- Architecture tsotra sy fanafenana maoderina: lakile isaky ny peer sy AllowedIPs ho an'ny zotra.
- Fametrahana haingana amin'ny Linux sy fampiharana ofisialy ho an'ny desktop sy finday.
- Fahombiazana ambony indrindra amin'ny IPsec/OpenVPN, miaraka amin'ny roaming sy ny latency ambany.
Raha mitady ianao VPN izay haingana, azo antoka ary mora apetraka, WireGuard Io no tsara indrindra azonao ampiasaina anio. Miaraka amin'ny endrika minimalista sy kriptografika maoderina, mety tsara ho an'ny mpampiasa an-trano, matihanina ary tontolo iainana izy io, na amin'ny solosaina na amin'ny fitaovana finday sy ny router.
Amin'ity torolalana azo ampiharina ity dia hahita ny zava-drehetra manomboka amin'ny fototra ka hatramin'ny fikirana mandroso: Fametrahana amin'ny Linux (Ubuntu/Debian/CentOS), lakile, rakitra mpizara sy mpanjifa, fandefasana IP, NAT/Firewall, fampiharana amin'ny Windows/macOS/Android/iOS, fanariana tonelina mizarazara, fampisehoana, famahana olana, ary mifanaraka amin'ny sehatra toy ny OPNsense, pfSense, QNAP, Mikrotik na Teltonika.
Inona no atao hoe WireGuard ary nahoana no misafidy izany?
WireGuard dia protocol sy rindrambaiko VPN open source natao hamoronana Tonelina misy encryption L3 amin'ny UDP. Izy io dia miavaka raha oharina amin'ny OpenVPN na IPsec noho ny fahatsorany, ny fahombiazany ary ny fahatarana ambany kokoa, miankina amin'ny algorithm maoderina toy ny Curve25519, ChaCha20-Poly1305, BLAKE2, SipHash24 ary HKDF.
Ny fototry ny code dia tena kely (manodidina andalana an'arivony), izay manamora ny fanaraha-maso, mampihena ny fanafihan'ny fanafihana ary manatsara ny fikojakojana. Izy io koa dia tafiditra ao amin'ny kernel Linux, mamela tahan'ny famindrana avo lenta ary mamaly haingana na dia amin'ny fitaovana maotina aza.
Izy io dia multiplatform: misy fampiharana ofisialy ho an'ny Windows, macOS, Linux, Android ary iOS, ary fanohanana ireo rafitra miompana amin'ny router/firewall toa ny OPNsense. Azo alaina amin'ny tontolo toy ny FreeBSD, OpenBSD, ary NAS ary sehatra virtoaly ihany koa izy io.
Ny fomba fiasany ao anatiny
WireGuard dia mametraka tonelina misy miafina eo amin'ny mpiara-mianatra (TANORA TOA ANAO) fantatra amin’ny alalan’ny fanalahidy. Ny fitaovana tsirairay dia mamorona mpivady manan-danja (tsy miankina/bahoaka) ary mizara ny azy fotsiny lakile ho an'ny daholobe miaraka amin'ny tendrony hafa; avy eo, ny fifamoivoizana rehetra dia voarakotra sy voamarina.
Ny toromarika IP azo avela Famaritana ny lalana mivoaka (inona no tokony handehanana amin'ny tonelina) sy ny lisitry ny loharano manan-kery izay eken'ny mpiara-miombon'antoka lavitra aorian'ny fandroahana fonosana iray. Ity fomba fiasa ity dia fantatra amin'ny hoe Fandehanana Cryptokey ary manatsotra be ny politikan'ny fifamoivoizana.
WireGuard dia tena tsara amin'ny miriaria- Raha miova ny IP an'ny mpanjifanao (oh : mitsambikina avy amin'ny Wi-Fi mankany amin'ny 4G/5G ianao), dia averina amin'ny fomba mangarahara sy haingana dia haingana ny fivoriana. Izy io koa dia manohana kill switch hanakanana ny fifamoivoizana ivelan'ny tonelina raha midina ny VPN.
Fametrahana amin'ny Linux: Ubuntu/Debian/CentOS
Ao amin'ny Ubuntu, WireGuard dia hita ao amin'ny repos ofisialy. Havaozy ny fonosana ary apetraho ny rindrambaiko hahazoana ny maody sy ny fitaovana. wg sy wg-faingana.
apt update && apt upgrade -y
apt install wireguard -y
modprobe wireguardAo amin'ny Debian stable dia afaka miantehitra amin'ny repos sampana tsy miorina ianao raha mila izany, manaraka ny fomba atolotra ary miaraka amin'ny fikarakarana amin'ny famokarana:
sudo sh -c 'echo deb https://deb.debian.org/debian/ unstable main > /etc/apt/sources.list.d/unstable.list'
sudo sh -c 'printf "Package: *\nPin: release a=unstable\nPin-Priority: 90\n" > /etc/apt/preferences.d/limit-unstable'
sudo apt update
sudo apt install wireguardAo amin'ny CentOS 8.3 dia mitovy ny fikorianan'ny: manetsika ny EPEL/ElRepo repos raha ilaina ary avy eo mametraka ny fonosana WireGuard sy modules mifanaraka aminy.
Famoronana fanalahidy
Ny namana tsirairay dia tsy maintsy manana ny azy fanalahidy tsy miankina/bahoaka. Ampiharo umask hamerana ny fahazoan-dàlana sy hamorona fanalahidy ho an'ny mpizara sy ny mpanjifa.
umask 077
wg genkey | tee privatekey | wg pubkey > publickeyAvereno amin'ny fitaovana tsirairay. Aza mizara mihitsy ny lakile manokana ary samy vonjeo soa aman-tsara. Raha tianao dia mamorona rakitra misy anarana samihafa, ohatra privatekeyserver y publicserverkey.
Fikirana mpizara
Mamorona ny rakitra lehibe ao /etc/wireguard/wg0.conf. Manendre subnet VPN (tsy ampiasaina amin'ny LAN tena misy anao), ny seranan-tsambo UDP ary ampio sakana [Mpiara-miasa] isaky ny mpanjifa nahazo alalana.
[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = <clave_privada_servidor>
# Cliente 1
[Peer]
PublicKey = <clave_publica_cliente1>
AllowedIPs = 10.0.0.2/32Azonao atao koa ny mampiasa subnet hafa, ohatra 192.168.2.0/24, ary mitombo miaraka amin'ny namana maro. Ho an'ny fametrahana haingana dia matetika ampiasaina wg-haingana miaraka amin'ny rakitra wgN.conf.
Fikirana mpanjifa
Amin'ny mpanjifa mamorona rakitra, ohatra wg0-client.conf, miaraka amin'ny fanalahidiny manokana, ny adiresin'ny tonelina, ny DNS azo isafidianana, ary ny mpiara-miasa amin'ny mpizara miaraka amin'ny fiafaran'ny daholobe sy ny seranana.
[Interface]
PrivateKey = <clave_privada_cliente>
Address = 10.0.0.2/24
DNS = 8.8.8.8
[Peer]
PublicKey = <clave_publica_servidor>
Endpoint = <ip_publica_servidor>:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25Raha mametraka ianao IP azo avela = 0.0.0.0/0 Ny fifamoivoizana rehetra dia handeha amin'ny VPN; raha te-hanatratra tambajotra mpizara manokana fotsiny ianao, ferana amin'ny subnets ilaina dia mihena ianao fahatarana ary ny fanjifana.
IP Forwarding sy NAT amin'ny Server
Alefaso ny fandefasana mba ahafahan'ny mpanjifa miditra amin'ny Internet amin'ny alàlan'ny server. Ampiharo ny fanovana amin'ny sidina sysctl.
echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf
echo 'net.ipv6.conf.all.forwarding=1' >> /etc/sysctl.conf
sysctl -pAmboary ny NAT miaraka amin'ny iptables ho an'ny subnet VPN, mametraka ny interface WAN (ohatra, eth0):
iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADEAtaovy maharitra miaraka amin'ireo fonosana mifanaraka amin'izany ary mitahiry fitsipika hampiharina amin'ny famerenana ny rafitra.
apt install -y iptables-persistent netfilter-persistent
netfilter-persistent saveFanombohana sy fanamarinana
Raiso ny interface ary avelao ny serivisy hanomboka amin'ny rafitra. Ity dingana ity dia mamorona ny interface virtoaly ary manampy LALAN'NY MPANAFIKA ilaina.
systemctl start wg-quick@wg0
systemctl enable wg-quick@wg0
wgamin'ny wg Ho hitanao ny namany, ny fanalahidy, ny fifindrana ary ny fotoana fifampikasihan-tanana farany. Raha teritery ny politikan'ny firewall anao dia avelao ny fidirana amin'ny interface. wg0 ary ny seranan-tsambo UDP an'ny serivisy:
iptables -I INPUT 1 -i wg0 -j ACCEPT
Fampiharana ofisialy: Windows, macOS, Android ary iOS
Ao amin'ny desktop dia afaka manafatra a .conf rakitra. Amin'ny fitaovana finday, ny fampiharana dia mamela anao hamorona ny interface avy amin'ny a Kaody QR misy ny configuration; tena mety ho an'ny mpanjifa tsy ara-teknika.
Raha ny tanjonao dia ny hampibaribary ny tolotra fampiantranoana tena toy ny Plex/Radarr/Sonarr Amin'ny alàlan'ny VPN-nao, manendre IP ao amin'ny subnet WireGuard ary amboary ny AllowedIPs mba hahafahan'ny mpanjifa mankany amin'io tambajotra io; tsy mila manokatra seranan-tsambo fanampiny any ivelany ianao raha toa ka amin'ny alàlan'ny fidirana rehetra tonelina.
Tombony sy fatiantoka
Tena haingana sy tsotra ny WireGuard, saingy zava-dehibe ny mandinika ny fetrany sy ny maha-tokana azy arakaraka ny fampiasana azy. Ity misy topimaso voalanjalanja ny ankamaroany manan-danja.
| tombony | fatiantoka |
|---|---|
| Fanofanana mazava sy fohy, mety tsara ho an'ny automatique | Tsy mampiditra obfuscation fifamoivoizana teratany |
| Fampisehoana avo lenta sy latency ambany na dia ao anaty finday | Any amin'ny tontolo lova sasany dia misy safidy mandroso kokoa |
| Kriptografika maoderina sy kaody kely izay manamora azy Hanaraha-maso | Privacy: IP/public key association dia mety saro-pady arakaraka ny politika |
| Miala mifindrafindra sy mamono switch azo alaina amin'ny mpanjifa | Tsy mitovy foana ny fifanarahana amin'ny antoko fahatelo |
Fizarana tonelina: mitantana izay ilaina ihany
Ny fizarazarana tonelina dia ahafahanao mandefa ny fifamoivoizana ilainao amin'ny alàlan'ny VPN ihany. amin'ny IP azo avela Manapa-kevitra ianao na hanao redirection feno na mifantina amin'ny subnets iray na maromaro.
# Redirección completa de Internet
[Peer]
AllowedIPs = 0.0.0.0/0# Solo acceder a recursos de la LAN 192.168.1.0/24 por la VPN
[Peer]
AllowedIPs = 192.168.1.0/24Misy variants toy ny reverse split tunneling, voasivan'ny URL na amin'ny alàlan'ny fampiharana (amin'ny alàlan'ny fanitarana/mpanjifa manokana), na dia voafehin'ny IP sy ny prefix aza ny fototry ny WireGuard.
Fifanarahana sy tontolo iainana
WireGuard dia teraka ho an'ny kernel Linux, fa ankehitriny dia izao sehatra maro samihafaOPNsense dia mampiditra azy io amin'ny fomba voajanahary; Natsahatra vonjimaika ny pfSense noho ny fanaraha-maso, ary natolotra ho fonosana azo isafidianana arakaraka ny dikan-teny.
Amin'ny NAS toy ny QNAP dia azonao atao ny mametraka azy amin'ny alàlan'ny QVPN na milina virtoaly, manararaotra ny 10GbE NICs hafainganam-pandeha ambonyNy biraon'ny router MikroTik dia nampiditra fanohanana WireGuard hatramin'ny RouterOS 7.x; tamin'ny famerimberenana tany am-boalohany, dia tao amin'ny beta izy io ary tsy natolotra ho an'ny famokarana, fa mamela ny tonelina P2P eo anelanelan'ny fitaovana sy ny mpanjifa farany.
Ny mpanamboatra toa an'i Teltonika dia manana fonosana hanampiana WireGuard amin'ny router-ny; raha mila fitaovana ianao dia afaka mividy azy ireo amin'ny shop.davantel.com ary araho ny torolalan'ny mpanamboatra amin'ny fametrahana azy entana fanampiny.
Fahombiazana sy fahatarana
Noho ny famolavolana minimalista sy ny fisafidianana algorithm mahomby, WireGuard dia mahatratra haingana sy haingana fahatarana ambany, amin'ny ankapobeny dia ambony noho ny L2TP/IPsec sy OpenVPN. Amin'ny fitsapana eo an-toerana miaraka amin'ny fitaovana mahery vaika, ny tahan'ny tena izy dia matetika avo roa heny noho ny an'ny hafa, ka mety ho an'ny streaming, lalao na VoIP.
Fampiharana orinasa sy teleworking
Ao amin'ny orinasa, WireGuard dia mety amin'ny famoronana tonelina eo anelanelan'ny birao, fidirana amin'ny mpiasa lavitra ary fifandraisana azo antoka CPD sy rahona (oh: ho an'ny backup). Ny syntax fohifohy dia manamora ny famoahana sy ny automatique.
Izy io dia mitambatra amin'ny lahatahiry toy ny LDAP/AD mampiasa vahaolana manelanelana ary afaka miara-miaina amin'ny sehatra IDS/IPS na NAC. Safidy malaza dia Fefy Packet (loharano misokatra), izay ahafahanao manamarina ny toeran'ny fitaovana alohan'ny hanomezana fidirana sy hifehezana ny BYOD.
Windows/macOS: Fanamarihana sy Soso-kevitra
Ny fampiharana Windows ofisialy matetika dia miasa tsy misy olana, fa amin'ny dikan-teny sasany Windows 10 dia nisy olana rehefa mampiasa IP azo avela = 0.0.0.0/0 noho ny fifandonan'ny lalana. Ho safidy vonjimaika, ny mpampiasa sasany dia misafidy ny mpanjifa mifototra amin'ny WireGuard toa an'i TunSafe na mametra ny AllowedIPs amin'ny subnets manokana.
Torolàlana fanombohana haingana Debian miaraka amin'ny lakile ohatra
Mamorona fanalahidy ho an'ny mpizara sy mpanjifa ao /sns/mpiambina tariby/ ary mamorona ny interface wg0. Ataovy azo antoka fa tsy mifanaraka amin'ny IP hafa amin'ny tambajotra eo an-toerana na ny mpanjifanao ny IP VPN.
cd /etc/wireguard/
wg genkey | tee claveprivadaservidor | wg pubkey > clavepublicaservidor
wg genkey | tee claveprivadacliente1 | wg pubkey > clavepublicacliente1wg0.conf server miaraka amin'ny subnet 192.168.2.0/24 sy port 51820. Alefaso ny PostUp/PostDown raha te hanao automatique ianao NAT miaraka amin'ny iptables rehefa mampiakatra/midina ny interface.
[Interface]
Address = 192.168.2.1/24
PrivateKey = <clave_privada_servidor>
ListenPort = 51820
#PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
[Peer]
PublicKey = <clave_publica_cliente1>
AllowedIPs = 0.0.0.0/0Mpanjifa manana adiresy 192.168.2.2, manondro ny fiafaran'ny daholobe an'ny mpizara ary miaraka amin'ny keeplive azo atao raha misy NAT intermediate.
[Interface]
PrivateKey = <clave_privada_cliente1>
Address = 192.168.2.2/32
[Peer]
PublicKey = <clave_publica_servidor>
AllowedIPs = 0.0.0.0/0
Endpoint = <ip_publica_servidor>:51820
#PersistentKeepalive = 25Atsofohy ny interface ary jereo ny MTU, marika zotra, ary fwmark ary ny fitsipiky ny lalana. Avereno jerena ny vokatra sy ny sata wg-quick miaraka amin'ny fampisehoana wg.
Mikrotik: tonelina eo anelanelan'ny RouterOS 7.x
MikroTik dia nanohana WireGuard hatramin'ny RouterOS 7.x. Mamorona interface tsara WireGuard amin'ny router tsirairay, ampiharo izany, ary havoaka ho azy izany. LAKILEN'ILAY. Omeo IP ny Ether2 ho WAN ary wireguard1 ho interface tsara tonelina.
Ampifanaraho ny mpiara-mianatra amin'ny alàlan'ny fiampitana ny fanalahidin'ny mpizara amin'ny lafiny mpanjifa ary ny mifamadika amin'izany, farito ny Allowed Address/AllowedIPs (ohatra 0.0.0.0/0 raha te hamela loharano / toerana haleha amin'ny alàlan'ny tonelina) ary apetraho amin'ny seranan-tsambony ny teboka farany lavitra. Ny ping amin'ny tonelina lavitra IP dia hanamafy ny tanany.
Raha mampifandray finday na solosaina amin'ny tonelina Mikrotik ianao, dia amboary tsara ireo tambajotra navela mba tsy hanokatra mihoatra noho izay ilaina; WireGuard dia manapa-kevitra ny fandehan'ny fonosana mifototra amin'ny anao Fandehanana Cryptokey, noho izany dia zava-dehibe ny mifanandrify ny fiaviana sy ny toerana haleha.
Kriptografia nampiasaina
WireGuard dia mampiasa andiana maoderina: feo ho framework, Curve25519 ho an'ny ECDH, ChaCha20 ho an'ny encryption symmetrika voamarina miaraka amin'ny Poly1305, BLAKE2 ho an'ny hashing, SipHash24 ho an'ny latabatra hash ary HKDF ho an'ny famoahana ny LAKILEN'ILAYRaha lany ny algorithm iray, dia azo ovaina ny protocol mba hifindra monina tsy misy dikany.
Ny tombony sy ny fatiantoka amin'ny finday
Ny fampiasana azy amin'ny finday avo lenta dia ahafahanao mijery tsara Wi-Fi ho an'ny daholobe, afeno ny fifamoivoizana amin'ny ISP-nao, ary mifandray amin'ny tambajotra an-tranonao mba hidirana amin'ny NAS, automation an-trano, na lalao. Amin'ny iOS/Android, ny fifindrana tambajotra dia tsy manakana ny tonelina, izay manatsara ny traikefa.
Raha ny lafy ratsiny, dia misintona ny fahaverezan'ny hafainganam-pandeha sy ny latency bebe kokoa ianao raha oharina amin'ny famoahana mivantana, ary miankina amin'ny mpizara foana ianao. Available. Na izany aza, raha ampitahaina amin'ny IPsec/OpenVPN dia ambany kokoa ny sazy.
Ny WireGuard dia manambatra ny fahatsorana, ny hafainganam-pandeha ary ny fiarovana tena izy miaraka amin'ny curve fianarana malefaka: mametraka izany, mamorona fanalahidy, mamaritra ny AllowedIPs, ary vonona ny handeha ianao. Ampio ny fandefasana IP, NAT azo ampiharina tsara, fampiharana ofisialy misy kaody QR, ary mifanaraka amin'ny tontolo iainana toa ny OPNsense, Mikrotik, na Teltonika. VPN maoderina ho an'ny saika toe-javatra rehetra, manomboka amin'ny fiarovana ny tambajotram-bahoaka ka hatramin'ny fampifandraisana ny foibe ary ny fidirana amin'ny serivisy ao an-tranonao tsy misy aretin'andoha.
Tonian-dahatsoratra manokana momba ny teknolojia sy olana amin'ny Internet manana traikefa mihoatra ny folo taona amin'ny haino aman-jery nomerika samihafa. Niasa ho mpamoaka lahatsoratra sy mpamorona votoaty ho an'ny e-varotra, fifandraisana, varotra an-tserasera ary orinasa dokambarotra aho. Nanoratra tao amin'ny tranokalan'ny toekarena, fitantanam-bola ary sehatra hafa ihany koa aho. Ny asako ihany koa no tiako. Ankehitriny, amin'ny alàlan'ny lahatsoratro ao Tecnobits, Miezaka mikaroka ireo vaovao sy fahafahana vaovao rehetra atolotry ny tontolon'ny teknolojia ho antsika isan'andro aho hanatsarana ny fiainantsika.