WireGuard jednoducho: vytvorte si vlastnú VPN za 15 minút

Hľadáte VPN, ktorá je rýchla, bezpečná a nebude vás frustrovať nekonečným nastavovaním? WireGuard Je to jedna z najlepších možností. Tento moderný protokol uprednostňuje jednoduchosť a najmodernejšiu kryptografiu, vďaka čomu si ktokoľvek môže jednoducho nastaviť bezpečný tunel.

Okrem toho, že vás chráni vo verejných sieťach a umožňuje vám prístup k vašej domácej alebo firemnej sieti, VPN pomáha obísť geobloky a cenzúruVďaka WireGuardu prichádza toto dodatočné súkromie a výkon s prekvapivo jednoduchým procesom nastavenia, a to ako na počítačoch, tak aj na mobilných zariadeniach.

WireGuard v skratke

WireGuard je vpn softvér open source orientovaný na vrstvu 3 (L3), ktorý Používa výlučne UDP a štandardne modernú kryptografiu.Jeho hlavnou výhodou je minimalistický dizajn s veľmi malým počtom riadkov kódu, čo uľahčuje audity, znižuje plochu útoku a zlepšuje výkon.

Na rozdiel od toho, čo ponúkajú iné VPN, si tu nevyberáte desiatky algoritmov alebo fáz; WireGuard definuje koherentný kryptografický „balík“Ak je algoritmus zastaraný, vydá sa nová verzia a klienti/server transparentne vyjednávajú o aktualizácii.

Tento protokol vždy funguje v tunelovom režime a Podporuje IPv4 a IPv6 (v prípade potreby zapuzdruje jeden do druhého)Ak ho chcete použiť, budete musieť na smerovači otvoriť UDP port (konfigurovateľný) pre pripojenie k serveru.

Kompatibilita a podpora

Vo svete firewallov, OPNsense integruje WireGuard do jadra maximalizovať rýchlosť. pfSense mal svoje vzostupy aj pády: objavil sa vo verzii 2.5.0, bol odstránený vo verzii 2.5.1 kvôli bezpečnostným zisteniam a Dnes sa dá nainštalovať ako balík spravované z webového rozhrania.

 

Použitá kryptografia

WireGuard sa spolieha na súbor moderných a dôkladne auditovaných algoritmov: Rámec protokolu šumu, Curve25519, ChaCha20, Poly1305, BLAKE2, SipHash a HKDFŠifrovanie dát využíva ChaCha20-Poly1305 (AEAD) s výmenou ECDH na Curve25519 a odvodením kľúča pomocou HKDF.

Tento prístup zabraňuje miešaniu rôznorodých súprav a znižuje chyby konfigurácieZjednodušuje to tiež riešenie problémov, pretože všetky uzly hovoria rovnakým kryptografickým jazykom.

Výkon a latencia

Minimalistická implementácia a nízkoúrovňová integrácia umožňujú veľmi vysoké rýchlosti a veľmi nízke latencieV reálnych porovnaniach s L2TP/IPsec a OpenVPN zvyčajne vychádza WireGuard na vrchole, pričom často zdvojnásobuje priepustnosť na rovnakom hardvéri.

V nestabilných alebo mobilných sieťach, Obnovenie relácie je rýchle A opätovné pripojenie po zmenách siete (roaming) je sotva badateľné. Na zariadeniach s obmedzenými zdrojmi (routery, zariadenia internetu vecí) je jeho nízka spotreba energie kľúčová, šetrí energiu procesora a batérie.

Rýchla inštalácia v systéme Linux

V moderných distribúciách je WireGuard už dostupný v stabilných repozitároch. Na Debiane/Ubuntu si ho jednoducho nainštalujte. aktualizujte a nainštalujte oficiálny balíkV iných prípadoch možno budete musieť pridať repozitáre alebo aktivovať modul jadra.

sudo apt update && sudo apt upgrade -y
sudo apt install wireguard -y
sudo modprobe wireguard

Ak používate vetvu, ktorá ho nemá v „stable“, môžete sa uchýliť k repozitárom „unstable/testing“ s prioritnou kontrolou, hoci V ideálnom prípade by ste ho mali stiahnuť zo stabilného repozitára. vašej distribúcie, keď bude k dispozícii.

Generovanie kľúčov

Každé zariadenie (server a klient) potrebuje svoj vlastný pár kľúčov. Súkromnú izbu majte zamknutú. a zdieľa s peerom iba verejný.

umask 077
wg genkey | tee privatekey | wg pubkey > publickey

Tento proces môžete opakovať pre každého klienta a sledovať ho podľa mena. vyhýbanie sa zmätkom medzi rovesníkmi ako vaše nasadenie rastie.

Konfigurácia servera

Typický súbor je /etc/wireguard/wg0.confV tejto časti definujete IP adresu VPN, súkromný kľúč a UDP port. V každej časti pridáte klienta, povolíte jeho verejný kľúč a autorizované IP adresy.

Address = 192.168.2.1/24
ListenPort = 51820
PrivateKey = <clave_privada_servidor>
# Ejemplo de NAT automátizado con PostUp/PostDown, si lo necesitas
#PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE


PublicKey = <clave_publica_cliente1>
AllowedIPs = 192.168.2.2/32

# Añade más peers según necesites
#
#PublicKey = <clave_publica_cliente2>
#AllowedIPs = 192.168.2.3/32

Ak chcete povoliť ľubovoľnú IP adresu klienta a spravovať trasy samostatne, môžete použiť Povolené IP adresy = 0.0.0.0/0 V partnerských prostrediach, ale aj v kontrolovaných prostrediach, je lepšie priradiť /32 každému klientovi kvôli sledovateľnosti.

Konfigurácia klienta

La sekcia V sieti VPN prenáša súkromný kľúč a svoju IP adresu; verejný kľúč servera, jeho koncový bod a smerovaciu politiku.

PrivateKey = <clave_privada_cliente>
Address = 192.168.2.2/32
DNS = 1.1.1.1


PublicKey = <clave_publica_servidor>
Endpoint = <IP_publica_servidor>:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25

El TrvalýKeepalive (25) Toto pomôže, ak sa klient nachádza za NAT/firewallmi, ktoré blokujú neaktívne mapovania. Povolené IP adresy definujú, či sa všetka prevádzka smeruje cez VPN (0.0.0.0/0) alebo iba cez konkrétne podsiete.

NAT, presmerovanie a firewall

Ak chcete klientom umožniť prístup na internet cez server, musíte povoliť presmerovanie IP a aplikovať NAT na WAN rozhranie.

echo "net.ipv4.ip_forward=1" | sudo tee -a /etc/sysctl.conf
echo "net.ipv6.conf.all.forwarding=1" | sudo tee -a /etc/sysctl.conf
sudo sysctl -p

sudo iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j MASQUERADE

Ak sú vaše pravidlá brány firewall obmedzujúce, umožňuje prevádzku na rozhraní wg0 a otvorte vybraný UDP port na firewalle/NAT routeri.

sudo iptables -I INPUT 1 -i wg0 -j ACCEPT

Ak chcete zobraziť rozhranie a povoliť službu pri spustení: wg-quick a systemd Nechajú to za vás na autopilota.

sudo wg-quick up wg0
sudo systemctl enable wg-quick@wg0

Roaming, Kill-Switch a mobilita

WireGuard je určený na každodenné mobilné použitie: Ak prepnete z Wi-Fi na 4G/5G, tunel sa bleskovo obnoví.Pri prepínaní sietí si nevšimnete žiadne vážne prerušenia.

Okrem toho môžete povoliť hlavný vypínač (v závislosti od platformy alebo aplikácie), takže v prípade výpadku VPN systém zablokuje prevádzku, kým sa neobnoví, čím sa zabráni náhodným únikom.

Delené tunelovanie

Rozdelený tunel vám umožňuje rozhodnúť sa Aká prevádzka prechádza cez VPN a aká ide priamo von?Užitočné na udržanie nízkej latencie v hry alebo videohovory pri prístupe k interným zdrojom cez tunel.

Dva typické príklady konfigurácie na strane klienta pomocou direktívy AllowedIPs:

# Redirección total por la VPN

PublicKey = <clave_publica_servidor>
AllowedIPs = 0.0.0.0/0
Endpoint = <IP_publica_servidor>:51820

# Solo la LAN remota (por ejemplo, 192.168.1.0/24) a través de la VPN

PublicKey = <clave_publica_servidor>
AllowedIPs = 192.168.1.0/24
Endpoint = <IP_publica_servidor>:51820

To znižuje vplyv na rýchlosť/latenciu a Optimalizujete zážitok za to, čo naozaj potrebujete chrániť.

Výhody a nevýhody WireGuardu

• V PROSPECH: rýchlosť, nízka latencia, jednoduchosť, moderná kryptografia, znížená spotreba zdrojov a malá kódová základňa, ktorá uľahčuje audity.
• PROTI: Podpora v niektorých starších ekosystémoch je menej vyspelá ako v prípade IPsec/OpenVPN, má obmedzenejšie pokročilé funkcie (skripty a natívne zmätenie) a je potrebná ochrana súkromia, pretože verejné kľúče sú spojené s internými IP adresami tunelov.

Podpora firewallov, NAS a QNAP

V zariadeniach typu firewall, OPNsense integruje WireGuard s akceleráciou jadra. V pfSense si môžete počas čakania na stabilnú integráciu nainštalovať balík a pohodlne ho spravovať z grafického rozhrania.

Na QNAP NAS, cez QVPN 2, Môžete nastaviť servery L2TP/IPsec, OpenVPN a WireGuard....a dokonca virtualizovať Debian, ak chcete vylepšiť OpenVPN pomocou AES-GCM alebo merať pomocou iperf3. V testoch s výkonným hardvérom (ako napríklad QNAP s Ryzen 7 a 10GbE) a 10GbE klientom, WireGuard zdvojnásobil výkon oproti L2TP/IPsec alebo OpenVPN v rovnakom lokálnom prostredí.

WireGuard na mobile: silné a slabé stránky

V systémoch iOS a Android umožňuje oficiálna aplikácia jednoduché a bezproblémové prepínanie medzi sieťami. Hlavná výhoda: Bezpečné prehliadanie na verejných Wi-Fi sieťach z hotelov alebo letísk a skryť svoju prevádzku pred poskytovateľom internetových služieb. Okrem toho, ak si nastavíte vlastný server, môžete pristupovať k svojmu domu alebo firme, akoby ste tam skutočne boli.

Logickým protikladom je, že Pridá sa určitá latencia a rýchlosť mierne klesnenajmä ak presmerujete všetku prevádzku. WireGuard však patrí medzi protokoly, ktoré sú najšetrnejšie k batérii a výkonu. Pozrite si tiež odporúčania pre Android ak je váš prípad mobilný.

Inštalácia a používanie na iných platformách

V systémoch macOS, Windows, Android a iOS máte oficiálne aplikácie; stačí, ak importujte súbor .conf alebo naskenujte QR kód vygenerované z vášho konfiguračného správcu. Proces je prakticky identický s procesom v systéme Linux.

Ak ho chcete nastaviť na VPS, nezabudnite na osvedčené postupy: aktualizovať systém, povoliť firewallAk je to možné, obmedzte UDP port WireGuard na povolené IP adresy a podľa potreby otočte kľúče.

Overenie a diagnostika

Aby ste sa uistili, že je všetko v poriadku, oprite sa o wg a wg-rýchloUvidíte podania rúk, prenesené bajty a časy od poslednej výmeny.

wg
wg show

Ak nie je k dispozícii pripojenie, skontrolujte: systémové trasy, NAT, otvorený UDP port na routeri a či sú koncový bod a kľúče pre každého partnera správne. Prvým užitočným testom je zvyčajne ping na IP adresu servera na VPN.

Vďaka jednoduchému prístupu, modernej kryptografii a viditeľnému výkonu, WireGuard si vyslúžil miesto ako preferovaná VPN Pre domácich používateľov a firmy. Inštalácia je jednoduchá, správa pohodlná a rozsah použitia (vzdialený prístup, sieťové pripojenie, bezpečná mobilita alebo rozdelené tunelovanie) sa hodí takmer do každého scenára. Pridajte osvedčené bezpečnostné postupy, dobre vyladený firewall a základné monitorovanie a budete mať rýchly, stabilný a veľmi ťažko prelomiteľný tunel.