- Eenvoudige architectuur en moderne encryptie: sleutels per peer en toegestane IP's voor routering.
- Snelle installatie op Linux en officiële apps voor desktop en mobiel.
- Superieure prestaties ten opzichte van IPsec/OpenVPN, met roaming en lage latentie.
Als u op zoek bent naar een VPN dat snel, veilig en eenvoudig te implementeren is, WireGuard Het is het beste wat je vandaag de dag kunt gebruiken. Met een minimalistisch ontwerp en moderne cryptografie is het ideaal voor thuisgebruikers, professionals en bedrijven, zowel op computers als op mobiele apparaten en routers.
In deze praktische gids vindt u alles van de basis tot de Geavanceerde configuratie: Installatie op Linux (Ubuntu/Debian/CentOS), sleutels, server- en clientbestanden, IP-doorsturen, NAT/Firewall, applicaties op Windows/macOS/Android/iOS, Gesplitste tunneling, prestaties, probleemoplossing en compatibiliteit met platforms zoals OPNsense, pfSense, QNAP, Mikrotik of Teltonika.
Wat is WireGuard en waarom zou u dit kiezen?
WireGuard is een open source VPN-protocol en software die is ontworpen om L3-gecodeerde tunnels via UDPHet onderscheidt zich van OpenVPN of IPsec door zijn eenvoud, prestaties en lagere latentie, en is gebaseerd op moderne algoritmen zoals Curve25519, ChaCha20-Poly1305, BLAKE2, SipHash24 en HKDF.
De codebasis is erg klein (ongeveer duizenden regels), wat audits vergemakkelijkt, het aanvalsoppervlak verkleint en het onderhoud verbetert. Het is ook geïntegreerd in de Linux-kernel, waardoor hoge overdrachtssnelheden en een soepele respons, zelfs op bescheiden hardware.
Het is multiplatform: er zijn officiële apps voor Windows, macOS, Linux, Android en iOS, en ondersteuning voor router-/firewall-georiënteerde systemen zoals OPNsense. Het is ook beschikbaar voor omgevingen zoals FreeBSD, OpenBSD, NAS- en virtualisatieplatforms.
Hoe het binnenin werkt
WireGuard creëert een gecodeerde tunnel tussen peers (collega's) geïdentificeerd door sleutels. Elk apparaat genereert een sleutelpaar (privé/publiek) en deelt alleen zijn openbare sleutel met de andere kant; vanaf daar wordt al het verkeer gecodeerd en geauthenticeerd.
Richtlijn Toegestane IP's Definieert zowel de uitgaande routering (welk verkeer door de tunnel moet gaan) als de lijst met geldige bronnen die de externe peer zal accepteren na het succesvol decoderen van een pakket. Deze aanpak staat bekend als Cryptokey-routering en vereenvoudigt het verkeersbeleid aanzienlijk.
WireGuard is uitstekend met de Roaming- Als het IP-adres van uw klant verandert (bijvoorbeeld als u van wifi naar 4G/5G overschakelt), wordt de sessie transparant en zeer snel hersteld. Het ondersteunt ook killswitch om verkeer uit de tunnel te blokkeren als de VPN uitvalt.
Installatie op Linux: Ubuntu/Debian/CentOS
Op Ubuntu is WireGuard beschikbaar in de officiële repositories. Werk de pakketten bij en installeer vervolgens de software om de module en tools te verkrijgen. wg en wg-quick.
apt update && apt upgrade -y
apt install wireguard -y
modprobe wireguardIn Debian stable kunt u vertrouwen op onstabiele branch-repositories als u dat nodig hebt, door de aanbevolen methode te volgen en met zorg in productie:
sudo sh -c 'echo deb https://deb.debian.org/debian/ unstable main > /etc/apt/sources.list.d/unstable.list'
sudo sh -c 'printf "Package: *\nPin: release a=unstable\nPin-Priority: 90\n" > /etc/apt/preferences.d/limit-unstable'
sudo apt update
sudo apt install wireguardIn CentOS 8.3 is de flow vergelijkbaar: u activeert indien nodig EPEL/ElRepo-opslagplaatsen en installeert vervolgens het pakket WireGuard en bijbehorende modules.
Sleutelgeneratie
Elke peer moet zijn eigen privé/publieke sleutelpaarPas umask toe om machtigingen te beperken en sleutels te genereren voor de server en clients.
umask 077
wg genkey | tee privatekey | wg pubkey > publickeyHerhaal dit op elk apparaat. Deel nooit de prive sleutel en sla beide veilig op. Als u dat liever doet, kunt u bestanden met verschillende namen maken, bijvoorbeeld privésleutelserver y publiekeserversleutel.
Server configuratie
Maak het hoofdbestand in /etc/wireguard/wg0.conf. Wijs een VPN-subnet toe (niet gebruikt op uw echte LAN), de UDP-poort en voeg een blok toe [Gelijke] per geautoriseerde klant.
[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = <clave_privada_servidor>
# Cliente 1
[Peer]
PublicKey = <clave_publica_cliente1>
AllowedIPs = 10.0.0.2/32U kunt ook een ander subnet gebruiken, bijvoorbeeld 192.168.2.0/24en groeien met meerdere peers. Voor snelle implementaties is het gebruikelijk om wg-snel met wgN.conf-bestanden.
Client configuratie
Maak op de client een bestand aan, bijvoorbeeld wg0-client.conf, met zijn persoonlijke sleutel, tunneladres, optionele DNS en de peer van de server met zijn openbare eindpunt en poort.
[Interface]
PrivateKey = <clave_privada_cliente>
Address = 10.0.0.2/24
DNS = 8.8.8.8
[Peer]
PublicKey = <clave_publica_servidor>
Endpoint = <ip_publica_servidor>:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25Als je Toegestane IP's = 0.0.0.0/0 Al het verkeer zal via de VPN gaan; als u alleen specifieke servernetwerken wilt bereiken, beperk het dan tot de noodzakelijke subnetten en u zult de kosten verminderen. latency en consumptie.
IP-doorsturen en NAT op de server
Schakel doorsturen in zodat clients via de server toegang hebben tot internet. Pas wijzigingen direct toe met sysctl.
echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf
echo 'net.ipv6.conf.all.forwarding=1' >> /etc/sysctl.conf
sysctl -pConfigureer NAT met iptables voor het VPN-subnet en stel de WAN-interface in (bijvoorbeeld eth0):
iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADEMaak het persistent met de juiste pakketten en opslagregels die moeten worden toegepast bij het opnieuw opstarten van het systeem.
apt install -y iptables-persistent netfilter-persistent
netfilter-persistent saveOpstarten en verificatie
Open de interface en schakel de service in om met het systeem te starten. Deze stap creëert de virtuele interface en voegt deze toe. rutas noodzakelijk.
systemctl start wg-quick@wg0
systemctl enable wg-quick@wg0
wgmet wg Je ziet de peers, sleutels, overdrachten en de tijden van de laatste handshake. Als je firewallbeleid beperkend is, sta dan toegang via de interface toe. wg0 en de UDP-poort van de service:
iptables -I INPUT 1 -i wg0 -j ACCEPT
Officiële apps: Windows, macOS, Android en iOS
Op het bureaublad kunt u een .conf-bestandOp mobiele apparaten kunt u met de app de interface maken van een QR-code bevat de configuratie; dit is erg handig voor niet-technische klanten.
Als het uw doel is om zelfgehoste diensten zoals Plex/Radar/Sonarr Via uw VPN kunt u eenvoudig IP's toewijzen in het WireGuard-subnet en de toegestane IP's aanpassen, zodat de client dat netwerk kan bereiken. U hoeft geen extra poorten naar buiten te openen als alle toegang via het tunnel.
Voor- en nadelen
WireGuard is erg snel en eenvoudig, maar het is belangrijk om rekening te houden met de beperkingen en specifieke kenmerken, afhankelijk van het gebruiksscenario. Hier is een evenwichtig overzicht van de meest uitstekend.
| Voordelen | Nadelen |
|---|---|
| Duidelijke en korte configuratie, ideaal voor automatisering | Bevat geen native verkeersverduistering |
| Hoge prestaties en lage latentie, zelfs in mobiel | In sommige legacy-omgevingen zijn er minder geavanceerde opties |
| Moderne cryptografie en kleine code die het gemakkelijk maakt audit | Privacy: IP-/openbare sleutelkoppeling kan gevoelig zijn, afhankelijk van het beleid |
| Naadloze roaming en kill switch beschikbaar op clients | Compatibiliteit met derden is niet altijd homogeen |
Split tunneling: alleen sturen wat nodig is
Met split tunneling kunt u alleen het verkeer dat u nodig hebt via de VPN sturen. Met Toegestane IP's U beslist of u volledige of selectieve omleiding naar een of meer subnetten wilt uitvoeren.
# Redirección completa de Internet
[Peer]
AllowedIPs = 0.0.0.0/0# Solo acceder a recursos de la LAN 192.168.1.0/24 por la VPN
[Peer]
AllowedIPs = 192.168.1.0/24Er zijn varianten zoals reverse split tunneling, gefilterd door URL of per toepassing (via specifieke extensies/clients), hoewel de basis van WireGuard ligt in controle via IP en prefixen.
Compatibiliteit en ecosysteem
WireGuard is geboren voor de Linux-kernel, maar is tegenwoordig dwarsplatformOPNsense integreert het standaard; pfSense werd tijdelijk stopgezet voor audits en werd vervolgens aangeboden als optioneel pakket, afhankelijk van de versie.
Op NAS-systemen zoals QNAP kunt u deze koppelen via QVPN of virtuele machines, waarbij u gebruikmaakt van 10GbE-netwerkkaarten om hoge snelhedenMikroTik-routerborden bieden al sinds RouterOS 7.x ondersteuning voor WireGuard. In de eerste versies bevond het zich nog in de bètafase en werd het niet aanbevolen voor productie. Het maakt echter wel P2P-tunnels mogelijk tussen apparaten en zelfs eindclients.
Fabrikanten zoals Teltonika bieden een pakket aan om WireGuard aan hun routers toe te voegen; als u apparatuur nodig hebt, kunt u deze bij shop.davantel.com en volg de installatierichtlijnen van de fabrikant paquetes extra.
Prestaties en latentie
Dankzij het minimalistische ontwerp en de keuze uit efficiënte algoritmen bereikt WireGuard zeer hoge snelheden en lage latenties, over het algemeen superieur aan L2TP/IPsec en OpenVPN. In lokale tests met krachtige hardware is de werkelijke snelheid vaak het dubbele van die van de alternatieven, waardoor het ideaal is voor streaming, gamen of VoIP.
Bedrijfsimplementatie en telewerken
In het bedrijfsleven is WireGuard geschikt voor het creëren van tunnels tussen kantoren, toegang voor externe medewerkers en veilige verbindingen tussen CPD en cloud (bijvoorbeeld voor back-ups). De beknopte syntaxis maakt versiebeheer en automatisering eenvoudig.
Het integreert met directory's zoals LDAP/AD met behulp van tussenliggende oplossingen en kan naast IDS/IPS- of NAC-platforms bestaan. Een populaire optie is Pakketomheining (open source), waarmee u de status van apparatuur kunt controleren voordat u toegang verleent en BYOD kunt beheren.
Windows/macOS: Opmerkingen en tips
De officiële Windows-app werkt meestal zonder problemen, maar in sommige versies van Windows 10 zijn er problemen geweest bij het gebruik Toegestane IP's = 0.0.0.0/0 vanwege routeconflicten. Als tijdelijk alternatief kiezen sommige gebruikers voor WireGuard-gebaseerde clients zoals TunSafe of beperken ze AllowedIP's tot specifieke subnetten.
Debian Snelstartgids met voorbeeldsleutels
Genereer sleutels voor server en client in /etc/wireguard/ en maak de wg0-interface aan. Zorg ervoor dat de VPN-IP's niet overeenkomen met andere IP's in uw lokale netwerk of op uw clients.
cd /etc/wireguard/
wg genkey | tee claveprivadaservidor | wg pubkey > clavepublicaservidor
wg genkey | tee claveprivadacliente1 | wg pubkey > clavepublicacliente1wg0.conf-server met subnet 192.168.2.0/24 en poort 51820. Schakel PostUp/PostDown in als u wilt automatiseren NAT met iptables bij het openen/sluiten van de interface.
[Interface]
Address = 192.168.2.1/24
PrivateKey = <clave_privada_servidor>
ListenPort = 51820
#PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
[Peer]
PublicKey = <clave_publica_cliente1>
AllowedIPs = 0.0.0.0/0Client met adres 192.168.2.2, verwijzend naar het openbare eindpunt van de server en met keepalive optioneel als er een tussenliggende NAT is.
[Interface]
PrivateKey = <clave_privada_cliente1>
Address = 192.168.2.2/32
[Peer]
PublicKey = <clave_publica_servidor>
AllowedIPs = 0.0.0.0/0
Endpoint = <ip_publica_servidor>:51820
#PersistentKeepalive = 25Open de interface en bekijk hoe de MTU, routemarkeringen en fwmark en routeringsbeleidregels. Bekijk de wg-quick-uitvoer en -status met wg tonen.
Mikrotik: tunnel tussen RouterOS 7.x
MikroTik ondersteunt WireGuard al sinds RouterOS 7.x. Maak een WireGuard-interface op elke router, pas deze toe en deze wordt automatisch gegenereerd. clavesWijs IP's toe aan Ether2 als WAN en wireguard1 als tunnelinterface.
Configureer de peers door de openbare sleutel van de server aan de clientzijde te kruisen en vice versa, definieer Toegestane adressen/Toegestane IP's (bijvoorbeeld 0.0.0.0/0 (als u elke bron/bestemming via de tunnel wilt toestaan) en stel het externe eindpunt in met de bijbehorende poort. Een ping naar het IP-adres van de externe tunnel bevestigt de handdruk.
Als u mobiele telefoons of computers aansluit op de Mikrotik-tunnel, stemt u de toegestane netwerken nauwkeurig af om niet meer te openen dan nodig is; WireGuard bepaalt de pakketstroom op basis van uw Cryptokey-routering, daarom is het belangrijk om herkomst en bestemming op elkaar af te stemmen.
Gebruikte cryptografie
WireGuard maakt gebruik van een moderne set van: Geluid als raamwerk, Curve25519 voor ECDH, ChaCha20 voor geauthenticeerde symmetrische encryptie met Poly1305, BLAKE2 voor hashing, SipHash24 voor hashtabellen en HKDF voor afleiding van clavesAls een algoritme verouderd is, kan er een versiebeheer voor het protocol worden opgezet, zodat het naadloos kan migreren.
Voor- en nadelen van mobiel
Door het op smartphones te gebruiken, kunt u veilig browsen op Openbare wifi, verberg verkeer voor je internetprovider en maak verbinding met je thuisnetwerk voor toegang tot NAS, domotica of gaming. Op iOS/Android zorgt het wisselen van netwerk ervoor dat de tunnel niet wordt platgelegd, wat de ervaring verbetert.
Nadelen zijn dat je wat snelheidsverlies en een grotere latentie hebt vergeleken met directe uitvoer, en dat je afhankelijk bent van de server die altijd beschikbaar is. beschikbaarVergeleken met IPsec/OpenVPN is de straf echter doorgaans lager.
WireGuard combineert eenvoud, snelheid en echte veiligheid met een soepele leercurve: installeer het, genereer sleutels, definieer toegestane IP's en u kunt aan de slag. Voeg IP-forwarding, goed geïmplementeerde NAT, officiële apps met QR-codes en compatibiliteit met ecosystemen zoals OPNsense, Mikrotik of Teltonika toe. een moderne VPN voor vrijwel elk scenario, van het beveiligen van openbare netwerken tot het verbinden van hoofdkantoren en het probleemloos toegang krijgen tot uw thuisdiensten.
Redacteur gespecialiseerd in technologie- en internetvraagstukken met ruim tien jaar ervaring in verschillende digitale media. Ik heb gewerkt als redacteur en contentmaker voor e-commerce-, communicatie-, online marketing- en reclamebedrijven. Ik heb ook geschreven op websites over economie, financiën en andere sectoren. Mijn werk is ook mijn passie. Nu, via mijn artikelen in Tecnobits, probeer ik al het nieuws en de nieuwe kansen te verkennen die de wereld van de technologie ons elke dag biedt om ons leven te verbeteren.