Panduan WireGuard Lengkap: Pemasangan, Kekunci dan Konfigurasi Lanjutan

Sekiranya anda sedang mencari VPN yang pantas, selamat dan mudah digunakan, WireGuard Ia adalah yang terbaik yang boleh anda gunakan hari ini. Dengan reka bentuk minimalis dan kriptografi moden, ia sesuai untuk pengguna rumah, profesional dan persekitaran korporat, pada komputer dan pada peranti mudah alih dan penghala.

Dalam panduan praktikal ini anda akan menemui segala-galanya daripada asas hingga ke Konfigurasi lanjutan: Pemasangan pada Linux (Ubuntu/Debian/CentOS), kunci, fail pelayan dan klien, pemajuan IP, NAT/Firewall, aplikasi pada Windows/macOS/Android/iOS, terowong perpecahan, prestasi, penyelesaian masalah dan keserasian dengan platform seperti OPNsense, pfSense, QNAP, Mikrotik atau Teltonika.

Apakah WireGuard dan mengapa memilihnya?

WireGuard ialah protokol dan perisian VPN sumber terbuka yang direka untuk mencipta Terowong disulitkan L3 melalui UDP. Ia menonjol berbanding OpenVPN atau IPsec kerana kesederhanaan, prestasi dan kependaman yang lebih rendah, bergantung pada algoritma moden seperti Curve25519, ChaCha20-Poly1305, BLAKE2, SipHash24 dan HKDF.

Pangkalan kodnya sangat kecil (sekitar beribu-ribu baris), yang memudahkan audit, mengurangkan permukaan serangan dan menambah baik penyelenggaraan. Ia juga disepadukan ke dalam kernel Linux, membolehkan kadar pemindahan yang tinggi dan tindak balas tangkas walaupun pada perkakasan sederhana.

 

Ia berbilang platform: terdapat aplikasi rasmi untuk Windows, macOS, Linux, Android dan iOS, dan sokongan untuk sistem berorientasikan penghala/firewall seperti OPNsense. Ia juga tersedia untuk persekitaran seperti FreeBSD, OpenBSD dan NAS serta platform virtualisasi.

Bagaimana ia berfungsi di dalam

 

WireGuard mewujudkan terowong yang disulitkan antara rakan sebaya (rakan-rakan) dikenal pasti dengan kunci. Setiap peranti menjana pasangan kunci (swasta/awam) dan hanya berkongsinya kunci awam dengan hujung yang lain; dari situ, semua trafik disulitkan dan disahkan.

Arahan AllowedIPs Mentakrifkan kedua-dua penghalaan keluar (trafik yang perlu melalui terowong) dan senarai sumber yang sah yang rakan sebaya jauh akan terima selepas berjaya menyahsulit paket. Pendekatan ini dikenali sebagai Penghalaan Cryptokey dan sangat memudahkan dasar trafik.

WireGuard sangat baik dengan Perayauan- Jika IP pelanggan anda berubah (cth., anda melompat dari Wi-Fi ke 4G/5G), sesi diwujudkan semula dengan telus dan sangat cepat. Ia juga menyokong suis bunuh untuk menyekat lalu lintas keluar dari terowong jika VPN terputus.

Pemasangan pada Linux: Ubuntu/Debian/CentOS

Di Ubuntu, WireGuard tersedia dalam repo rasmi. Kemas kini pakej dan kemudian pasang perisian untuk mendapatkan modul dan alatan. wg dan wg-cepat.

apt update && apt upgrade -y
apt install wireguard -y
modprobe wireguard

Dalam Debian stable anda boleh bergantung pada repo cawangan yang tidak stabil jika anda perlu, mengikut kaedah yang disyorkan dan dengan penjagaan dalam pengeluaran:

sudo sh -c 'echo deb https://deb.debian.org/debian/ unstable main > /etc/apt/sources.list.d/unstable.list'
sudo sh -c 'printf "Package: *\nPin: release a=unstable\nPin-Priority: 90\n" > /etc/apt/preferences.d/limit-unstable'
sudo apt update
sudo apt install wireguard

Dalam CentOS 8.3 alirannya serupa: anda mengaktifkan repo EPEL/ElRepo jika perlu dan kemudian memasang pakej WireGuard dan modul yang sepadan.

Penjanaan kunci

Setiap rakan sebaya mesti ada sendiri pasangan kunci peribadi/awam. Gunakan umask untuk menyekat kebenaran dan menjana kunci untuk pelayan dan pelanggan.

umask 077
wg genkey | tee privatekey | wg pubkey > publickey

Ulang pada setiap peranti. Jangan sekali-kali berkongsi kunci peribadi dan selamatkan kedua-duanya. Jika anda lebih suka, buat fail dengan nama yang berbeza, sebagai contoh privatekeyserver y kunci pelayan awam.

Konfigurasi pelayan

Buat fail utama dalam /etc/wireguard/wg0.conf. Tetapkan subnet VPN (tidak digunakan pada LAN sebenar anda), port UDP dan tambahkan blok [Rakan sebaya] setiap pelanggan yang diberi kuasa.

[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = <clave_privada_servidor>

# Cliente 1
[Peer]
PublicKey = <clave_publica_cliente1>
AllowedIPs = 10.0.0.2/32

Anda juga boleh menggunakan subnet lain, sebagai contoh 192.168.2.0/24, dan berkembang dengan berbilang rakan sebaya. Untuk penggunaan pantas, ia adalah perkara biasa untuk digunakan wg-cepat dengan fail wgN.conf.

Konfigurasi pelanggan

Pada klien buat fail, sebagai contoh wg0-client.conf, dengan kunci peribadinya, alamat terowong, DNS pilihan dan rakan setara pelayan dengan titik akhir dan port awamnya.

[Interface]
PrivateKey = <clave_privada_cliente>
Address = 10.0.0.2/24
DNS = 8.8.8.8

[Peer]
PublicKey = <clave_publica_servidor>
Endpoint = <ip_publica_servidor>:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25

Jika anda meletakkan AllowedIPs = 0.0.0.0/0 Semua trafik akan melalui VPN; jika anda hanya ingin mencapai rangkaian pelayan tertentu, hadkannya kepada subnet yang diperlukan dan anda akan mengurangkannya latensi dan penggunaan.

Pemajuan IP dan NAT pada Pelayan

Dayakan pemajuan supaya pelanggan boleh mengakses Internet melalui pelayan. Gunakan perubahan dengan cepat dengan sysctl.

echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf
echo 'net.ipv6.conf.all.forwarding=1' >> /etc/sysctl.conf
sysctl -p

Konfigurasikan NAT dengan iptables untuk subnet VPN, tetapkan antara muka WAN (contohnya, eth0):

iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADE

Jadikan ia berterusan dengan pakej yang sesuai dan simpan peraturan untuk digunakan pada but semula sistem.

apt install -y iptables-persistent netfilter-persistent
netfilter-persistent save

Permulaan dan pengesahan

Bawa antara muka dan dayakan perkhidmatan bermula dengan sistem. Langkah ini mencipta antara muka maya dan menambah laluan perlu.

systemctl start wg-quick@wg0
systemctl enable wg-quick@wg0
wg

dengan wg Anda akan melihat rakan sebaya, kunci, pemindahan dan masa berjabat tangan terakhir. Jika dasar tembok api anda adalah terhad, benarkan kemasukan melalui antara muka. wg0 dan port UDP perkhidmatan:

iptables -I INPUT 1 -i wg0 -j ACCEPT

Apl rasmi: Windows, macOS, Android dan iOS

Pada desktop anda boleh mengimport a fail .conf. Pada peranti mudah alih, aplikasi membenarkan anda mencipta antara muka daripada a Kod QR mengandungi konfigurasi; ia sangat mudah untuk pelanggan bukan teknikal.

Jika matlamat anda adalah untuk mendedahkan perkhidmatan yang dihoskan sendiri seperti Plex/Radarr/Sonarr Melalui VPN anda, hanya tetapkan IP dalam subnet WireGuard dan laraskan AllowedIPs supaya pelanggan boleh mencapai rangkaian itu; anda tidak perlu membuka port tambahan ke luar jika semua akses adalah melalui terowong.

Kelebihan dan kekurangan

WireGuard sangat pantas dan mudah, tetapi penting untuk mempertimbangkan batasan dan kekhususannya bergantung pada kes penggunaan. Berikut ialah gambaran keseluruhan yang paling seimbang berkaitan.

kelebihan	kelemahan
Konfigurasi yang jelas dan pendek, sesuai untuk automasi	Tidak menggabungkan kekeliruan trafik asli
Prestasi tinggi dan kependaman rendah walaupun dalam mudah alih	Dalam sesetengah persekitaran warisan terdapat lebih sedikit pilihan lanjutan
Kriptografi moden dan kod kecil yang memudahkannya audit	Privasi: Perkaitan IP/kunci awam mungkin sensitif bergantung pada dasar
Suis perayauan dan mematikan lancar tersedia pada pelanggan	Keserasian pihak ketiga tidak selalunya homogen

 

Terowong berpecah: mengarahkan hanya apa yang perlu

Terowong berpecah membolehkan anda menghantar hanya trafik yang anda perlukan melalui VPN. Dengan AllowedIPs Anda memutuskan sama ada untuk melakukan ubah hala penuh atau terpilih kepada satu atau lebih subnet.

# Redirección completa de Internet
[Peer]
AllowedIPs = 0.0.0.0/0

# Solo acceder a recursos de la LAN 192.168.1.0/24 por la VPN
[Peer]
AllowedIPs = 192.168.1.0/24

Terdapat varian seperti terowong belah terbalik, ditapis oleh URL atau melalui aplikasi (melalui sambungan/pelanggan tertentu), walaupun asas asli dalam WireGuard dikawal oleh IP dan awalan.

Keserasian dan ekosistem

WireGuard dilahirkan untuk kernel Linux, tetapi hari ini ia adalah platform salibOPNsense mengintegrasikannya secara asli; pfSense telah dihentikan buat sementara waktu untuk audit, dan ia kemudiannya ditawarkan sebagai pakej pilihan bergantung pada versi.

Pada NAS seperti QNAP anda boleh memasangnya melalui QVPN atau mesin maya, mengambil kesempatan daripada 10GbE NIC untuk kelajuan tinggiPapan penghala MikroTik telah menggabungkan sokongan WireGuard sejak RouterOS 7.x; dalam lelaran awalnya, ia dalam versi beta dan tidak disyorkan untuk pengeluaran, tetapi ia membenarkan terowong P2P antara peranti dan juga pelanggan akhir.

Pengeluar seperti Teltonika mempunyai pakej untuk menambah WireGuard pada penghala mereka; jika anda memerlukan peralatan, anda boleh membelinya di shop.davantel.com dan ikut garis panduan pengilang untuk pemasangan paket tambahan.

Prestasi dan kependaman

Terima kasih kepada reka bentuk minimalis dan pilihan algoritma yang cekap, WireGuard mencapai kelajuan yang sangat tinggi dan latensi rendah, umumnya lebih baik daripada L2TP/IPsec dan OpenVPN. Dalam ujian tempatan dengan perkakasan berkuasa, kadar sebenar selalunya dua kali ganda berbanding alternatif, menjadikannya sesuai untuknya penstriman, permainan atau VoIP.

Pelaksanaan korporat dan telekerja

Dalam perusahaan, WireGuard sesuai untuk mencipta terowong antara pejabat, akses pekerja jauh dan sambungan selamat antara CPD dan awan (cth., untuk sandaran). Sintaksnya yang ringkas menjadikan versi dan automasi mudah.

Ia berintegrasi dengan direktori seperti LDAP/AD menggunakan penyelesaian perantaraan dan boleh wujud bersama dengan platform IDS/IPS atau NAC. Pilihan yang popular ialah PacketFence (sumber terbuka), yang membolehkan anda mengesahkan status peralatan sebelum memberikan akses dan mengawal BYOD.

Windows/macOS: Nota dan Petua

Apl Windows rasmi biasanya berfungsi tanpa masalah, tetapi dalam beberapa versi Windows 10 terdapat masalah semasa menggunakan AllowedIPs = 0.0.0.0/0 disebabkan konflik laluan. Sebagai alternatif sementara, sesetengah pengguna memilih klien berasaskan WireGuard seperti TunSafe atau mengehadkan AllowedIPs kepada subnet tertentu.

Panduan Mula Pantas Debian dengan Kekunci Contoh

Hasilkan kunci untuk pelayan dan klien masuk /etc/wireguard/ dan buat antara muka wg0. Pastikan IP VPN tidak sepadan dengan mana-mana IP lain pada rangkaian tempatan anda atau pelanggan anda.

cd /etc/wireguard/
wg genkey | tee claveprivadaservidor | wg pubkey > clavepublicaservidor
wg genkey | tee claveprivadacliente1 | wg pubkey > clavepublicacliente1

pelayan wg0.conf dengan subnet 192.168.2.0/24 dan port 51820. Dayakan PostUp/PostDown jika anda ingin mengautomasikan NAT dengan iptables apabila membawa / menurunkan antara muka.

[Interface]
Address = 192.168.2.1/24
PrivateKey = <clave_privada_servidor>
ListenPort = 51820
#PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]
PublicKey = <clave_publica_cliente1>
AllowedIPs = 0.0.0.0/0

Pelanggan dengan alamat 192.168.2.2, menunjuk ke titik akhir awam pelayan dan dengan keepalive pilihan jika terdapat NAT perantaraan.

[Interface]
PrivateKey = <clave_privada_cliente1>
Address = 192.168.2.2/32

[Peer]
PublicKey = <clave_publica_servidor>
AllowedIPs = 0.0.0.0/0
Endpoint = <ip_publica_servidor>:51820
#PersistentKeepalive = 25

Tarik ke atas antara muka dan lihat sebagai MTU, penanda laluan dan fwmark dan peraturan dasar penghalaan. Semak output dan status wg‑cepat dengan rancangan wg.

Mikrotik: terowong antara RouterOS 7.x

MikroTik telah menyokong WireGuard sejak RouterOS 7.x. Buat antara muka WireGuard pada setiap penghala, gunakannya dan ia akan dijana secara automatik. kunci. Tetapkan IP kepada Ether2 sebagai WAN dan wireguard1 sebagai antara muka terowong.

Konfigurasikan rakan sebaya dengan melintasi kunci awam pelayan pada bahagian klien dan sebaliknya, tentukan Alamat Dibenarkan/IP Dibenarkan (contohnya 0.0.0.0/0 jika anda mahu membenarkan mana-mana sumber/destinasi melalui terowong) dan tetapkan titik akhir jauh dengan portnya. Ping ke IP terowong jauh akan mengesahkan berjabat tangan.

Jika anda menyambungkan telefon bimbit atau komputer ke terowong Mikrotik, perhalusi rangkaian yang dibenarkan supaya tidak membuka lebih daripada yang diperlukan; WireGuard menentukan aliran paket berdasarkan anda Penghalaan Cryptokey, jadi adalah penting untuk memadankan asal dan destinasi.

Kriptografi digunakan

WireGuard menggunakan set moden: Bunyi sebagai rangka kerja, Curve25519 untuk ECDH, ChaCha20 untuk penyulitan simetri yang disahkan dengan Poly1305, BLAKE2 untuk pencincangan, SipHash24 untuk jadual cincang dan HKDF untuk terbitan kunciJika algoritma ditamatkan, protokol boleh diubah versi untuk berhijrah dengan lancar.

Kebaikan dan keburukan pada mudah alih

Menggunakannya pada telefon pintar membolehkan anda menyemak imbas dengan selamat Wi‑Fi awam, sembunyikan trafik daripada ISP anda dan sambung ke rangkaian rumah anda untuk mengakses NAS, automasi rumah atau permainan. Pada iOS/Android, penukaran rangkaian tidak menjejaskan terowong, yang meningkatkan pengalaman.

Sebagai keburukan, anda menyeret sedikit kehilangan kelajuan dan kependaman yang lebih besar berbanding dengan output langsung, dan anda bergantung pada pelayan yang sentiasa disediakan. Walau bagaimanapun, berbanding dengan IPsec/OpenVPN penalti biasanya lebih rendah.

WireGuard menggabungkan kesederhanaan, kelajuan dan keselamatan sebenar dengan keluk pembelajaran yang lembut: pasangkannya, jana kunci, tentukan AllowedIPs dan anda bersedia untuk pergi. Tambahkan pemajuan IP, NAT yang dilaksanakan dengan baik, apl rasmi dengan kod QR dan keserasian dengan ekosistem seperti OPNsense, Mikrotik atau Teltonika. VPN moden untuk hampir semua senario, daripada mengamankan rangkaian awam kepada menyambungkan ibu pejabat dan mengakses perkhidmatan rumah anda tanpa pening kepala.