidor>
ListenPort = 51820
#PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
[Peer]
PublicKey = <clave_publica_cliente1>
AllowedIPs = 0.0.0.0/0Xerîdarê bi navnîşana 192.168.2.2, ku nîşan dide ku ber bi xala dawî ya giştî ya serverê ve ye û bi keepalive vebijarkî heke NAT-a navîn hebe.
[Interface]
PrivateKey = <clave_privada_cliente1>
Address = 192.168.2.2/32
[Peer]
PublicKey = <clave_publica_servidor>
AllowedIPs = 0.0.0.0/0
Endpoint = <ip_publica_servidor>:51820
#PersistentKeepalive = 25Navrûyê veke û temaşe bike ka MTU, nîşaneyên rêyê, û fwmark û rêgezên siyaseta rêwerdanê. Derana wg-quick û rewşê bi wg show.
Mikrotik: tunelek di navbera RouterOS 7.x
MikroTik ji RouterOS 7.x vir ve piştgiriya WireGuard dike. Li ser her routerek navrûyek WireGuard biafirînin, wê bicîh bînin, û ew ê bixweber were çêkirin. clavesIP-yan wekî WAN ji bo Ether2 û wekî navrûya tunelê jî ji bo wireguard1 destnîşan bikin.
Bi derbaskirina mifteya giştî ya serverê li aliyê xerîdar û berevajî wê, hevtayên xwe mîheng bike, Navnîşana Destûrdayî/IP-yên Destûrdayî destnîşan bike (mînak 0.0.0.0/0 eger hûn dixwazin rê bidin her çavkanî/armancek bi rêya tunelê) û xala dawî ya dûr bi porta wê destnîşan bikin. Pingek ji bo IP-ya tunela dûr dê piştrast bike handshake.
Heke hûn telefonên desta an komputeran bi tunela Mikrotik ve girêdidin, torên destûrdayî baş mîheng bikin da ku ji pêwîstiyê zêdetir venebin; WireGuard herikîna pakêtan li gorî we diyar dike. Cryptokey Routing, ji ber vê yekê girîng e ku cihê jêderk û cihên gihîştinê li hev bên.
Criptografía utilizada
WireGuard komek nûjen bikar tîne: Noise wek çarçoveyek, Curve25519 ji bo ECDH, ChaCha20 ji bo şîfrekirina sîmetrîk a pejirandî bi Poly1305, BLAKE2 ji bo heşkirinê, SipHash24 ji bo tabloyên heşkirinê û HKDF ji bo derxistina clavesEger algorîtmayek neyê bikaranîn, protokol dikare were guhertokirin da ku bi awayekî bê pirsgirêk koç bike.
Erênî û neyînîyên li ser mobîl
Bikaranîna wê li ser têlefonên jîr dihêle hûn bi ewlehî li ser bigerin Wi‑Fi públicas, trafîkê ji ISP-ya xwe veşêrin, û ji bo gihîştina NAS, otomasyona malê, an lîstikê bi tora mala xwe ve girêdin. Li ser iOS/Android, guheztina toran tunelê nagire, ku ev yek ezmûnê çêtir dike.
Wekî dezavantaj, hûn hin windakirina leza û derengmayînek mezintir li gorî derana rasterast dikişînin, û hûn bi serverê ve girêdayî ne ku her gav hebe. berdesteLêbelê, li gorî IPsec/OpenVPN ceza bi gelemperî kêmtir e.
WireGuard sadehî, lez û ewlehiya rastîn bi xêzek fêrbûnê ya nerm re dike yek: wê saz bike, mifteyan çêbike, AllowedIP-an destnîşan bike, û hûn amade ne ku biçin. Pêşvebirina IP-ê, NAT-a baş-bicîhkirî, sepanên fermî bi kodên QR, û lihevhatina bi ekosîstemên wekî OPNsense, Mikrotik, an Teltonika re zêde bike. VPN-yeke modern ji bo hema hema her senaryoyekê, ji ewlekirina torên giştî bigire heya girêdana baregehê û gihîştina karûbarên mala we bê serêş.
Edîtorê pisporê teknolojî û pirsgirêkên înternetê bi zêdetirî deh salan ezmûna xwe di medyaya dîjîtal a cihêreng de heye. Min ji bo pargîdaniyên e-bazirganî, ragihandinê, kirrûbirra serhêl û reklamê wekî edîtor û afirînerê naverokê xebitî. Min li ser malperên aborî, darayî û sektorên din jî nivîsandiye. Karê min jî hewesa min e. Naha, bi gotarên min di nav de Tecnobits, Ez hewl didim ku hemî nûçe û derfetên nû yên ku cîhana teknolojiyê her roj pêşkêşî me dike ji bo baştirkirina jiyana me bikolim.