Faigofie le WireGuard: fai lau oe VPN ile 15 minute

O e su'e se VPN e saosaoa, malupuipuia, ma e le fa'alavelaveina oe ile seti e le gata? WireGuard O se tasi o filifiliga sili. O lenei faiga fa'aonaponei e fa'amuamua ai le fa'afaigofie ma fa'ata'ita'iga fa'aonaponei, e fa'afaigofie ai mo so'o se tasi ona fa'atutuina se alavai malupuipuia.

I le faaopoopo atu i le puipuia o oe i luga o fesoʻotaʻiga lautele ma faʻatagaina oe e faʻaoga i lou fale poʻo pisinisi pisinisi, O le VPN e fesoasoani e faʻafefe geo-poloka ma faʻasalagaFaatasi ai ma WireGuard, o lena faʻaopoopoga faʻapitoa ma faʻatinoga e sau ma se faʻagasologa faigofie faʻapitoa, i luga o komepiuta ma masini feaveaʻi.

WireGuard i se faapuupuuga

WireGuard o se polokalame ole VPN puna tatala fa'atatau ile vaega 3 (L3) lena E fa'aogaina le UDP fa'apitoa ma fa'aonaponei fa'amatalaga fa'aonaponei.O lona aoga autu o se mamanu laʻititi ma ni nai laina faʻailoga, lea e faʻafaigofie ai suʻega, faʻaitiitia le osofaʻiga, ma faʻaleleia le faʻatinoga.

E le pei o isi VPN e ofoina atu, iinei e te le filifilia le tele o algorithms poʻo vaega; O le WireGuard o loʻo faʻamatalaina se faʻamatalaga faʻamaonia "faʻapipiʻi"Afai e le toe fa'aaogaina se algorithm, o le a tu'uina atu se fa'amatalaga fou ma fa'atalanoaina manino e tagata fa'atau/server le fa'aleleia.

O lenei protocol e galue i taimi uma i le tunnel mode, ma E lagolagoina le IPv4 ma le IPv6 (faʻapipiʻi le tasi i totonu o le isi pe a manaʻomia)Ina ia faʻaaogaina, e te manaʻomia le tatalaina o se UDP port (configurable) i luga o lau router i lau 'auʻaunaga.

Fesoʻotaʻiga ma le lagolago

I le lalolagi o firewalls, OPNsense faʻapipiʻi WireGuard i totonu o le fatu e fa'ateleina le saoasaoa. pfSense na i ai ona luga ma lalo: na aliali mai i le version 2.5.0, na aveesea i le 2.5.1 ona o suʻesuʻega saogalemu, ma I aso nei e mafai ona faʻapipiʻiina o se afifi pulea mai le upega tafa'ilagi.

 

Cryptography fa'aaogaina

WireGuard faʻalagolago i se seti o faʻaonaponei ma sili ona suʻeina algorithms: Ta'iala Piosao, Curve25519, ChaCha20, Poly1305, BLAKE2, SipHash ma le HKDFFa'amatalaga fa'amatalaga e fa'aaoga ai le ChaCha20-Poly1305 (AEAD), fa'atasi ai ma le fesuiaiga o le ECDH i luga o le Curve25519 ma le fa'asologa autu ma le HKDF.

O lenei faiga e 'alofia ai le fa'afefiloi o su'ega eseese ma fa'aitiitia fa'aletonu fa'atulagainaE fa'afaigofie fo'i le fo'ia o fa'afitauli, talu ai e tautala uma nodes i le gagana e tasi fa'ata'oto.

Fa'atinoga ma le taofiofia

Minimalist faʻatinoga ma tuʻufaʻatasiga maualalo faʻatagaina maualuga tele saosaoa ma matua maualalo latenciesI faʻatusatusaga moni i le lalolagi e faasaga i le L2TP/IPsec ma OpenVPN, e masani ona sau le WireGuard i luga, e masani ona faʻaluaina le gaosiga i luga o meafaigaluega tutusa.

I luga o feso'otaiga le mautu po'o feso'ota'iga feavea'i, E vave le toe fa'aleleia o sauniga Ma toe fa'afeso'ota'i pe a uma suiga feso'ota'iga (roaming) e tau le iloa. I luga o masini e faʻatapulaʻaina punaoa (auala, IoT masini), o lona faʻaitiitia o le eletise e maua ai le eseesega, faʻasaoina le PPU ma le malosi o le maa.

Faʻapipiʻi vave ile Linux

I fa'asalalauga fa'aonaponei, WireGuard ua uma ona avanoa i fale teu mau. I luga o Debian/Ubuntu, faʻapipiʻi. faʻafou ma faʻapipiʻi le afifi aloaiaI isi, atonu e te manaʻomia le faʻaopoopoina o faleoloa pe faʻagaoioia le kernel module.

sudo apt update && sudo apt upgrade -y
sudo apt install wireguard -y
sudo modprobe wireguard

Afai e te faʻaaogaina se lala e le o iai i totonu o le "stable", e mafai ona e faʻaogaina fale "le tumau / suʻega" i lalo ole pule faʻamuamua, e ui lava Le mea lelei, e tatau ona e toso ese mai le fale mautu. o lau distro pe a maua.

Tupulaga autu

E mana'omia e masini ta'itasi ('au'auna ma le tagata fa'atau) lana lava ki. Taofi le potu tumaoti. ma fa'asoa na'o tagata lautele i le tupulaga.

umask 077
wg genkey | tee privatekey | wg pubkey > publickey

E mafai ona e toe faia le faagasologa mo tagata ta'itasi ma siaki lou igoa. aloese mai le fenumiai i le va o tupulaga a'o fa'atupula'ia lau fa'agaioiga.

Fetuunaiga a le 'aufaigaluega

Ole faila masani ole /etc/wireguard/wg0.confI lenei vaega, e te faʻamatalaina le tuatusi IP VPN, ki faʻapitoa, ma le UDP port. I vaega taʻitasi, e te faʻaopoopoina se tagata faʻatau, faʻatagaina lana ki faʻasalalau ma tuatusi IP faʻatagaina.

Address = 192.168.2.1/24
ListenPort = 51820
PrivateKey = <clave_privada_servidor>
# Ejemplo de NAT automátizado con PostUp/PostDown, si lo necesitas
#PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE


PublicKey = <clave_publica_cliente1>
AllowedIPs = 192.168.2.2/32

# Añade más peers según necesites
#
#PublicKey = <clave_publica_cliente2>
#AllowedIPs = 192.168.2.3/32

Afai e te mana'o e fa'ataga so'o se tagata fa'atau IP ma pulea fa'atasi auala, e mafai ona e fa'aogaina Fa'atagainaIPs = 0.0.0.0/0 I si'osi'omaga a tupulaga, ae i si'osi'omaga fa'atonutonu e sili atu le tu'uina atu o le /32 i le tagata fa'atau mo le su'esu'eina.

Tagata kalani faʻatulagaina

La vaega E tauaveina le ki patino ma lona IP i le VPN; ki fa'alaua'itele a le 'au'aunaga, lona fa'ai'uga, ma le faiga fa'aalaala.

PrivateKey = <clave_privada_cliente>
Address = 192.168.2.2/32
DNS = 1.1.1.1


PublicKey = <clave_publica_servidor>
Endpoint = <IP_publica_servidor>:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25

El PersistentKeepalive (25) E fesoasoani lea pe afai o lo'o iai le kalani i tua o le NAT/firewalls e poloka ai fa'afanua e le o toaga. AllowedIPs e fa'amalamalamaina pe e te fa'auluina fe'avea'i uma i le VPN (0.0.0.0/0) pe na'o ni subnets fa'apitoa.

NAT, lafoa'i ma pa puipui

Ina ia faʻatagaina tagata faʻatau e maua le initaneti e ala i le server, e tatau ona e fa'atagaina le fa'auluina o le IP ma faʻaaoga le NAT i luga o le WAN interface.

echo "net.ipv4.ip_forward=1" | sudo tee -a /etc/sysctl.conf
echo "net.ipv6.conf.all.forwarding=1" | sudo tee -a /etc/sysctl.conf
sudo sysctl -p

sudo iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j MASQUERADE

Afai e fa'asa'o lau pa puipui puipui, fa'ataga feoaiga i luga o le wg0 interface ma tatala le uafu UDP filifilia i luga o le firewall / NAT router.

sudo iptables -I INPUT 1 -i wg0 -j ACCEPT

Ina ia aumaia i luga le atinaʻe ma faʻatagaina le tautua ile amataga: wg-vave ma systemd Latou te tu'uina i le autopilot mo oe.

sudo wg-quick up wg0
sudo systemctl enable wg-quick@wg0

Roaming, Kill-Sui ma fealua'i

Ua mamanuina le WireGuard mo le fa'aoga feavea'i i aso uma: Afai e te fesuia'i mai le Wi-Fi i le 4G/5G, e toe fa'atu le alavai i se moli.E te le matauina ni fa'alavelave matuia pe a fesuia'i feso'otaiga.

E le gata i lea, e mafai ona e faʻaogaina a sui-fasioti (faʻalagolago i luga o le faʻavae poʻo le app) ina ia, afai e alu i lalo le VPN, o le faiga e poloka ai feoaiga seʻia oʻo ina toe faʻaleleia, puipuia ai faʻalavelave faʻafuaseʻi.

Vaeluaga-tunneling

O le ala vaelua e mafai ai ona e filifili O a felauaiga e ui atu i le VPN ma o le a le mea e alu saʻo i fafo?Fa'aoga mo le fa'atumauina maualalo o le latency i totonu taaloga po o telefoni a'o fa'aogaina punaoa i totonu e ala i le alavai.

E lua fa'ata'ita'iga fa'atulagaina masani i luga o le kalani, faʻaaoga le AllowedIPs faʻatonuga:

# Redirección total por la VPN

PublicKey = <clave_publica_servidor>
AllowedIPs = 0.0.0.0/0
Endpoint = <IP_publica_servidor>:51820

# Solo la LAN remota (por ejemplo, 192.168.1.0/24) a través de la VPN

PublicKey = <clave_publica_servidor>
AllowedIPs = 192.168.1.0/24
Endpoint = <IP_publica_servidor>:51820

Ole mea lea e fa'aitiitia ai le a'afiaga ile saosaoa/latency ma E te fa'aogaina le poto masani mo mea e tatau ona e puipuia.

Tulaga lelei ma le le lelei o WireGuard

• I LE FIAFIA: saoasaoa, maualalo le taofiofia, faigofie, cryptography faʻaonaponei, faʻaitiitia le faʻaaogaina o punaoa, ma se faʻamaumauga laiti e faʻafaigofie ai suʻega.
• FA'ASAE: Lagolago i nisi fa'anatura fa'anatura fa'anatura e la'ititi le matua nai lo le IPsec/OpenVPN, fa'atapula'a fa'amatalaga fa'apitoa (tusitusi ma fa'aliga fa'ale-aganu'u), ma iloiloga fa'alilolilo ona o ki fa'alaua'itele e feso'ota'i ma IP tunnel i totonu.

Lagolago mo puipui afi, NAS ma QNAP

I masini fa'a-faiga afi, OPNsense faʻapipiʻi WireGuard fa'atasi ai ma le fa'avaveina o fatu. I le pfSense, aʻo faʻatali le tuʻufaʻatasiga mautu, e mafai ona e faʻapipiʻi le afifi ma pulea lelei mai le GUI.

I luga ole QNAP NAS, e ala ile QVPN 2, E mafai ona e setiina L2TP/IPsec, OpenVPN, ma WireGuard servers.... ma faʻamaonia Debian pe afai e te manaʻo e tweak OpenVPN ma AES-GCM pe fua ile iperf3. I faʻataʻitaʻiga ma meafaigaluega mamana (e pei o le QNAP ma Ryzen 7 ma le 10GbE) ma le 10GbE tagata faʻatau, WireGuard faaluaina le faatinoga fa'asaga i le L2TP/IPsec po'o le OpenVPN i le si'osi'omaga lava e tasi.

WireGuard i luga o le telefoni feaveai: malosi ma vaivaiga

I luga o iOS ma le Android, o le polokalama aloaia e faigofie ai ona fesuiaʻi i le va o fesoʻotaʻiga. O se faʻamanuiaga sili: Su'esu'e saogalemu ile Wi-Fi lautele mai faletalimalo poʻo malae vaʻalele ma nana lau fefaʻatauaiga mai lau ISP. E le gata i lea, afai e te setiina lau lava server, e mafai ona e ulufale i lou fale poʻo lau pisinisi e pei o oe iina.

O le tulaga tutusa o lena Ua fa'aopoopoina nisi fa'agaoioiga ma fa'aitiitia teisi le saoasaoaaemaise lava pe afai e te toe fa'asa'o uma feoaiga. Ae ui i lea, o le WireGuard o se tasi o faʻataʻitaʻiga sili ona faʻafeiloaʻi ma faʻatinoga. Va'ai fo'i fautuaga mo Android pe afai e feaveai lau mataupu.

Faʻapipiʻi ma faʻaoga i luga o isi faʻavae

I macOS, Windows, Android, ma iOS, o loʻo i ai au polokalama aloaia; pau lava le mea e tatau ona e faia fa'aulufale mai le faila .conf pe su'e se QR code fa'atupu mai lau pule fa'aopoopo. O le faagasologa e toetoe lava tutusa ma le Linux.

Afai o le a e setiina i luga o se VPS, manatua faiga lelei: fa'afou le faiga, fa'aagaioi firewallFa'atapula'a le uafu UDP WireGuard i IP fa'atagaina pe a mafai ma sui ki pe a mana'omia e lau faiga fa'avae.

Fa'amaoniga ma su'esu'ega

Ina ia faʻamaonia o loʻo lelei mea uma, faʻalagolago wg ma wg-vaveE te va'ai i lululima, paita ua fa'aliliu, ma taimi talu mai le fefa'ataua'iga mulimuli.

wg
wg show

Afai e leai se feso'ota'iga, siaki: auala faiga, NAT, tatala UDP uafu i luga o le router ma e sa'o le Endpoint ma ki mo tupulaga ta'itasi. Ole ping ile tuatusi IP ole server ile VPN e masani lava ole su'ega aoga muamua.

Faatasi ai ma se auala faigofie, cryptography faʻaonaponei, ma faʻaalia le faʻatinoga, Ua maua e WireGuard lona tulaga e avea ma VPN sili Mo tagata faʻaoga fale ma pisinisi. E faigofie le fa'apipi'iina, e faigofie le pulega, ma o lona tele o fa'aoga (fesoasoani mamao, nofoaga-i-nofoaga, saogalemu fealua'i, po'o le vaeluaga-tunneling) e fetaui ma toetoe lava o so'o se fa'aaliga. Fa'aopoopo faiga fa'alelei lelei, puipui fa'alelei lelei, ma mata'itū fa'avae, ma o le a iai sau ala saosaoa, mautu, ma faigata tele ona ta'e.