Udhëzuesi i plotë i WireGuard: Instalimi, Çelësat dhe Konfigurimi i Avancuar

Nëse jeni duke kërkuar për një VPN që është i shpejtë, i sigurt dhe i lehtë për t’u instaluar, WireGuard Është më i miri që mund të përdorni sot. Me një dizajn minimalist dhe kriptografi moderne, është ideal për përdoruesit e shtëpisë, profesionistët dhe mjediset e korporatave, si në kompjuterë ashtu edhe në pajisje mobile dhe routerë.

Në këtë udhëzues praktik do të gjeni gjithçka, nga bazat deri te Konfigurim i avancuarInstalimi në Linux (Ubuntu/Debian/CentOS), çelësat, skedarët e serverit dhe klientit, përçimi i IP-së, NAT/Firewall, aplikacionet në Windows/macOS/Android/iOS, ndarje tunelesh, performancën, zgjidhjen e problemeve dhe përputhshmërinë me platforma të tilla si OPNsense, pfSense, QNAP, Mikrotik ose Teltonika.

Çfarë është WireGuard dhe pse ta zgjidhni atë?

WireGuard është një protokoll VPN me burim të hapur dhe softuer i projektuar për të krijuar Tunele të enkriptuara L3 mbi UDPAi dallohet në krahasim me OpenVPN ose IPsec për shkak të thjeshtësisë, performancës dhe vonesës më të ulët, duke u mbështetur në algoritme moderne si p.sh. Curve25519, ChaCha20-Poly1305, BLAKE2, SipHash24 dhe HKDF.

Baza e kodit të saj është shumë e vogël (rreth mijëra rreshta), i cili lehtëson auditimet, zvogëlon sipërfaqen e sulmeve dhe përmirëson mirëmbajtjen. Është gjithashtu i integruar në kernelin e Linux-it, duke lejuar norma të larta transferimi dhe përgjigje të shkathët edhe në harduer modest.

 

Është shumëplatformëshe: ka aplikacione zyrtare për Windows, macOS, Linux, Android dhe iOSdhe mbështetje për sisteme të orientuara drejt routerit/firewall-it si OPNsense. Është gjithashtu i disponueshëm për mjedise si FreeBSD, OpenBSD dhe NAS dhe platforma virtualizimi.

Si funksionon brenda

 

WireGuard krijon një tunel të enkriptuar midis kolegëve (kolegët) të identifikuara nga çelësat. Çdo pajisje gjeneron një çift çelësash (privat/publik) dhe ndan vetëm çelësi publik me anën tjetër; nga aty, i gjithë trafiku është i enkriptuar dhe i autentifikuar.

Direktiva IP-të e lejuara Përcakton si rrugëzimin dalës (çfarë trafiku duhet të kalojë nëpër tunel) ashtu edhe listën e burimeve të vlefshme që kolegu i largët do të pranojë pas deshifrimit me sukses të një pakete. Kjo qasje njihet si Rruga me kriptoçelës dhe thjeshton shumë politikën e trafikut.

WireGuard është i shkëlqyer me Roaming- Nëse IP-ja e klientit tuaj ndryshon (p.sh., ju kaloni nga Wi-Fi në 4G/5G), seanca rivendoset në mënyrë transparente dhe shumë shpejt. Gjithashtu mbështet ndërprerësi i fikjes për të bllokuar trafikun jashtë tunelit nëse VPN-ja bie.

Instalimi në Linux: Ubuntu/Debian/CentOS

Në Ubuntu, WireGuard është i disponueshëm në depot zyrtare. Përditësoni paketat dhe më pas instaloni programin për të marrë modulin dhe mjetet. wg dhe wg-quick.

apt update && apt upgrade -y
apt install wireguard -y
modprobe wireguard

Në Debian stabile mund të mbështeteni në depo të degëve të paqëndrueshme nëse është e nevojshme, duke ndjekur metodën e rekomanduar dhe me kujdes në prodhim:

sudo sh -c 'echo deb https://deb.debian.org/debian/ unstable main > /etc/apt/sources.list.d/unstable.list'
sudo sh -c 'printf "Package: *\nPin: release a=unstable\nPin-Priority: 90\n" > /etc/apt/preferences.d/limit-unstable'
sudo apt update
sudo apt install wireguard

Në CentOS 8.3 rrjedha është e ngjashme: aktivizoni depot EPEL/ElRepo nëse është e nevojshme dhe më pas instaloni paketën. WireGuard dhe modulet përkatëse.

Gjenerimi kryesor

Çdo koleg duhet të ketë të vetin çift ​​çelësash privat/publikAplikoni umask për të kufizuar lejet dhe për të gjeneruar çelësa për serverin dhe klientët.

umask 077
wg genkey | tee privatekey | wg pubkey > publickey

Përsëriteni në secilën pajisje. Mos e ndani kurrë çelës privat dhe ruajini të dyja në mënyrë të sigurt. Nëse preferoni, krijoni skedarë me emra të ndryshëm, për shembull serveri privatçelës y çelësi i serverit publik.

Konfigurimi i serverit

Krijo skedarin kryesor në /etc/wireguard/wg0.confCaktoni një nënrrjet VPN (nuk përdoret në LAN-in tuaj të vërtetë), portën UDP dhe shtoni një bllok. [Kolegët] për çdo klient të autorizuar.

[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = <clave_privada_servidor>

# Cliente 1
[Peer]
PublicKey = <clave_publica_cliente1>
AllowedIPs = 10.0.0.2/32

Mund të përdorni edhe një nënrrjet tjetër, për shembull 192.168.2.0/24, dhe të rriten me shumë kolegë. Për vendosje të shpejta, është e zakonshme të përdoret wg-shpejt me skedarët wgN.conf.

Konfigurimi i klientit

Në klient, krijoni një skedar, për shembull wg0-client.conf, me çelësin e tij privat, adresën e tunelit, DNS-in opsional dhe kolegun e serverit me pikën e tij fundore dhe portin publik.

[Interface]
PrivateKey = <clave_privada_cliente>
Address = 10.0.0.2/24
DNS = 8.8.8.8

[Peer]
PublicKey = <clave_publica_servidor>
Endpoint = <ip_publica_servidor>:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25

Nëse vendosni IP-të e lejuara = 0.0.0.0/0 I gjithë trafiku do të kalojë përmes VPN-së; nëse doni të arrini vetëm rrjete specifike të serverëve, kufizojeni atë në nënrrjetet e nevojshme dhe do ta zvogëloni gjendje latente dhe konsumit.

IP Forwarding dhe NAT në Server

Aktivizo ridrejtimin në mënyrë që klientët të kenë akses në internet përmes serverit. Zbato ndryshimet menjëherë me sysktl.

echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf
echo 'net.ipv6.conf.all.forwarding=1' >> /etc/sysctl.conf
sysctl -p

Konfiguroni NAT me iptables për nënrrjetin VPN, duke vendosur ndërfaqen WAN (për shembull, eth0):

iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADE

Bëjeni të vazhdueshme me paketat dhe rregullat e duhura të ruajtjes që do të aplikohen në rinisjen e sistemit.

apt install -y iptables-persistent netfilter-persistent
netfilter-persistent save

Nisja dhe verifikimi

Hapni ndërfaqen dhe aktivizoni shërbimin që të fillojë me sistemin. Ky hap krijon ndërfaqen virtuale dhe shton rrugët e nevojshme

systemctl start wg-quick@wg0
systemctl enable wg-quick@wg0
wg

me wg Do të shihni bashkëmoshatarët, çelësat, transferimet dhe kohët e fundit të shtrëngimit të dorës. Nëse politika juaj e firewall-it është kufizuese, lejoni hyrjen përmes ndërfaqes. wg0 dhe porta UDP e shërbimit:

iptables -I INPUT 1 -i wg0 -j ACCEPT

Aplikacionet zyrtare: Windows, macOS, Android dhe iOS

Në desktop mund të importoni një skedar .confNë pajisjet mobile, aplikacioni ju lejon të krijoni ndërfaqen nga një Kodi QR që përmban konfigurimin; është shumë i përshtatshëm për klientët jo-teknikë.

Nëse qëllimi juaj është të ekspozoni shërbime të vetë-pritura si p.sh. Plex/Radarr/Sonarr Përmes VPN-së tuaj, thjesht caktoni IP-të në nënrrjetin WireGuard dhe rregulloni IP-të e Lejuara në mënyrë që klienti të mund të arrijë atë rrjet; nuk keni nevojë të hapni porta shtesë nga jashtë nëse i gjithë qasja bëhet përmes tunel.

Avantazhet dhe disavantazhet

WireGuard është shumë i shpejtë dhe i thjeshtë, por është e rëndësishme të merren në konsideratë kufizimet dhe specifikat e tij në varësi të rastit të përdorimit. Ja një përmbledhje e ekuilibruar e më i shquar.

avantazh	disavantazhet
Konfigurim i qartë dhe i shkurtër, ideal për automatizim	Nuk përfshin bllokimin e trafikut vendas
Performancë e lartë dhe vonesë e ulët edhe në i lëvizshëm	Në disa mjedise të trashëguara ka më pak opsione të përparuara
Kriptografia moderne dhe kodi i vogël që e bën të lehtë auditimit	Privatësia: Lidhja IP/çelës publik mund të jetë e ndjeshme në varësi të politikave
Roaming dhe ndërprerës pa ndërprerje i disponueshëm për klientët	Pajtueshmëria me palët e treta nuk është gjithmonë homogjene

 

Tunelim i ndarë: drejtimi vetëm i asaj që është e nevojshme

Tuneli i ndarë ju lejon të dërgoni vetëm trafikun që ju nevojitet përmes VPN-së. Me IP-të e lejuara Ju vendosni nëse do të bëni ridrejtim të plotë apo selektiv në një ose më shumë nënrrjete.

# Redirección completa de Internet
[Peer]
AllowedIPs = 0.0.0.0/0

# Solo acceder a recursos de la LAN 192.168.1.0/24 por la VPN
[Peer]
AllowedIPs = 192.168.1.0/24

Ekzistojnë variante të tilla si tunelimi i ndarë në të kundërt, i filtruar nga URL ose nga aplikacioni (përmes zgjerimeve/klientëve specifikë), megjithëse baza vendase në WireGuard është kontrolli nga IP dhe prefikset.

Pajtueshmëria dhe ekosistemi

WireGuard lindi për kernelin Linux, por sot është platformë kryqOPNsense e integron atë në mënyrë native; pfSense u ndërpre përkohësisht për auditime dhe më pas u ofrua si një paketë opsionale në varësi të versionit.

Në NAS si QNAP mund ta montoni atë nëpërmjet QVPN ose makinave virtuale, duke përfituar nga NIC-et 10GbE për të shpejtësi të lartëPllakat e ruterëve MikroTik kanë përfshirë mbështetjen për WireGuard që nga RouterOS 7.x; në versionet e tij të hershme, ishte në fazën beta dhe nuk rekomandohej për prodhim, por lejon tunele P2P midis pajisjeve dhe madje edhe klientëve fundorë.

Prodhues si Teltonika kanë një paketë për të shtuar WireGuard në routerët e tyre; nëse keni nevojë për pajisje, mund t'i blini ato në shop.davantel.com dhe ndiqni udhëzimet e prodhuesit për instalim paquetes ekstra.

Performanca dhe vonesa

Falë dizajnit të tij minimalist dhe zgjedhjes së algoritmeve efikase, WireGuard arrin shpejtësi shumë të larta dhe vonesa të ulëta, përgjithësisht superior ndaj L2TP/IPsec dhe OpenVPN. Në testet lokale me pajisje të fuqishme, shkalla aktuale është shpesh dyfishi i asaj të alternativave, duke e bërë ideale për transmetim, lojëra ose VoIP.

Implementimi i korporatës dhe puna në distancë

Në ndërmarrje, WireGuard është i përshtatshëm për krijimin e tuneleve midis zyrave, aksesin në distancë të punonjësve dhe lidhjet e sigurta midis tyre. CPD dhe cloud (p.sh., për kopje rezervë). Sintaksa e saj koncize e bën të lehtë versionimin dhe automatizimin.

Integrohet me drejtori të tilla si LDAP/AD duke përdorur zgjidhje të ndërmjetme dhe mund të bashkëjetojë me platformat IDS/IPS ose NAC. Një opsion i njohur është PaketaFence (burim i hapur), i cili ju lejon të verifikoni statusin e pajisjeve përpara se të jepni akses dhe kontroll BYOD.

Windows/macOS: Shënime dhe Këshilla

Aplikacioni zyrtar i Windows zakonisht funksionon pa probleme, por në disa versione të Windows 10 ka pasur probleme gjatë përdorimit. IP-të e lejuara = 0.0.0.0/0 për shkak të konflikteve të rrugëve. Si një alternativë e përkohshme, disa përdorues zgjedhin klientë të bazuar në WireGuard si TunSafe ose kufizimin e AllowedIP-ve në nënrrjete specifike.

Udhëzuesi i Fillimit të Shpejtë të Debian me Çelësa Shembujsh

Gjeneroni çelësa për serverin dhe klientin në /etc/wireguard/ dhe krijoni ndërfaqen wg0. Sigurohuni që IP-të e VPN-së nuk përputhen me asnjë IP tjetër në rrjetin tuaj lokal ose në klientët tuaj.

cd /etc/wireguard/
wg genkey | tee claveprivadaservidor | wg pubkey > clavepublicaservidor
wg genkey | tee claveprivadacliente1 | wg pubkey > clavepublicacliente1

Serveri wg0.conf me nënrrjetin 192.168.2.0/24 dhe portin 51820. Aktivizoni PostUp/PostDown nëse doni të automatizoni NAT me iptables kur hap/çaktivizon ndërfaqen.

[Interface]
Address = 192.168.2.1/24
PrivateKey = <clave_privada_servidor>
ListenPort = 51820
#PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]
PublicKey = <clave_publica_cliente1>
AllowedIPs = 0.0.0.0/0

Klient me adresë 192.168.2.2, që tregon pikën fundore publike të serverit dhe me i mbajtur opsionale nëse ka NAT të ndërmjetëm.

[Interface]
PrivateKey = <clave_privada_cliente1>
Address = 192.168.2.2/32

[Peer]
PublicKey = <clave_publica_servidor>
AllowedIPs = 0.0.0.0/0
Endpoint = <ip_publica_servidor>:51820
#PersistentKeepalive = 25

Hapni ndërfaqen dhe shikoni si MTU, shenjat e rrugës dhe fwmark dhe rregullat e politikës së rrugëzimit. Rishikoni daljen dhe statusin e wg‑quick me shfaqje wg.

Mikrotik: tunel midis RouterOS 7.x

MikroTik ka mbështetur WireGuard që nga RouterOS 7.x. Krijoni një ndërfaqe WireGuard në secilin router, aplikojeni atë dhe ajo do të gjenerohet automatikisht. kyçCaktoni IP-të për Ether2 si WAN dhe wireguard1 si ndërfaqe tuneli.

Konfiguroni bashkëmoshatarët duke kryqëzuar çelësin publik të serverit në anën e klientit dhe anasjelltas, përcaktoni Adresat e Lejuara/IP-të e Lejuara (për shembull 0.0.0.0/0 nëse doni të lejoni çdo burim/destinacion përmes tunelit) dhe caktoni pikën fundore të largët me portën e saj. Një ping në IP-në e tunelit të largët do ta konfirmojë shtrëngim duarsh.

Nëse lidhni telefona celularë ose kompjuterë në tunelin Mikrotik, rregulloni rrjetet e lejuara në mënyrë që të mos hapen më shumë seç duhet; WireGuard vendos rrjedhën e paketave bazuar në tuajin. Rruga me kriptoçelës, prandaj është e rëndësishme të përputhen origjinat dhe destinacionet.

Kriptografia e përdorur

WireGuard përdor një grup modern të: zhurmë si një kornizë, Curve25519 për ECDH, ChaCha20 për enkriptim simetrik të autentifikuar me Poly1305, BLAKE2 për hashing, SipHash24 për tabelat hash dhe HKDF për derivimin e kyçNëse një algoritëm është i vjetruar, protokolli mund të versionohet për të migruar pa probleme.

Të mirat dhe të këqijat në celular

Përdorimi i tij në telefonat inteligjentë ju lejon të shfletoni në mënyrë të sigurt në Wi-Fi publik, fshihni trafikun nga ofruesi juaj i shërbimit të internetit dhe lidheni me rrjetin tuaj shtëpiak për të aksesuar NAS, automatizimin e shtëpisë ose lojërat. Në iOS/Android, ndërrimi i rrjeteve nuk e çon në tunel, gjë që përmirëson përvojën.

Si disavantazhe, ju sjellni një humbje të shpejtësisë dhe vonesë më të madhe krahasuar me daljen direkte, dhe vareni nga serveri që është gjithmonë i aktivizuar. në dispozicionMegjithatë, krahasuar me IPsec/OpenVPN, penalizimi është zakonisht më i ulët.

WireGuard kombinon thjeshtësinë, shpejtësinë dhe sigurinë e vërtetë me një kurbë të lehtë mësimi: instalojeni, gjeneroni çelësa, përcaktoni IP-të e lejuara dhe jeni gati. Shtoni përçimin e IP-së, NAT të implementuar mirë, aplikacione zyrtare me kode QR dhe përputhshmëri me ekosisteme si OPNsense, Mikrotik ose Teltonika. një VPN moderne për pothuajse çdo skenar, nga sigurimi i rrjeteve publike deri te lidhja e selisë qendrore dhe qasja në shërbimet e shtëpisë tuaj pa dhimbje koke.