- Te hoahoanga ngawari me te whakamunatanga hou: nga taviri ia-hoa me nga AllowedIPs mo te ararere.
- Te whakaurunga tere i runga i te Linux me nga taupānga mana mo te papamahi me te waea pūkoro.
- He pai ake te mahi ki te IPsec/OpenVPN, me te roaming me te iti o te roanga.
Ki te rapu koe i te VPN he tere, he haumaru me te ngawari ki te tuku, WireGuard Ko te pai rawa atu ka taea e koe te whakamahi i tenei ra. Ma te hoahoa iti me te tuhinga tuhi hou, he pai mo nga kaiwhakamahi kaainga, nga tohunga ngaio, me nga taiao umanga, i runga rorohiko me nga taputapu pūkoro me nga pouara.
I roto i tenei aratohu mahi ka kitea e koe nga mea katoa mai i nga mea taketake ki te Ko te whirihoranga Advanced: Tāuta i runga i te Linux (Ubuntu/Debian/CentOS), ngā kī, ngā kōnae tūmau me te kiritaki, IP whakamua, NAT/Paiahi, tono i runga i Windows/macOS/Android/iOS, wehea te tira, mahi, raruraru, me te hototahi ki nga papaaho penei i te OPNsense, pfSense, QNAP, Mikrotik, Teltonika ranei.
He aha te WireGuard me te aha i whiriwhiri ai?
WireGuard he kawa VPN puna tuwhera me te rorohiko i hangaia hei hanga L3 whakamuna ana i runga i te UDP. He tino pai ki te whakataurite ki a OpenVPN, IPsec ranei na te ngawari, te mahi me te iti ake o te noho, e whakawhirinaki ana ki nga algorithm hou penei i te Curve25519, ChaCha20-Poly1305, BLAKE2, SipHash24 me HKDF.
He iti rawa tona turanga waehere (a tawhio noa nga mano o nga rarangi), e whakahaere ana i nga arotake, te whakaheke i te mata whakaeke me te whakapai ake i te tiaki. Kei te whakauru ano ki te kernel Linux, ka taea reiti whakawhiti teitei me te urupare kakama ahakoa i runga i nga taputapu iti.
He multiplatform: kei reira nga tono mana mo Windows, macOS, Linux, Android me iOS, me te tautoko mo nga punaha pouara/paahi-paahi penei i te OPNsense. Kei te waatea hoki mo nga taiao penei i te FreeBSD, OpenBSD, me te NAS me nga papaaho mariko.
Me pehea te mahi o roto
Ka whakatauhia e WireGuard he kauhanga whakamuna i waenga i nga hoa (hoa) kua tautuhia e nga taviri. Ka hangaia e ia taputapu he takirua matua (tangata/tangata) ka tiritiri noa i a raatau kī tūmatanui me tetahi atu pito; mai i reira, ka whakamunatia nga waka katoa me te whakamotuhēhē.
Aronga IP Whakaaetia Ka tautuhi i te ararere puta (he aha nga waka me haere i roto i te kauhanga) me te rarangi o nga puna whaimana ka whakaaehia e te hoa mamao i muri i te whakamunatanga o te kete. Ko tenei huarahi e mohiotia ana ko Ararere Cryptokey me te tino whakangwari i te kaupapa here waka.
He pai te WireGuard me te tīpokapoka- Mena ka huri te IP o to kiritaki (hei tauira, ka peke koe mai i Wi-Fi ki te 4G/5G), ka noho marama, ka tere hoki te huihuinga. Ka tautoko hoki whakakā patu ki te aukati i nga waka mai i te kauhanga mena ka heke te VPN.
Tāuta i runga i te Linux: Ubuntu/Debian/CentOS
I runga i te Ubuntu, kei te waatea a WireGuard i nga repo mana. Whakahōuhia ngā pōkai kātahi ka tāuta i te pūmanawa hei tiki i te kōwae me ngā taputapu. wg me te wg-tere.
apt update && apt upgrade -y
apt install wireguard -y
modprobe wireguardI roto i te Debian stable ka taea e koe te ti'aturi i runga i nga repo peka korekore mena ka hiahia koe, ma te whai i nga tikanga kua tohua me te tiaki i roto i te hanga:
sudo sh -c 'echo deb https://deb.debian.org/debian/ unstable main > /etc/apt/sources.list.d/unstable.list'
sudo sh -c 'printf "Package: *\nPin: release a=unstable\nPin-Priority: 90\n" > /etc/apt/preferences.d/limit-unstable'
sudo apt update
sudo apt install wireguardI roto i te CentOS 8.3 he rite te rere: ka whakahohe koe i te EPEL/ElRepo repos mena e tika ana ka whakauruhia te kete WireGuard me ngā kōwae e hāngai ana.
Whakatupuranga matua
Me whai mana ia hoa takirua matua motuhake/iwi. Hoatuhia te umask ki te aukati i nga whakaaetanga me te whakaputa i nga taviri mo te tūmau me nga kiritaki.
umask 077
wg genkey | tee privatekey | wg pubkey > publickeyWhakahokia ki ia taputapu. Kaua rawa e tiri i te kī tūmataiti me whakaora e rua. Ki te hiahia koe, hangahia nga konae me nga ingoa rereke, hei tauira privatekeyserver y kī tūmatanui.
Whirihoranga Tūmau
Waihangahia te konae matua ki roto /etc/wireguard/wg0.conf. Whakaritea he ipurangiroto VPN (kaore i whakamahia ki to LAN tuuturu), te tauranga UDP me te taapiri i tetahi poraka [Hoa] ia kiritaki whai mana.
[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = <clave_privada_servidor>
# Cliente 1
[Peer]
PublicKey = <clave_publica_cliente1>
AllowedIPs = 10.0.0.2/32Ka taea hoki e koe te whakamahi i tetahi atu kupengaroto, hei tauira 192.168.2.0/24, ka tipu me nga hoa maha. Mo te tuku tere, he mea noa te whakamahi wg-tere me nga kōnae wgN.conf.
Ko te whirihoranga kiritaki
I runga i te kiritaki te hanga i tetahi konae, hei tauira wg0-client.conf, me tana taviri motuhake, te wahitau kauhanga, te DNS ka taea, me te hoa o te tūmau me tana pito mutunga me te tauranga.
[Interface]
PrivateKey = <clave_privada_cliente>
Address = 10.0.0.2/24
DNS = 8.8.8.8
[Peer]
PublicKey = <clave_publica_servidor>
Endpoint = <ip_publica_servidor>:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25Mena ka hoatu e koe IP Whakaaetia = 0.0.0.0/0 Ka haere nga waka katoa ma te VPN; Mena kei te pirangi koe ki te toro atu ki nga whatunga tūmau motuhake, whakawhāitihia ki nga kupenga iti e tika ana ka whakaitihia e koe manahau me te kohi.
Whakamua IP me te NAT i runga i te Tūmau
Whakahohehia te tuku whakamua kia uru atu nga kaihoko ki te Ipurangi ma te tūmau. Hoatu huringa i runga i te rere ki sysctl.
echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf
echo 'net.ipv6.conf.all.forwarding=1' >> /etc/sysctl.conf
sysctl -pWhirihorahia te NAT me nga iptables mo te ipurangiroto VPN, te whakatakoto i te atanga WAN (hei tauira, eth0):
iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADEKia mau tonu me nga kohinga e tika ana me te tiaki i nga ture hei tono mo te whakaara ano i te punaha.
apt install -y iptables-persistent netfilter-persistent
netfilter-persistent saveWhakaoho me te manatoko
Kawea mai te atanga ka taea te ratonga ki te timata me te punaha. Ka hangaia e tenei taahiraa te atanga mariko me te taapiri huarahi tika
systemctl start wg-quick@wg0
systemctl enable wg-quick@wg0
wgcon wg Ka kite koe i nga hoa, nga taviri, nga whakawhitinga, me nga wa ruru ringa whakamutunga. Mēnā he here tō kaupapa here pātūahi, tukua te urunga mā te atanga. wg0 me te tauranga UDP o te ratonga:
iptables -I INPUT 1 -i wg0 -j ACCEPT
Taupānga whai mana: Windows, macOS, Android, me iOS
I runga i te papamahi ka taea e koe te kawemai a .conf kōnae. I runga i nga taputapu pūkoro, ka taea e te taupānga te hanga i te atanga mai i a QR code kei roto te whirihoranga; he tino watea mo nga kaihoko kore-hangarau.
Mena ko to whainga ko te whakaatu i nga ratonga manaaki-whaiaro penei Plex/Radarr/Sonarr Na roto i to VPN, tautapa noa nga IP i roto i te kupengaroto WireGuard me te whakatika i nga AllowedIPs kia tae atu te kiritaki ki taua whatunga; kaore koe e hiahia ki te whakatuwhera i etahi atu tauranga ki waho mena ka uru katoa mai i te torowha.
Nga painga me nga huakore
He tino tere, he ngawari hoki a WireGuard, engari he mea nui kia whai whakaaro ki ona herenga me ona ahuatanga motuhake i runga i te keehi whakamahi. Anei he tirohanga taurite o te nuinga e tika ana.
| He painga | huakore |
|---|---|
| He maamaa me te poto te whirihoranga, he pai mo te automation | Kaore i te whakauru i te whakamaarama waka Maori |
| Mahinga teitei me te iti o te torohūtanga ahakoa i roto nga mobiles | I etahi taiao tuku iho he iti ake nga whiringa matatau |
| Ko nga tuhinga tuhi hou me te waehere iti e ngawari ana arotake | Tūmataitinga: He tairongo pea te hononga IP/whakahaere matua i runga i nga kaupapa here |
| Ko te kopikopiko me te kohuru whakamate e waatea ana ki nga kaihoko | Ko te hototahi tuatoru kaore i te rite tonu |
Ko te arahanga wehe: ko te arahi anake i nga mea e tika ana
Ka taea e koe te tuku i nga waka e hiahia ana koe ma te VPN. Me IP Whakaaetia Ka whakatau koe me mahi ano ki tetahi, neke atu ranei nga kupenga-roto.
# Redirección completa de Internet
[Peer]
AllowedIPs = 0.0.0.0/0# Solo acceder a recursos de la LAN 192.168.1.0/24 por la VPN
[Peer]
AllowedIPs = 192.168.1.0/24He momo rereke penei i te kohanga whakamuri wehe, kua tātarihia e URL ma te tono ranei (ma roto i nga toronga motuhake/kiritaki), ahakoa ko te kaupapa taketake i WireGuard ko te mana whakahaere ma te IP me nga tohu.
Te hototahi me te rauwiringa kaiao
I whanau a WireGuard mo te kernel Linux, engari i tenei ra paepae whakawhitiKo te OPNsense e whakauru ana i te tikanga taketake; I whakamutua te pfSense mo te wa poto mo nga arotake, a i muri mai ka tukuna mai hei kete kowhiri i runga i te putanga.
I runga i te NAS penei i te QNAP ka taea e koe te whakairi ma te QVPN, ma nga miihini mariko ranei, ma te whakamahi i nga NIC 10GbE ki tere teiteiKua whakauruhia e nga papa pouara MikroTik te tautoko WireGuard mai i te RouterOS 7.x; i nga wa o mua, i roto i te beta, kaore i te tūtohutia mo te hanga, engari ka whakaaetia nga huarahi P2P i waenga i nga taputapu me nga kaihoko mutunga.
Ko nga kaihanga penei i a Teltonika he putea hei taapiri i a WireGuard ki o raatau pouara; ki te hiahia taputapu koe, ka taea e koe te hoko mai i shop.davantel.com ka whai i nga aratohu a te kaihanga mo te whakaurunga putea atu.
Mahinga me te roa
He mihi ki tana hoahoa iti me te kowhiringa o nga algorithms pai, ka eke a WireGuard ki nga tere tere me te nga waahi iti, he pai ake i te L2TP/IPsec me OpenVPN. I roto i nga whakamatautau a-rohe me nga taputapu kaha, he maha nga wa e rua nga reeti o nga mea rereke, e pai ana mo romaroma, petipeti, VoIP ranei.
Te whakatinana rangatōpū me te mahi waea
I roto i te hinonga, he pai a WireGuard mo te hanga arai i waenga i nga tari, te urunga a nga kaimahi mamao, me nga hononga haumaru i waenga. CPD me te kapua (hei tauira, mo nga taapiri). Ko tana wetereo poto ka ngawari te whakaputa me te mahi aunoa.
Ka hono ki nga raarangi penei i te LDAP/AD ma te whakamahi i nga otinga takawaenga ka taea te noho tahi me nga papaahi IDS/IPS, NAC ranei. He kōwhiringa rongonui PaeteteTepa (puna tuwhera), ka taea e koe te manatoko i te mana o nga taputapu i mua i te tuku uru me te whakahaere i te BYOD.
Windows/macOS: Notes and Tips
I te nuinga o te wa ka mahi te taupānga Windows whaimana me te kore raru, engari i etahi momo putanga o Windows 10 he take kei te whakamahi IP Whakaaetia = 0.0.0.0/0 na nga raruraru ara. Hei rereke mo te wa poto, ka kowhiri etahi o nga kaiwhakamahi mo nga kaihoko a WireGuard penei i a TunSafe me te whakawhāiti i nga AllowedIPs ki nga kupenga-roto motuhake.
Aratohu Timata Tere a Debian me nga Tauira Kī
Hangaia nga taviri mo te tūmau me te kiritaki ki roto /etc/wireguard/ me te hanga i te atanga wg0. Me mohio karekau nga IP VPN e taurite ki etahi atu IP i to whatunga rohe, i o kiritaki ranei.
cd /etc/wireguard/
wg genkey | tee claveprivadaservidor | wg pubkey > clavepublicaservidor
wg genkey | tee claveprivadacliente1 | wg pubkey > clavepublicacliente1wg0.conf tūmau me te kupengaroto 192.168.2.0/24 me te tauranga 51820. Whakahohehia te PostUp/Postdown ki te hiahia koe ki te whakaaunoa NAT me nga iptables i te wa e kawe ake ana i te atanga.
[Interface]
Address = 192.168.2.1/24
PrivateKey = <clave_privada_servidor>
ListenPort = 51820
#PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
[Peer]
PublicKey = <clave_publica_cliente1>
AllowedIPs = 0.0.0.0/0Kiritaki whai wāhitau 192.168.2.2, e tohu ana ki te pito mutunga tūmatanui o te tūmau me te pupuri he kōwhiringa mena he NAT takawaenga.
[Interface]
PrivateKey = <clave_privada_cliente1>
Address = 192.168.2.2/32
[Peer]
PublicKey = <clave_publica_servidor>
AllowedIPs = 0.0.0.0/0
Endpoint = <ip_publica_servidor>:51820
#PersistentKeepalive = 25Toia ake te atanga ka matakitaki ko te MTU, nga tohu ara, me te fwmark me nga ture kaupapa here ararere. Arotakehia te putanga wg-tere me te mana wg whakaatu.
Mikrotik: kohanga i waenga i te RouterOS 7.x
Kua tautoko a MikroTik i a WireGuard mai i te RouterOS 7.x. Waihangatia he atanga WireGuard ki ia pouara, whakamahia, ka hangaia aunoatia. mau taviri. Whakaritea nga IP ki a Ether2 hei WAN me te wireguard1 hei atanga kauhanga.
Whirihorahia nga hoa ma te whakawhiti i te taviri tūmatanui a te tūmau i te taha o te kiritaki, me te huri noa, tautuhia te Wāhitau Whakaae/AllowedIPs (hei tauira 0.0.0.0/0 Mena kei te pirangi koe ki te tuku i tetahi puna / taunga i roto i te kauhanga) ka tautuhi i te pito mutunga mamao me tona tauranga. Ma te ping ki te IP tunnel mamao ka whakau i te ringaringa.
Mena ka hono koe i nga waea waea, i nga rorohiko ranei ki te tunnel Mikrotik, pai-whakatangihia nga whatunga kua whakaaetia kia kore ai e whakatuwhera ake i nga mea e tika ana; Ka whakatauhia e WireGuard te rere o nga kete i runga i to Ararere Cryptokey, no reira he mea nui kia taurite nga takenga mai me nga haerenga.
I whakamahia te Cryptography
Ka whakamahia e WireGuard he huinga hou o: Noise hei anga, Curve25519 mo ECDH, ChaCha20 mo te whakamunatanga hangarite whakamotuhēhē me te Poly1305, BLAKE2 mō te hashing, SipHash24 mō ngā ripanga hash me HKDF mō te takenga o mau taviriMena kua whakakorehia te algorithm, ka taea te whakaputa i te kawa kia pai ai te heke.
Te pai me te kino i runga waea pūkoro
Ma te whakamahi i runga i nga waea atamai ka taea e koe te tirotiro haumaru i runga Wi‑Fi Tūmatanui, huna waka mai i to ISP, ka hono atu ki to whatunga kaainga ki te uru atu ki te NAS, aunoatanga kaainga, ki te petipeti ranei. I runga i te iOS/Android, ko te whakawhiti i nga whatunga karekau e whakaheke i te kauhanga, ka pai ake te wheako.
Ko te kino, ka toia e koe te ngaronga o te tere me te roanga ake ka whakatauritea ki te whakaputanga tika, ka whakawhirinaki koe ki te tuumau tonu. wātea. Heoi, ka whakaritea ki te IPsec/OpenVPN he iti ake te whiu.
Ka whakakotahihia e WireGuard te ngawari, te tere, me te haumarutanga pono me te anau ako ngawari: whakauruhia, hangaia nga taviri, tautuhi i nga AllowedIPs, ka rite koe ki te haere. Taapirihia te tuku whakamua IP, NAT kua tino whakatinanahia, nga tono whaimana me nga waehere QR, me te hototahi ki nga punaha rauropi penei i te OPNsense, Mikrotik, Teltonika ranei. he VPN hou mo te nuinga o nga ahuatanga, mai i te whakapumau i nga whatunga a-iwi ki te hono i te tari matua me te uru atu ki o ratonga kaainga kaore he mahunga.
Ko te Etita he tohunga ki te hangarau me nga take ipurangi me te neke atu i te tekau tau o te wheako i roto i nga momo pāpāho mamati. Kua mahi ahau hei ētita me te kaihanga ihirangi mo te e-tauhokohoko, whakawhitiwhiti korero, hokohoko tuihono me nga kamupene panui. Kua tuhia ano e au mo nga paetukutuku ohaoha, putea me etahi atu waahanga. Ko aku mahi hoki taku ihiihi. Na, na roto i aku tuhinga i roto i Tecnobits, Ka ngana ahau ki te tuhura i nga purongo me nga huarahi hou e tukuna ana e te ao hangarau ia ra ki te whakapai ake i o tatou oranga.