WireGuard ir vienkārši lietojams: izveidojiet savu VPN 15 minūtēs

Vai meklējat VPN, kas ir ātrs, drošs un neapgrūtinās jūs ar nebeidzamām iestatīšanas reizēm? WireGuard Tā ir viena no labākajām iespējām. Šis modernais protokols piešķir prioritāti vienkāršībai un modernākajai kriptogrāfijai, atvieglojot droša tuneļa izveidi ikvienam.

Papildus jūsu aizsardzībai publiskajos tīklos un piekļuves ļaušanai jūsu mājas vai uzņēmuma tīklam, VPN palīdz apiet ģeogrāfiskos bloķējumus un cenzūruIzmantojot WireGuard, šī papildu privātums un veiktspēja nāk ar pārsteidzoši vienkāršu iestatīšanas procesu gan datoros, gan mobilajās ierīcēs.

Īsumā par WireGuard

WireGuard ir VPN programmatūra atvērtā koda programmatūra, kas orientēta uz 3. slāni (L3), Pēc noklusējuma tas izmanto tikai UDP un modernu kriptogrāfiju.Tā galvenā priekšrocība ir minimālistisks dizains ar ļoti nelielu koda rindiņu skaitu, kas atvieglo auditus, samazina uzbrukuma virsmu un uzlabo veiktspēju.

Atšķirībā no citu VPN piedāvājumiem, šeit jūs neizvēlaties desmitiem algoritmu vai fāžu; WireGuard definē saskaņotu kriptogrāfisku “paketi”Ja algoritms tiek novecojis, tiek izlaista jauna versija, un klienti/serveris caurspīdīgi vienojas par jaunināšanu.

Šis protokols vienmēr darbojas tuneļa režīmā, un Tas atbalsta IPv4 un IPv6 (vajadzības gadījumā iekapsulējot vienu otrā)Lai to izmantotu, maršrutētājā būs jāatver UDP ports (konfigurējams) uz serveri.

Saderība un atbalsts

Ugunsmūru pasaulē OPNsense integrē WireGuard kodolā lai maksimāli palielinātu ātrumu. pfSense bija savi plusi un mīnusi: tas parādījās 2.5.0 versijā, tika noņemts 2.5.1 versijā drošības trūkumu dēļ un Mūsdienās to var instalēt kā paketi. pārvaldīts no tīmekļa saskarnes.

 

Izmantotā kriptogrāfija

WireGuard paļaujas uz modernu un augsti auditētu algoritmu kopumu: Trokšņa protokola ietvars, Curve25519, ChaCha20, Poly1305, BLAKE2, SipHash un HKDFDatu šifrēšanai tiek izmantots ChaCha20-Poly1305 (AEAD), ar ECDH apmaiņu, izmantojot Curve25519, un atslēgu atvasināšanu ar HKDF.

Šī pieeja ļauj izvairīties no atšķirīgu komplektu sajaukšanas un samazina konfigurācijas kļūdasTas arī vienkāršo problēmu novēršanu, jo visi mezgli runā vienā un tajā pašā kriptogrāfiskajā valodā.

Veiktspēja un latentums

Minimālistiska ieviešana un zema līmeņa integrācija ļauj ļoti liels ātrums un ļoti zema latentumaReālās pasaules salīdzinājumos ar L2TP/IPsec un OpenVPN, WireGuard parasti izceļas ar augstāko līmeni, bieži vien dubultojot caurlaidspēju tajā pašā aparatūrā.

Nestabilos vai mobilajos tīklos Sesijas atjaunošana ir ātra Un atkārtota savienojuma izveide pēc tīkla izmaiņām (viesabonēšanas) ir tik tikko pamanāma. Ierīcēs ar ierobežotiem resursiem (maršrutētājiem, lietu interneta ierīcēm) tā zemais enerģijas patēriņš ir ļoti svarīgs, ietaupot procesora un akumulatora enerģiju.

Ātra instalēšana operētājsistēmā Linux

Mūsdienu distribūcijās WireGuard jau ir pieejams stabilās krātuvēs. Debian/Ubuntu sistēmās to vienkārši instalējiet. atjauniniet un instalējiet oficiālo pakotniCitos gadījumos, iespējams, būs jāpievieno repozitoriji vai jāaktivizē kodola modulis.

sudo apt update && sudo apt upgrade -y
sudo apt install wireguard -y
sudo modprobe wireguard

Ja izmantojat atzaru, kurā tas nav “stable” mapē, varat izmantot “unstable/testing” repozitorijus ar prioritātes kontroli, lai gan Ideālā gadījumā to vajadzētu ievākt no stabilās krātuves. jūsu distro, kad tas kļūs pieejams.

Atslēgu ģenerēšana

Katrai ierīcei (serverim un klientam) ir nepieciešams savs atslēgu pāris. Turiet privāto istabu aizslēgtu. un koplieto ar līdzinieku tikai publisko.

umask 077
wg genkey | tee privatekey | wg pubkey > publickey

Jūs varat atkārtot procesu katram klientam un sekot līdzi pēc vārda. izvairoties no neskaidrībām starp vienaudžiem jūsu izvietojumam augot.

Servera iestatīšana

Tipisks fails ir /etc/wireguard/wg0.confŠajā sadaļā jūs definējat VPN IP adresi, privāto atslēgu un UDP portu. Katrā sadaļā jūs pievienojat klientu, atļaujot tā publisko atslēgu un autorizētās IP adreses.

Address = 192.168.2.1/24
ListenPort = 51820
PrivateKey = <clave_privada_servidor>
# Ejemplo de NAT automátizado con PostUp/PostDown, si lo necesitas
#PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE


PublicKey = <clave_publica_cliente1>
AllowedIPs = 192.168.2.2/32

# Añade más peers según necesites
#
#PublicKey = <clave_publica_cliente2>
#AllowedIPs = 192.168.2.3/32

Ja vēlaties atļaut jebkuru klienta IP adresi un pārvaldīt maršrutus atsevišķi, varat izmantot Atļautie IP = 0.0.0.0/0 Vienādranga vidē, bet kontrolētā vidē izsekojamības labad katram klientam labāk piešķirt /32.

Klienta konfigurācija

La sadaļa Tas VPN tīklā glabā privāto atslēgu un tās IP adresi; servera publisko atslēgu, galapunktu un maršrutēšanas politiku.

PrivateKey = <clave_privada_cliente>
Address = 192.168.2.2/32
DNS = 1.1.1.1


PublicKey = <clave_publica_servidor>
Endpoint = <IP_publica_servidor>:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25

El PastāvīgsKeepalive (25) Tas palīdz, ja klients atrodas aiz NAT/ugunsmūriem, kas bloķē neaktīvas kartēšanas. AllowedIPs nosaka, vai visa datplūsma tiek novirzīta caur VPN (0.0.0.0/0) vai tikai noteikti apakštīkli.

NAT, pāradresācija un ugunsmūris

Lai klienti varētu piekļūt internetam, izmantojot serveri, jums ir nepieciešams iespējot IP pāradresāciju un WAN saskarnē lietojiet NAT.

echo "net.ipv4.ip_forward=1" | sudo tee -a /etc/sysctl.conf
echo "net.ipv6.conf.all.forwarding=1" | sudo tee -a /etc/sysctl.conf
sudo sysctl -p

sudo iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j MASQUERADE

Ja jūsu ugunsmūra politika ir ierobežojoša, atļauj datplūsmu wg0 saskarnē un atveriet izvēlēto UDP portu ugunsmūrī/NAT maršrutētājā.

sudo iptables -I INPUT 1 -i wg0 -j ACCEPT

Lai atvērtu saskarni un iespējotu pakalpojumu startēšanas laikā: wg-quick un systemd Viņi to atstāj automātiskajā režīmā jūsu vietā.

sudo wg-quick up wg0
sudo systemctl enable wg-quick@wg0

Viesabonēšana, Kill Switch un mobilitāte

WireGuard ir paredzēts ikdienas lietošanai mobilajā tālrunī: Ja pārslēdzaties no Wi-Fi uz 4G/5G, tunelis tiek atjaunots acumirklī.Pārslēdzot tīklus, jūs nepamanīsiet nekādus nopietnus pārtraukumus.

Turklāt varat iespējot izslēgšanas slēdzis (atkarībā no platformas vai lietotnes), lai VPN darbības pārtraukuma gadījumā sistēma bloķētu datplūsmu, līdz tā tiek atjaunota, novēršot nejaušas noplūdes.

Dalītā tunelēšana

Dalītais tunelis ļauj jums izlemt Kāda datplūsma pārvietojas caur VPN un kāda tiek novirzīta tieši uz āru?Noderīgi, lai saglabātu zemu latentumu spēles vai videozvani piekļūstot iekšējiem resursiem caur tuneli.

Divi tipiski konfigurācijas piemēri klienta pusē, izmantojot AllowedIPs direktīvu:

# Redirección total por la VPN

PublicKey = <clave_publica_servidor>
AllowedIPs = 0.0.0.0/0
Endpoint = <IP_publica_servidor>:51820

# Solo la LAN remota (por ejemplo, 192.168.1.0/24) a través de la VPN

PublicKey = <clave_publica_servidor>
AllowedIPs = 192.168.1.0/24
Endpoint = <IP_publica_servidor>:51820

Tas samazina ietekmi uz ātrumu/latentumu un Jūs optimizējat pieredzi par to, ko jums patiešām ir jāaizsargā.

WireGuard priekšrocības un trūkumi

• PAR PARātrums, zema latentuma pakāpe, vienkāršība, moderna kriptogrāfija, samazināts resursu patēriņš un neliela koda bāze, kas atvieglo auditus.
• PRET: Atbalsts dažās mantotajās ekosistēmās ir mazāk attīstīts nekā IPsec/OpenVPN, ierobežotākas papildu funkcijas (skripti un vietējā obfuskācija) un privātuma apsvērumi, jo publiskās atslēgas ir saistītas ar iekšējām tuneļa IP adresēm.

Atbalsts ugunsmūriem, NAS un QNAP

Ugunsmūra tipa ierīcēs OPNsense integrē WireGuard ar kodola paātrinājumu. Kamēr tiek gaidīta stabila integrācija, pfSense pakotni var instalēt un ērti pārvaldīt no grafiskās lietotāja saskarnes.

QNAP NAS ierīcē, izmantojot QVPN 2, Varat iestatīt L2TP/IPsec, OpenVPN un WireGuard serverus....un pat virtualizēt Debian, ja vēlaties pielāgot OpenVPN ar AES-GCM vai veikt mērījumus ar iperf3. Testos ar jaudīgu aparatūru (piemēram, QNAP ar Ryzen 7 un 10GbE) un 10GbE klientu, WireGuard divkāršoja veiktspēju salīdzinājumā ar L2TP/IPsec vai OpenVPN tajā pašā lokālajā vidē.

WireGuard mobilajā tālrunī: stiprās un vājās puses

Oficiālā lietotne operētājsistēmās iOS un Android ļauj ērti pārslēgties starp tīkliem. Viena no galvenajām priekšrocībām: Droša pārlūkošana publiskajā Wi-Fi tīklā no viesnīcām vai lidostām un slēpt savu datplūsmu no sava interneta pakalpojumu sniedzēja. Turklāt, ja iestatāt savu serveri, varat piekļūt savai mājai vai uzņēmumam tā, it kā jūs tur patiešām atrastos.

Loģiskais pretstats ir tāds, ka Tiek pievienota neliela latentuma pakāpe, un ātrums nedaudz samazināsit īpaši, ja novirzāt visu datplūsmu. Tomēr WireGuard ir viens no akumulatoram un veiktspējai draudzīgākajiem protokoliem. Skatiet arī ieteikumus par android ja jūsu lieta ir mobila.

Instalēšana un lietošana citās platformās

macOS, Windows, Android un iOS operētājsistēmās ir oficiālas lietotnes; viss, kas jums jādara, ir importējiet .conf failu vai skenējiet QR kodu ģenerēts no jūsu konfigurācijas pārvaldnieka. Process ir praktiski identisks Linux procesam.

Ja plānojat to iestatīt VPS serverī, atcerieties labu praksi: atjaunināt sistēmu, iespējot ugunsmūriJa iespējams, ierobežojiet WireGuard UDP portu līdz atļautajām IP adresēm un mainiet atslēgas, kad to pieprasa jūsu politika.

Verifikācija un diagnoze

Lai pārliecinātos, ka viss ir kārtībā, atbalstieties wg un wg-quickJūs redzēsiet rokasspiedienus, pārsūtītos baitus un laikus kopš pēdējās apmaiņas.

wg
wg show

Ja savienojuma nav, pārbaudiet: sistēmas maršruti, NAT, atvērts UDP ports maršrutētājā un ka katra tīkla dalībnieka galapunkts un atslēgas ir pareizas. Pirmais noderīgais tests parasti ir ping uz servera IP adresi VPN tīklā.

Ar vienkāršu pieeju, mūsdienīgu kriptogrāfiju un ievērojamu veiktspēju, WireGuard ir nopelnījis savu vietu kā vēlamais VPN Mājas lietotājiem un uzņēmumiem. Instalēšana ir vienkārša, pārvaldība ir ērta, un tā lietošanas veidu klāsts (attālā piekļuve, savienojumu veidošana no vienas vietnes uz otru, droša mobilitāte vai dalītais tunelējums) atbilst gandrīz jebkuram scenārijam. Pievienojiet labu drošības praksi, labi noregulētu ugunsmūri un pamata uzraudzību, un jums būs ātrs, stabils un ļoti grūti uzlaužams tunelis.