- Preprosta arhitektura in sodobno šifriranje: ključi na osebo in dovoljeni IP-ji za usmerjanje.
- Hitra namestitev v Linux in uradne aplikacije za namizne računalnike in mobilne naprave.
- Vrhunska zmogljivost v primerjavi z IPsec/OpenVPN, z gostovanjem in nizko zakasnitvijo.
Če iščete a VPN ki je hiter, varen in enostaven za namestitev, WireGuard To je najboljše, kar lahko danes uporabljate. Z minimalistično zasnovo in sodobno kriptografijo je idealen za domače uporabnike, profesionalce in poslovna okolja, tako na računalnikih kot na mobilnih napravah in usmerjevalnikih.
V tem praktičnem priročniku boste našli vse od osnov do Napredna konfiguracijaNamestitev v Linux (Ubuntu/Debian/CentOS), ključi, datoteke strežnika in odjemalca, posredovanje IP-jev, NAT/požarni zid, aplikacije v sistemih Windows/macOS/Android/iOS, delitev tunelov, zmogljivost, odpravljanje težav in združljivost s platformami, kot so OPNsense, pfSense, QNAP, Mikrotik ali Teltonika.
Kaj je WireGuard in zakaj ga izbrati?
WireGuard je odprtokodni VPN protokol in programska oprema, zasnovana za ustvarjanje Šifrirani tuneli L3 prek UDPV primerjavi z OpenVPN ali IPsec izstopa zaradi svoje preprostosti, zmogljivosti in nižje latence, saj se zanaša na sodobne algoritme, kot so Curve25519, ChaCha20-Poly1305, BLAKE2, SipHash24 in HKDF.
Njegova kodna baza je zelo majhna (okoli tisoče vrstic), kar olajša revizije, zmanjša površino napadov in izboljša vzdrževanje. Integriran je tudi v jedro Linuxa, kar omogoča visoke hitrosti prenosa in agilen odziv tudi na skromni strojni opremi.
Je večplatformski: obstajajo uradne aplikacije za Windows, macOS, Linux, Android in iOSin podporo za sisteme, usmerjene v usmerjevalnike/požarne zidove, kot je OPNsense. Na voljo je tudi za okolja, kot so FreeBSD, OpenBSD ter NAS in platforme za virtualizacijo.
Kako deluje v notranjosti
WireGuard vzpostavi šifriran tunel med vrstniki (vrstniki) identificirani s ključi. Vsaka naprava ustvari par ključev (zasebni/javni) in deli le svoj javni ključ z drugim koncem; od tam naprej je ves promet šifriran in overjen.
Direktive Dovoljeni IP-ji Določa tako odhodno usmerjanje (kateri promet naj gre skozi tunel) kot tudi seznam veljavnih virov, ki jih bo oddaljeni vrstnik sprejel po uspešnem dešifriranju paketa. Ta pristop je znan kot Usmerjanje kripto ključev in močno poenostavi prometno politiko.
WireGuard je odličen z Gostovanje- Če se IP naslov vaše stranke spremeni (npr. če preklopite z Wi-Fi na 4G/5G), se seja pregledno in zelo hitro ponovno vzpostavi. Podpira tudi stikalo za ubijanje blokirati promet iz tunela, če VPN ne deluje.
Namestitev v Linuxu: Ubuntu/Debian/CentOS
V Ubuntuju je WireGuard na voljo v uradnih repozitorijih. Posodobite pakete in nato namestite programsko opremo, da dobite modul in orodja. wg in wg-hitro.
apt update && apt upgrade -y
apt install wireguard -y
modprobe wireguardV stabilnem Debianu se lahko po potrebi zanesete na repozitorije nestabilnih vej, pri čemer sledite priporočeni metodi in z skrb v proizvodnji:
sudo sh -c 'echo deb https://deb.debian.org/debian/ unstable main > /etc/apt/sources.list.d/unstable.list'
sudo sh -c 'printf "Package: *\nPin: release a=unstable\nPin-Priority: 90\n" > /etc/apt/preferences.d/limit-unstable'
sudo apt update
sudo apt install wireguardV CentOS 8.3 je potek podoben: po potrebi aktivirate repozitorije EPEL/ElRepo in nato namestite paket. WireGuard in ustrezni moduli.
Generiranje ključev
Vsak vrstnik mora imeti svojega par zasebnih/javnih ključevZa omejitev dovoljenj in generiranje ključev za strežnik in odjemalce uporabite umask.
umask 077
wg genkey | tee privatekey | wg pubkey > publickeyPonovite na vsaki napravi. Nikoli ne delite zasebni ključ in oboje varno shranite. Če želite, ustvarite datoteke z različnimi imeni, na primer strežnik zasebnih ključev y javni ključ strežnika.
Nastavitev strežnika
Ustvarite glavno datoteko v /etc/wireguard/wg0.confDodelite podomrežje VPN (ki se ne uporablja v vašem pravem lokalnem omrežju), vrata UDP in dodajte blok. [Vrstnik] na pooblaščeno stranko.
[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = <clave_privada_servidor>
# Cliente 1
[Peer]
PublicKey = <clave_publica_cliente1>
AllowedIPs = 10.0.0.2/32Uporabite lahko tudi drugo podomrežje, na primer 192.168.2.0/24in rastejo z več vrstniki. Za hitro uvajanje je običajno uporabiti wg-hitro z datotekami wgN.conf.
Konfiguracija odjemalca
Na odjemalcu ustvarite datoteko, na primer wg0-client.conf, z zasebnim ključem, naslovom tunela, neobveznim DNS-om in vrstnikom strežnika z javno končno točko in vrati.
[Interface]
PrivateKey = <clave_privada_cliente>
Address = 10.0.0.2/24
DNS = 8.8.8.8
[Peer]
PublicKey = <clave_publica_servidor>
Endpoint = <ip_publica_servidor>:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25Če postavite Dovoljeni naslovi IP = 0.0.0.0/0 Ves promet bo potekal prek VPN-ja; če želite doseči le določena strežniška omrežja, ga omejite na potrebna podomrežja in zmanjšali boste latenca in poraba.
Posredovanje IP-ja in NAT na strežniku
Omogočite posredovanje, da lahko odjemalci dostopajo do interneta prek strežnika. Spremembe uporabite sproti z sysctl.
echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf
echo 'net.ipv6.conf.all.forwarding=1' >> /etc/sysctl.conf
sysctl -pKonfigurirajte NAT z iptables za podomrežje VPN in nastavite vmesnik WAN (na primer eth0):
iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADENaj bo vztrajno z ustreznimi paketi in pravili shranjevanja, ki se uporabijo ob ponovnem zagonu sistema.
apt install -y iptables-persistent netfilter-persistent
netfilter-persistent saveZagon in preverjanje
Odprite vmesnik in omogočite zagon storitve s sistemom. Ta korak ustvari virtualni vmesnik in doda poti potrebno.
systemctl start wg-quick@wg0
systemctl enable wg-quick@wg0
wgz wg Videli boste vrstnike, ključe, prenose in čase zadnjega rokovanja. Če je vaša politika požarnega zidu omejujoča, dovolite vstop prek vmesnika. wg0 in vrata UDP storitve:
iptables -I INPUT 1 -i wg0 -j ACCEPT
Uradne aplikacije: Windows, macOS, Android in iOS
Na namizju lahko uvozite Datoteka .confNa mobilnih napravah vam aplikacija omogoča ustvarjanje vmesnika iz QR koda vsebuje konfiguracijo; je zelo priročno za netehnične stranke.
Če je vaš cilj predstaviti samostojno gostovane storitve, kot so Plex/Radar/Sonar Prek VPN-ja preprosto dodelite IP-naslove v podomrežju WireGuard in prilagodite dovoljene IP-naslove, da lahko odjemalec doseže to omrežje; ni vam treba odpirati dodatnih vrat navzven, če je ves dostop prek predor.
Prednosti in slabosti
WireGuard je zelo hiter in preprost, vendar je pomembno upoštevati njegove omejitve in posebnosti glede na primer uporabe. Tukaj je uravnotežen pregled najpogostejših pomembna.
| Prednost | Slabosti |
|---|---|
| Jasna in kratka konfiguracija, idealna za avtomatizacijo | Ne vključuje izvornega zakrivanja prometa |
| Visoka zmogljivost in nizka latenca tudi v mobile | V nekaterih starejših okoljih je manj naprednih možnosti |
| Sodobna kriptografija in majhna koda, ki olajšata delo revizija | Zasebnost: Povezava IP/javnega ključa je lahko občutljiva, odvisno od pravilnikov. |
| Brezhibno gostovanje in stikalo za izklop sta na voljo na odjemalcih | Združljivost s tretjimi osebami ni vedno homogena |
Razdeljeno tuneliranje: usmerjanje le tistega, kar je potrebno
Razdeljeno tuneliranje vam omogoča, da prek VPN-ja pošiljate le promet, ki ga potrebujete. Z Dovoljeni IP-ji Odločite se, ali boste izvedli popolno ali selektivno preusmeritev na eno ali več podomrežij.
# Redirección completa de Internet
[Peer]
AllowedIPs = 0.0.0.0/0# Solo acceder a recursos de la LAN 192.168.1.0/24 por la VPN
[Peer]
AllowedIPs = 192.168.1.0/24Obstajajo različice, kot je obratno razdeljeno tuneliranje, filtrirano po URL ali po aplikaciji (prek določenih razširitev/odjemalcev), čeprav je izvorna osnova v WireGuardu nadzor prek IP-ja in predpon.
Združljivost in ekosistem
WireGuard se je rodil za jedro Linuxa, danes pa je križna platformaOPNsense ga integrira izvorno; pfSense je bil začasno ukinjen zaradi revizij in je bil nato ponujen kot izbirni paket, odvisno od različice.
Na NAS, kot je QNAP, ga lahko namestite prek QVPN ali virtualnih strojev in izkoristite 10GbE omrežne kartice za visoke hitrostiUsmerjevalne plošče MikroTik imajo podporo za WireGuard že od različice RouterOS 7.x; v zgodnjih različicah je bil v beta različici in ni bil priporočljiv za produkcijo, vendar omogoča P2P tunele med napravami in celo končnimi odjemalci.
Proizvajalci, kot je Teltonika, imajo paket za dodajanje WireGuarda svojim usmerjevalnikom; če potrebujete opremo, jo lahko kupite na trgovina.davantel.com in upoštevajte navodila proizvajalca za namestitev paketov dodatno
Zmogljivost in zakasnitev
Zahvaljujoč minimalistični zasnovi in izbiri učinkovitih algoritmov WireGuard dosega zelo visoke hitrosti in nizke latence, na splošno boljši od L2TP/IPsec in OpenVPN. V lokalnih testih z zmogljivo strojno opremo je dejanska hitrost pogosto dvakrat višja od alternativ, zaradi česar je idealen za pretakanje, igranje iger ali VoIP.
Korporativna implementacija in delo na daljavo
V podjetjih je WireGuard primeren za ustvarjanje tunelov med pisarnami, oddaljen dostop zaposlenih in varne povezave med Strokovni razvoj in računalništvo v oblaku (npr. za varnostne kopije). Zaradi jedrnate sintakse je upravljanje različic in avtomatizacija enostavna.
Integrira se z imeniki, kot sta LDAP/AD, z uporabo vmesnih rešitev in lahko sobiva s platformami IDS/IPS ali NAC. Priljubljena možnost je PacketFence (odprtokodno), ki omogoča preverjanje stanja opreme pred odobritvijo dostopa in nadzor BYOD.
Windows/macOS: Opombe in nasveti
Uradna aplikacija za Windows običajno deluje brez težav, vendar so se v nekaterih različicah sistema Windows 10 pojavile težave pri uporabi Dovoljeni naslovi IP = 0.0.0.0/0 zaradi konfliktov poti. Kot začasno alternativo se nekateri uporabniki odločijo za odjemalce, ki temeljijo na WireGuardu, kot je TunSafe, ali pa omejijo AllowedIP-je na določena podomrežja.
Vodnik za hiter začetek Debiana s primeri ključev
Generiraj ključe za strežnik in odjemalca v /etc/wireguard/ in ustvarite vmesnik wg0. Prepričajte se, da se IP-ji VPN ne ujemajo z drugimi IP-ji v vašem lokalnem omrežju ali vaših odjemalcev.
cd /etc/wireguard/
wg genkey | tee claveprivadaservidor | wg pubkey > clavepublicaservidor
wg genkey | tee claveprivadacliente1 | wg pubkey > clavepublicacliente1Strežnik wg0.conf s podomrežjem 192.168.2.0/24 in vrati 51820. Omogočite PostUp/PostDown, če želite avtomatizirati NAT z iptables pri vklopu/zapiranju vmesnika.
[Interface]
Address = 192.168.2.1/24
PrivateKey = <clave_privada_servidor>
ListenPort = 51820
#PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
[Peer]
PublicKey = <clave_publica_cliente1>
AllowedIPs = 0.0.0.0/0Odjemalec z naslovom 192.168.2.2, ki kaže na javno končno točko strežnika in z obdržati pri življenju neobvezno, če obstaja vmesni NAT.
[Interface]
PrivateKey = <clave_privada_cliente1>
Address = 192.168.2.2/32
[Peer]
PublicKey = <clave_publica_servidor>
AllowedIPs = 0.0.0.0/0
Endpoint = <ip_publica_servidor>:51820
#PersistentKeepalive = 25Odprite vmesnik in opazujte MTU, oznake poti in fwmark in pravila politike usmerjanja. Izpis in stanje wg-quick si oglejte z wg oddaja.
Mikrotik: tunel med RouterOS 7.x
MikroTik podpira WireGuard že od različice RouterOS 7.x. Na vsakem usmerjevalniku ustvarite vmesnik WireGuard, ga uporabite in samodejno se bo ustvaril. ključiDodelite IP-naslove Ether2 kot WAN in Wireguard1 kot tunelski vmesnik.
Konfigurirajte vrstnike tako, da na strani odjemalca prekrižate javni ključ strežnika in obratno, definirajte dovoljene naslove/dovoljene IP-je (na primer 0.0.0.0/0 (če želite dovoliti kateri koli vir/cilj skozi tunel) in nastavite oddaljeno končno točko z njenim vrati. Ping na IP oddaljenega tunela bo potrdil Rokovanje.
Če mobilne telefone ali računalnike povezujete s tunelom Mikrotik, natančno nastavite dovoljena omrežja, da se ne odprejo več, kot je potrebno; WireGuard se na podlagi vaših podatkov odloči o pretoku paketov. Usmerjanje kripto ključev, zato je pomembno uskladiti izvorne in namembne kraje.
Uporabljena kriptografija
WireGuard uporablja sodoben nabor: hrup kot ogrodje, Curve25519 za ECDH, ChaCha20 za overjeno simetrično šifriranje s Poly1305, BLAKE2 za zgoščevanje, SipHash24 za zgoščevalne tabele in HKDF za izpeljavo ključiČe je algoritem zastarel, je mogoče protokol različicovati za nemoteno selitev.
Prednosti in slabosti na mobilnih napravah
Uporaba na pametnih telefonih vam omogoča varno brskanje po Javni Wi-Fi, skrijte promet pred svojim ponudnikom internetnih storitev in se povežite z domačim omrežjem za dostop do NAS, domače avtomatizacije ali igranja iger. V sistemih iOS/Android preklapljanje omrežij ne prekine tunela, kar izboljša izkušnjo.
Slabosti so, da v primerjavi z neposrednim izhodom pride do nekaj izgube hitrosti in večje zakasnitve, poleg tega pa ste vedno odvisni od delovanja strežnika. Na voljoVendar pa je kazen v primerjavi z IPsec/OpenVPN običajno nižja.
WireGuard združuje preprostost, hitrost in resnično varnost z nežno krivuljo učenja: namestite ga, ustvarite ključe, definirajte dovoljene IP-je in pripravljeni ste. Dodajte posredovanje IP-jev, dobro implementiran NAT, uradne aplikacije s QR kodami in združljivost z ekosistemi, kot so OPNsense, Mikrotik ali Teltonika. sodoben VPN za skoraj vsak scenarij, od zavarovanja javnih omrežij do povezovanja sedeža podjetja in dostopa do domačih storitev brez glavobolov.
Urednik, specializiran za tehnološka in internetna vprašanja, z več kot desetletnimi izkušnjami v različnih digitalnih medijih. Delal sem kot urednik in ustvarjalec vsebin za podjetja za e-trgovino, komunikacije, spletni marketing in oglaševanje. Pisal sem tudi na spletnih straneh s področja ekonomije, financ in drugih sektorjev. Moje delo je tudi moja strast. Zdaj pa skozi moje članke v Tecnobits, poskušam raziskati vse novosti in nove priložnosti, ki nam jih svet tehnologije ponuja vsak dan za izboljšanje našega življenja.