Przewodnik WireGuard: Instalacja i konfiguracja krok po kroku

Prosta architektura i nowoczesne szyfrowanie: klucze dla każdego węzła i dozwolone adresy IP do routingu.
Szybka instalacja na Linuksie oraz oficjalne aplikacje na komputery stacjonarne i urządzenia mobilne.
Lepsza wydajność niż w przypadku IPsec/OpenVPN, z roamingiem i niskimi opóźnieniami.

Jeśli szukasz VPN który jest szybki, bezpieczny i łatwy do wdrożenia, WireGuard To najlepsze, z czego możesz korzystać już dziś. Dzięki minimalistycznemu designowi i nowoczesnej kryptografii idealnie nadaje się dla użytkowników domowych, profesjonalistów i środowisk korporacyjnych, zarówno na komputerach stacjonarnych, jak i na urządzeniach mobilnych i routerach.

W tym praktycznym przewodniku znajdziesz wszystko, od podstaw po Zaawansowana konfiguracja: Instalacja na Linuksie (Ubuntu/Debian/CentOS), klucze, pliki serwera i klienta, przekierowywanie IP, NAT/Firewall, aplikacje na Windows/macOS/Android/iOS, tunelowanie podzielone, wydajność, rozwiązywanie problemów i zgodność z platformami takimi jak OPNsense, pfSense, QNAP, Mikrotik lub Teltonika.

Czym jest WireGuard i dlaczego warto go wybrać?

WireGuard jest protokołem VPN o otwartym kodzie źródłowym i oprogramowaniem przeznaczonym do tworzenia Szyfrowane tunele L3 przez UDP. Wyróżnia się w porównaniu z OpenVPN lub IPsec prostotą, wydajnością i mniejszym opóźnieniem, opierając się na nowoczesnych algorytmach, takich jak Curve25519, ChaCha20-Poly1305, BLAKE2, SipHash24 i HKDF.

Jego baza kodu jest bardzo mała (około tysiące linii), co ułatwia audyty, zmniejsza powierzchnię ataku i usprawnia konserwację. Jest również zintegrowany z jądrem Linuksa, umożliwiając wysokie prędkości transferu i szybką reakcję nawet na skromnym sprzęcie.

Jest wieloplatformowy: istnieją oficjalne aplikacje dla Windows, macOS, Linux, Android i iOSoraz obsługę systemów zorientowanych na routery i zapory sieciowe, takich jak OPNsense. Jest również dostępny dla środowisk takich jak FreeBSD, OpenBSD oraz platform NAS i wirtualizacji.

Jak to działa w środku

WireGuard tworzy szyfrowany tunel pomiędzy urządzeniami równorzędnymi (Tracker) identyfikowane za pomocą kluczy. Każde urządzenie generuje parę kluczy (prywatny/publiczny) i udostępnia tylko swoją klucz publiczny z drugim końcem; od tego momentu cały ruch jest szyfrowany i uwierzytelniany.

Dyrektywa Dozwolone IP Definiuje zarówno routing wychodzący (jaki ruch powinien przechodzić przez tunel), jak i listę prawidłowych źródeł, które zdalny partner zaakceptuje po pomyślnym odszyfrowaniu pakietu. To podejście jest znane jako Trasowanie Cryptokey i znacznie upraszcza politykę ruchu drogowego.

WireGuard jest doskonały w Roaming- Jeśli adres IP Twojego klienta ulegnie zmianie (np. przełączysz się z Wi-Fi na 4G/5G), sesja zostanie przywrócona w sposób transparentny i bardzo szybko. Obsługuje również wyłącznik awaryjny aby zablokować ruch wychodzący z tunelu w przypadku awarii sieci VPN.

Instalacja na Linuksie: Ubuntu/Debian/CentOS

W systemie Ubuntu WireGuard jest dostępny w oficjalnych repozytoriach. Zaktualizuj pakiety, a następnie zainstaluj oprogramowanie, aby uzyskać moduł i narzędzia. wg i wg-quick.

apt update && apt upgrade -y
apt install wireguard -y
modprobe wireguard

W stabilnej wersji Debiana możesz w razie potrzeby korzystać z repozytoriów gałęzi niestabilnych, stosując zalecaną metodę i opieka w produkcji:

sudo sh -c 'echo deb https://deb.debian.org/debian/ unstable main > /etc/apt/sources.list.d/unstable.list'
sudo sh -c 'printf "Package: *\nPin: release a=unstable\nPin-Priority: 90\n" > /etc/apt/preferences.d/limit-unstable'
sudo apt update
sudo apt install wireguard

W systemie CentOS 8.3 proces przebiega podobnie: w razie potrzeby aktywujesz repozytoria EPEL/ElRepo, a następnie instalujesz pakiet WireGuard i odpowiednich modułów.

Ekskluzywna zawartość — kliknij tutaj Jak usunąć złośliwe oprogramowanie z Androida

Generowanie kluczy

Każdy z rówieśników musi mieć swój własny para kluczy prywatny/publiczny. Zastosuj umask, aby ograniczyć uprawnienia i wygenerować klucze dla serwera i klientów.

umask 077
wg genkey | tee privatekey | wg pubkey > publickey

Powtórz na każdym urządzeniu. Nigdy nie udostępniaj prywatny klucz i bezpiecznie zapisz oba. Jeśli wolisz, utwórz pliki o różnych nazwach, na przykład serwer kluczy prywatnych y klucz serwera publicznego.

Konfiguracja serwera

Utwórz plik główny w /etc/wireguard/wg0.conf. Przypisz podsieć VPN (nie używaną w Twojej prawdziwej sieci LAN), port UDP i dodaj blok [Par] za każdego autoryzowanego klienta.

[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = <clave_privada_servidor>

# Cliente 1
[Peer]
PublicKey = <clave_publica_cliente1>
AllowedIPs = 10.0.0.2/32

Możesz również użyć innej podsieci, np. 192.168.2.0/24i rosnąć wraz z wieloma partnerami. W przypadku szybkich wdrożeń często stosuje się wg-szybko z plikami wgN.conf.

Konfiguracja klienta

Na kliencie utwórz plik, np. wg0-client.conf, z jego kluczem prywatnym, adresem tunelu, opcjonalnym serwerem DNS i serwerem równorzędnym z jego publicznym punktem końcowym i portem.

[Interface]
PrivateKey = <clave_privada_cliente>
Address = 10.0.0.2/24
DNS = 8.8.8.8

[Peer]
PublicKey = <clave_publica_servidor>
Endpoint = <ip_publica_servidor>:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25

Jeśli umieścisz Dozwolone IP = 0.0.0.0/0 Cały ruch będzie przechodził przez sieć VPN; jeśli chcesz dotrzeć tylko do określonych sieci serwerów, ogranicz się do niezbędnych podsieci, a zmniejszysz opóźnienie i konsumpcji.

Przekierowywanie IP i NAT na serwerze

Włącz przekierowanie, aby klienci mogli uzyskać dostęp do Internetu przez serwer. Zastosuj zmiany w locie dzięki sysctl.

echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf
echo 'net.ipv6.conf.all.forwarding=1' >> /etc/sysctl.conf
sysctl -p

Skonfiguruj NAT za pomocą iptables dla podsieci VPN, ustawiając interfejs WAN (na przykład eth0):

iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADE

Uczyń to trwałym z odpowiednimi pakietami i zapisz reguły, które zostaną zastosowane przy ponownym uruchomieniu systemu.

apt install -y iptables-persistent netfilter-persistent
netfilter-persistent save

Uruchomienie i weryfikacja

Uruchom interfejs i włącz usługę, aby uruchomić ją z systemem. Ten krok tworzy wirtualny interfejs i dodaje trasy niezbędny.

systemctl start wg-quick@wg0
systemctl enable wg-quick@wg0
wg

z wg Zobaczysz równorzędne połączenia, klucze, transfery i czasy ostatnich uzgadniań. Jeśli Twoja polityka zapory sieciowej jest restrykcyjna, zezwól na dostęp przez interfejs. wg0 i port UDP usługi:

iptables -I INPUT 1 -i wg0 -j ACCEPT

Oficjalne aplikacje: Windows, macOS, Android i iOS

Na pulpicie możesz zaimportować Plik .conf. Na urządzeniach mobilnych aplikacja umożliwia utworzenie interfejsu z Kod QR zawierające konfigurację; jest to bardzo wygodne dla klientów nietechnicznych.

Jeśli Twoim celem jest udostępnienie samodzielnie hostowanych usług, takich jak Plex/Radarr/Sonarr Za pomocą sieci VPN wystarczy przypisać adresy IP w podsieci WireGuard i dostosować AllowedIPs, aby klient mógł dotrzeć do tej sieci. Nie trzeba otwierać dodatkowych portów na zewnątrz, jeśli cały dostęp odbywa się przez sieć. tunel.

Zalety i wady

WireGuard jest bardzo szybki i prosty, ale ważne jest, aby wziąć pod uwagę jego ograniczenia i specyfikę w zależności od przypadku użycia. Oto zrównoważony przegląd najpopularniejszych istotny.

Ekskluzywna zawartość — kliknij tutaj Wszystkie sposoby na zamknięcie systemu Windows 11 bez otwierania menu Start

Zaleta	Wady
Przejrzysta i krótka konfiguracja, idealna do automatyzacji	Nie zawiera natywnego zaciemniania ruchu
Wysoka wydajność i niskie opóźnienia nawet w Móviles	W niektórych starszych środowiskach dostępnych jest mniej zaawansowanych opcji
Nowoczesna kryptografia i mały kod, który ułatwia to zadanie audyt	Prywatność: skojarzenie adresu IP z kluczem publicznym może być wrażliwe w zależności od zasad
Bezproblemowy roaming i wyłącznik awaryjny dostępne u klientów	Zgodność z rozwiązaniami innych firm nie zawsze jest jednorodna

Tunelowanie rozdzielone: kierowanie tylko tego, co konieczne

Tunelowanie dzielone pozwala na przesyłanie przez VPN tylko potrzebnego ruchu. Dozwolone IP Możesz zdecydować, czy wykonać pełne czy selektywne przekierowanie do jednej lub większej liczby podsieci.

# Redirección completa de Internet
[Peer]
AllowedIPs = 0.0.0.0/0

# Solo acceder a recursos de la LAN 192.168.1.0/24 por la VPN
[Peer]
AllowedIPs = 192.168.1.0/24

Istnieją warianty takie jak odwrotne tunelowanie rozdzielone, filtrowane według URL lub przez aplikację (za pośrednictwem określonych rozszerzeń/klientów), mimo że natywną podstawą WireGuard jest kontrola za pomocą adresu IP i prefiksów.

Zgodność i ekosystem

WireGuard powstał dla jądra Linux, ale dziś jest między platformamiOPNsense integruje tę funkcję natywnie; pfSense został tymczasowo wycofany ze względu na audyty, a następnie był oferowany jako opcjonalny pakiet zależny od wersji.

Na serwerach NAS, takich jak QNAP, można zamontować go za pośrednictwem QVPN lub maszyn wirtualnych, korzystając z kart sieciowych 10GbE. wysokie prędkościPłyty routerów MikroTik zawierają obsługę protokołu WireGuard od wersji RouterOS 7.x. Wczesne wersje rozwiązania były w fazie beta i nie zalecano jego stosowania w produkcji, jednak pozwala ono na tworzenie tuneli P2P między urządzeniami, a nawet klientami końcowymi.

Producenci tacy jak Teltonika oferują pakiet umożliwiający dodanie WireGuard do swoich routerów; jeśli potrzebujesz sprzętu, możesz go kupić na stronie sklep.davantel.com i postępuj zgodnie z wytycznymi producenta dotyczącymi instalacji paquetes dodatkowe.

Wydajność i opóźnienie

Dzięki minimalistycznemu projektowi i zastosowaniu wydajnych algorytmów WireGuard osiąga bardzo wysokie prędkości i niskie opóźnienia, generalnie lepszy od L2TP/IPsec i OpenVPN. W testach lokalnych z wydajnym sprzętem rzeczywista prędkość jest często dwukrotnie wyższa niż w przypadku alternatyw, co czyni go idealnym do streaming, gry lub VoIP.

Wdrażanie korporacyjne i praca zdalna

W przedsiębiorstwie WireGuard nadaje się do tworzenia tuneli między biurami, zdalnego dostępu pracowników i bezpiecznych połączeń między CPD i chmura (np. do tworzenia kopii zapasowych). Zwięzła składnia ułatwia wersjonowanie i automatyzację.

Integruje się z usługami katalogowymi, takimi jak LDAP/AD, za pomocą rozwiązań pośredniczących i może współistnieć z platformami IDS/IPS lub NAC. Popularną opcją jest PackFence (open source), które umożliwia sprawdzenie statusu sprzętu przed udzieleniem dostępu i kontroli BYOD.

Windows/macOS: uwagi i wskazówki

Oficjalna aplikacja systemu Windows zazwyczaj działa bez problemów, ale w niektórych wersjach systemu Windows 10 występowały problemy podczas korzystania z niej. Dozwolone IP = 0.0.0.0/0 Z powodu konfliktów tras. Jako tymczasową alternatywę niektórzy użytkownicy wybierają klientów opartych na WireGuard, takich jak TunSafe, lub ograniczają dozwolone adresy IP do określonych podsieci.

Szybki przewodnik po systemie Debian z przykładowymi kluczami

Wygeneruj klucze dla serwera i klienta w /etc/wireguard/ i utwórz interfejs wg0. Upewnij się, że adresy IP VPN nie pasują do żadnych innych adresów IP w Twojej sieci lokalnej ani u Twoich klientów.

cd /etc/wireguard/
wg genkey | tee claveprivadaservidor | wg pubkey > clavepublicaservidor
wg genkey | tee claveprivadacliente1 | wg pubkey > clavepublicacliente1

Serwer wg0.conf z podsiecią 192.168.2.0/24 i portem 51820. Włącz PostUp/PostDown, jeśli chcesz zautomatyzować NAT za pomocą iptables podczas włączania/wyłączania interfejsu.

[Interface]
Address = 192.168.2.1/24
PrivateKey = <clave_privada_servidor>
ListenPort = 51820
#PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]
PublicKey = <clave_publica_cliente1>
AllowedIPs = 0.0.0.0/0

Klient o adresie 192.168.2.2, wskazujący na publiczny punkt końcowy serwera i z keepalive opcjonalne, jeśli istnieje pośredni NAT.

[Interface]
PrivateKey = <clave_privada_cliente1>
Address = 192.168.2.2/32

[Peer]
PublicKey = <clave_publica_servidor>
AllowedIPs = 0.0.0.0/0
Endpoint = <ip_publica_servidor>:51820
#PersistentKeepalive = 25

Otwórz interfejs i obserwuj, jak zmienia się MTU, oznaczenia trasy i fwmark i zasady polityki routingu. Przejrzyj dane wyjściowe i status wg-quick za pomocą pokaz wg.

Ekskluzywna zawartość — kliknij tutaj Prywatność w pobieraniu aplikacji?

Mikrotik: tunel pomiędzy RouterOS 7.x

MikroTik obsługuje WireGuard od wersji RouterOS 7.x. Utwórz interfejs WireGuard na każdym routerze, zastosuj go, a zostanie wygenerowany automatycznie. Claves. Przypisz adresy IP do Ether2 jako WAN i wireguard1 jako interfejsu tunelowego.

Skonfiguruj równorzędne urządzenia, krzyżując klucz publiczny serwera po stronie klienta i odwrotnie, zdefiniuj dozwolone adresy/dozwolone adresy IP (na przykład 0.0.0.0/0 Jeśli chcesz zezwolić na przechodzenie tunelu przez dowolne źródło/miejsce docelowe) i ustaw zdalny punkt końcowy wraz z jego portem. Ping do adresu IP zdalnego tunelu potwierdzi uścisk ręki.

Jeśli podłączysz telefon komórkowy lub komputer do tunelu Mikrotik, dostosuj dozwolone sieci tak, aby nie otwierać więcej niż to konieczne; WireGuard decyduje o przepływie pakietów na podstawie Twojego Trasowanie CryptokeyDlatego ważne jest dopasowanie miejsca pochodzenia i miejsca docelowego.

Kryptografia używana

WireGuard wykorzystuje nowoczesny zestaw: Hałas jako framework, Curve25519 dla ECDH, ChaCha20 dla uwierzytelnionego szyfrowania symetrycznego z Poly1305, BLAKE2 do haszowania, SipHash24 dla tablic haszujących i HKDF do wyprowadzania ClavesJeśli algorytm zostanie wycofany, protokół można wersjonować, aby umożliwić bezproblemową migrację.

Plusy i minusy wersji mobilnej

Korzystanie z niego na smartfonach pozwala na bezpieczne przeglądanie stron Publiczna sieć Wi-Fi, ukryj ruch od swojego dostawcy usług internetowych i połącz się z siecią domową, aby uzyskać dostęp do NAS-a, automatyki domowej lub gier. W systemach iOS/Android zmiana sieci nie powoduje tunelowania, co poprawia komfort użytkowania.

Wadą jest utrata prędkości i większe opóźnienie w porównaniu z wyjściem bezpośrednim, a także konieczność ciągłego korzystania z serwera. dostępny. Jednak w porównaniu do IPsec/OpenVPN kara jest zazwyczaj niższa.

WireGuard łączy w sobie prostotę, szybkość i realne bezpieczeństwo z łatwą nauką obsługi: zainstaluj, wygeneruj klucze, zdefiniuj dozwolone adresy IP i gotowe. Dodaj przekierowywanie IP, dobrze wdrożony NAT, oficjalne aplikacje z kodami QR oraz kompatybilność z ekosystemami takimi jak OPNsense, Mikrotik czy Teltonika. nowoczesna sieć VPN na niemal każdy scenariusz — od zabezpieczania sieci publicznych po podłączanie centrali i dostęp do usług domowych bez żadnych problemów.

Daniela Terrasę

Redaktor specjalizujący się w zagadnieniach technologii i Internetu z ponad dziesięcioletnim doświadczeniem w różnych mediach cyfrowych. Pracowałem jako redaktor i twórca treści dla firm z branży e-commerce, komunikacji, marketingu online i reklamy. Pisałem także na portalach poświęconych ekonomii, finansom i innym branżom. Moja praca jest także moją pasją. Teraz, poprzez moje artykuły w Tecnobits, staram się odkrywać wszystkie nowości i nowe możliwości, jakie świat technologii oferuje nam każdego dnia, aby poprawić nasze życie.