- Usanifu rahisi na usimbaji fiche wa kisasa: funguo za kila rika na Zinazoruhusiwa za kuelekeza.
- Usakinishaji wa haraka kwenye Linux na programu rasmi za kompyuta ya mezani na simu ya mkononi.
- Utendaji bora kwa IPsec/OpenVPN, yenye uzururaji na utulivu wa chini.
Ikiwa unatafuta VPN ambayo ni ya haraka, salama na rahisi kupeleka, WireGuard Ni bora unayoweza kutumia leo. Kwa muundo duni na kriptografia ya kisasa, ni bora kwa watumiaji wa nyumbani, wataalamu, na mazingira ya shirika, kwenye kompyuta na kwenye vifaa vya rununu na vipanga njia.
Katika mwongozo huu wa vitendo utapata kila kitu kutoka kwa msingi hadi Usanidi wa hali ya juu: Usakinishaji kwenye Linux (Ubuntu/Debian/CentOS), funguo, faili za seva na mteja, usambazaji wa IP, NAT/Firewall, programu kwenye Windows/macOS/Android/iOS, kupasuliwa kusonga, utendaji, utatuzi, na uoanifu na mifumo kama vile OPNsense, pfSense, QNAP, Mikrotik au Teltonika.
WireGuard ni nini na kwa nini uchague?
WireGuard ni itifaki ya VPN ya chanzo huria na programu iliyoundwa kuunda Njia za L3 zilizosimbwa kwa njia fiche juu ya UDP. Ni ya kipekee ikilinganishwa na OpenVPN au IPsec kwa sababu ya unyenyekevu, utendaji na utulivu wa chini, kutegemea algoriti za kisasa kama vile. Curve25519, ChaCha20-Poly1305, BLAKE2, SipHash24 na HKDF.
Msingi wake wa kificho ni mdogo sana (karibu maelfu ya mistari), ambayo inawezesha ukaguzi, inapunguza uso wa mashambulizi na kuboresha matengenezo. Pia imeunganishwa kwenye kernel ya Linux, kuruhusu viwango vya juu vya uhamisho na majibu ya haraka hata kwenye vifaa vya kawaida.
Ni multiplatform: kuna programu rasmi za Windows, macOS, Linux, Android na iOS, na usaidizi wa mifumo inayoelekezwa na kipanga njia/ngamizi kama vile OPNsense. Inapatikana pia kwa mazingira kama FreeBSD, OpenBSD, na NAS na majukwaa ya utambuzi.
Jinsi inavyofanya kazi ndani
WireGuard huanzisha handaki iliyosimbwa kati ya wenzao (wenzao) kutambuliwa kwa funguo. Kila kifaa hutengeneza jozi muhimu (za kibinafsi/ya umma) na hushiriki zake pekee ufunguo wa umma na mwisho mwingine; kutoka hapo, trafiki yote imesimbwa na kuthibitishwa.
Maagizo IPs zinazoruhusiwa Inafafanua uelekezaji unaotoka (ni trafiki gani inapaswa kupita kwenye handaki) na orodha ya vyanzo halali ambavyo mwenzi wa mbali atakubali baada ya kusimbua kwa mafanikio pakiti. Mbinu hii inajulikana kama Njia ya Cryptokey na hurahisisha sana sera ya trafiki.
WireGuard ni bora na roaming- Iwapo IP ya mteja wako itabadilika (k.m., unaruka kutoka Wi-Fi hadi 4G/5G), kipindi kitarejeshwa kwa uwazi na haraka sana. Pia inasaidia kuua kubadili kuzuia trafiki nje ya handaki ikiwa VPN itapungua.
Ufungaji kwenye Linux: Ubuntu/Debian/CentOS
Kwenye Ubuntu, WireGuard inapatikana katika repos rasmi. Sasisha vifurushi na kisha usakinishe programu ili kupata moduli na zana. wg na wg-haraka.
apt update && apt upgrade -y
apt install wireguard -y
modprobe wireguardKatika Debian stable unaweza kutegemea repos za tawi zisizo na msimamo ikiwa unahitaji, kufuata njia iliyopendekezwa na kwa utunzaji katika uzalishaji:
sudo sh -c 'echo deb https://deb.debian.org/debian/ unstable main > /etc/apt/sources.list.d/unstable.list'
sudo sh -c 'printf "Package: *\nPin: release a=unstable\nPin-Priority: 90\n" > /etc/apt/preferences.d/limit-unstable'
sudo apt update
sudo apt install wireguardKatika CentOS 8.3 mtiririko ni sawa: unawasha EPEL/ElRepo repos ikiwa ni lazima kisha usakinishe kifurushi. WireGuard na moduli zinazolingana.
Kizazi muhimu
Kila rika lazima iwe na yake jozi ya ufunguo wa kibinafsi / wa umma. Tumia umask ili kuzuia ruhusa na utengeneze funguo za seva na wateja.
umask 077
wg genkey | tee privatekey | wg pubkey > publickeyRudia kwenye kila kifaa. Usishiriki kamwe ufunguo wa kibinafsi na kuokoa zote mbili kwa usalama. Ikiwa ungependa, unda faili zilizo na majina tofauti, kwa mfano privatekeyserver y publicserverkey.
Usanidi wa seva
Unda faili kuu ndani /etc/wireguard/wg0.conf. Kabidhi subnet ya VPN (haitumiki kwenye LAN yako halisi), bandari ya UDP na uongeze kizuizi [Rika] kwa mteja aliyeidhinishwa.
[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = <clave_privada_servidor>
# Cliente 1
[Peer]
PublicKey = <clave_publica_cliente1>
AllowedIPs = 10.0.0.2/32Unaweza pia kutumia subnet nyingine, kwa mfano 192.168.2.0/24, na kukua na rika nyingi. Kwa kupelekwa kwa haraka, ni kawaida kutumia wg-haraka na faili za wgN.conf.
Usanidi wa mteja
Kwenye mteja unda faili, kwa mfano wg0-client.conf, pamoja na ufunguo wake wa faragha, anwani ya handaki, DNS ya hiari, na programu rika ya seva yenye mwisho wake wa umma na mlango.
[Interface]
PrivateKey = <clave_privada_cliente>
Address = 10.0.0.2/24
DNS = 8.8.8.8
[Peer]
PublicKey = <clave_publica_servidor>
Endpoint = <ip_publica_servidor>:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25Ukiweka RuhusaIPs = 0.0.0.0/0 Trafiki yote itapitia VPN; ikiwa unataka tu kufikia mitandao maalum ya seva, punguza kwa subnets muhimu na utapunguza latency na matumizi.
Usambazaji wa IP na NAT kwenye Seva
Washa usambazaji ili wateja waweze kufikia Mtandao kupitia seva. Tumia mabadiliko kwenye kuruka na sysctl.
echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf
echo 'net.ipv6.conf.all.forwarding=1' >> /etc/sysctl.conf
sysctl -pSanidi NAT na iptables kwa subnet ya VPN, kuweka kiolesura cha WAN (kwa mfano, eth0):
iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADEIfanye iendelee na vifurushi vinavyofaa na uhifadhi sheria zitakazotumika kwenye kuwasha upya mfumo.
apt install -y iptables-persistent netfilter-persistent
netfilter-persistent saveKuanzisha na uthibitishaji
Leta kiolesura na uwezesha huduma kuanza na mfumo. Hatua hii inaunda kiolesura cha kawaida na inaongeza rutas lazima.
systemctl start wg-quick@wg0
systemctl enable wg-quick@wg0
wgna wg Utaona programu zingine, funguo, uhamisho, na nyakati za mwisho za kupeana mkono. Ikiwa sera yako ya ngome ni vikwazo, ruhusu kuingia kupitia kiolesura. wg0 na bandari ya UDP ya huduma:
iptables -I INPUT 1 -i wg0 -j ACCEPT
Programu rasmi: Windows, macOS, Android, na iOS
Kwenye eneo-kazi unaweza kuagiza a .conf faili. Kwenye vifaa vya rununu, programu hukuruhusu kuunda kiolesura kutoka kwa a QR code iliyo na usanidi; ni rahisi sana kwa wateja wasio wa kiufundi.
Ikiwa lengo lako ni kufichua huduma zinazojiendesha kama vile Plex/Radarr/Sonarr Kupitia VPN yako, toa IP katika subnet ya WireGuard na urekebishe AllowedIPs ili mteja aweze kufikia mtandao huo; hauitaji kufungua bandari za ziada kwa nje ikiwa ufikiaji wote unapitia tunnel.
Faida na hasara
WireGuard ni haraka sana na rahisi, lakini ni muhimu kuzingatia mapungufu yake na maalum kulingana na kesi ya matumizi. Hapa kuna muhtasari wa usawa wa wengi husika.
| Faida | Hasara |
|---|---|
| Usanidi wazi na mfupi, bora kwa otomatiki | Haijumuishi ufichuzi asilia wa trafiki |
| Utendaji wa juu na utulivu wa chini hata ndani simu | Katika baadhi ya mazingira ya urithi kuna chaguo chache za juu |
| Fiche za kisasa na msimbo mdogo unaorahisisha ukaguzi | Faragha: Muungano wa ufunguo wa IP/umma unaweza kuwa nyeti kulingana na sera |
| Swichi ya kuzurura na kuua bila mshono inapatikana kwa wateja | Utangamano wa mtu wa tatu sio sawa kila wakati |
Mgawanyiko wa tunnel: kuelekeza tu kile kinachohitajika
Kugawanya tunnel hukuruhusu kutuma trafiki unayohitaji tu kupitia VPN. Na IPs zinazoruhusiwa Unaamua kama uelekeze upya kwa ukamilifu au kwa kuchagua kwa subneti moja au zaidi.
# Redirección completa de Internet
[Peer]
AllowedIPs = 0.0.0.0/0# Solo acceder a recursos de la LAN 192.168.1.0/24 por la VPN
[Peer]
AllowedIPs = 192.168.1.0/24Kuna vibadala kama vile upasuaji wa kugeuza nyuma, unaochujwa na URL au kwa programu (kupitia viendelezi/wateja mahususi), ingawa msingi asilia katika WireGuard ni udhibiti wa IP na viambishi awali.
Utangamano na mfumo wa ikolojia
WireGuard alizaliwa kwa kernel ya Linux, lakini leo ni jukwaa la msalabaOPNsense inaiunganisha asili; pfSense ilikomeshwa kwa muda kwa ukaguzi, na ilitolewa baadaye kama kifurushi cha hiari kulingana na toleo.
Kwenye NAS kama QNAP unaweza kuiweka kupitia QVPN au mashine halisi, ukitumia fursa ya 10GbE NICs kasi ya juuBodi za vipanga njia za MikroTik zimejumuisha usaidizi wa WireGuard tangu RouterOS 7.x; katika marudio yake ya awali, ilikuwa katika beta na haipendekezwi kwa uzalishaji, lakini hairuhusu vichuguu vya P2P kati ya vifaa na hata wateja wa mwisho.
Watengenezaji kama vile Teltonika wana kifurushi cha kuongeza WireGuard kwenye vipanga njia vyao; ikiwa unahitaji vifaa, unaweza kuzinunua duka.davantel.com na kufuata miongozo ya mtengenezaji kwa ajili ya ufungaji paket ziada.
Utendaji na utulivu
Shukrani kwa muundo wake mdogo na uchaguzi wa algorithms bora, WireGuard inafikia kasi ya juu sana na latencies chini, kwa ujumla bora kuliko L2TP/IPsec na OpenVPN. Katika majaribio ya ndani yenye maunzi yenye nguvu, kiwango halisi mara nyingi huwa maradufu kile cha mbadala, na kuifanya kuwa bora utiririshaji, michezo ya kubahatisha au VoIP.
Utekelezaji wa ushirika na kufanya kazi kwa simu
Katika biashara, WireGuard inafaa kwa kuunda vichuguu kati ya ofisi, ufikiaji wa wafanyikazi wa mbali, na miunganisho salama kati ya CPD na wingu (k.m., kwa chelezo). Syntax yake mafupi hurahisisha utayarishaji na uwekaji otomatiki.
Inaunganishwa na saraka kama vile LDAP/AD kwa kutumia suluhu za kati na inaweza kuwepo pamoja na IDS/IPS au mifumo ya NAC. Chaguo maarufu ni Ufungashaji wa pakiti (chanzo huria), kinachokuruhusu kuthibitisha hali ya kifaa kabla ya kutoa ufikiaji na udhibiti wa BYOD.
Windows/macOS: Vidokezo na Vidokezo
Programu rasmi ya Windows kawaida hufanya kazi bila matatizo, lakini katika baadhi ya matoleo ya Windows 10 kumekuwa na masuala wakati wa kutumia RuhusaIPs = 0.0.0.0/0 kutokana na migogoro ya njia. Kama mbadala wa muda, baadhi ya watumiaji huchagua wateja wanaotegemea WireGuard kama vile TunSafe au kuweka mipaka ya AllowedIPs kwenye nyavu mahususi.
Mwongozo wa Kuanza Haraka wa Debian na Vifunguo vya Mfano
Tengeneza funguo za seva na mteja ndani /etc/wireguard/ na unda kiolesura cha wg0. Hakikisha kuwa IP za VPN hazilingani na IP zingine kwenye mtandao wa ndani au wateja wako.
cd /etc/wireguard/
wg genkey | tee claveprivadaservidor | wg pubkey > clavepublicaservidor
wg genkey | tee claveprivadacliente1 | wg pubkey > clavepublicacliente1seva ya wg0.conf iliyo na subnet 192.168.2.0/24 na lango 51820. Washa PostUp/PostDown ikiwa unataka kugeuza kiotomatiki. NAT na iptables wakati wa kuleta / kuleta kiolesura.
[Interface]
Address = 192.168.2.1/24
PrivateKey = <clave_privada_servidor>
ListenPort = 51820
#PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
[Peer]
PublicKey = <clave_publica_cliente1>
AllowedIPs = 0.0.0.0/0Mteja aliye na anwani 192.168.2.2, inayoelekeza kwenye mwisho wa umma wa seva na kwa kujiweka sawa hiari ikiwa kuna NAT ya kati.
[Interface]
PrivateKey = <clave_privada_cliente1>
Address = 192.168.2.2/32
[Peer]
PublicKey = <clave_publica_servidor>
AllowedIPs = 0.0.0.0/0
Endpoint = <ip_publica_servidor>:51820
#PersistentKeepalive = 25Vuta kiolesura na uangalie kama MTU, alama za njia, na fwmark na kanuni za sera za uelekezaji. Kagua matokeo ya haraka ya wg na hali na show ya wg.
Mikrotik: handaki kati ya RouterOS 7.x
MikroTik imetumia WireGuard tangu RouterOS 7.x. Unda kiolesura cha WireGuard kwenye kila kipanga njia, kitumie, na kitatolewa kiotomatiki. funguo. Peana IPs kwa Ether2 kama WAN na wireguard1 kama kiolesura cha handaki.
Sanidi programu rika kwa kuvuka ufunguo wa umma wa seva kwenye upande wa mteja na kinyume chake, fafanua Anwani Zinazoruhusiwa/Ilizoruhusiwa (kwa mfano 0.0.0.0/0 ikiwa unataka kuruhusu chanzo/lengwa lolote kupitia handaki) na uweke mwisho wa mbali na bandari yake. Ping kwa IP ya handaki ya mbali itathibitisha handshake.
Ikiwa unaunganisha simu za mkononi au kompyuta kwenye handaki ya Mikrotik, fanya vizuri mitandao inayoruhusiwa ili usifungue zaidi ya lazima; WireGuard huamua mtiririko wa pakiti kulingana na yako Njia ya Cryptokey, kwa hivyo ni muhimu kulinganisha asili na marudio.
Cryptography imetumika
WireGuard hutumia seti ya kisasa ya: Kelele kama mfumo, Curve25519 kwa ECDH, ChaCha20 kwa usimbaji fiche linganifu uliothibitishwa na Poly1305, BLAKE2 kwa hashing, SipHash24 kwa jedwali la hashi na HKDF kwa ajili ya kupata funguoIkiwa algoriti itaacha kutumika, itifaki inaweza kubadilishwa ili kuhama bila mshono.
Faida na hasara kwenye simu
Kuitumia kwenye simu mahiri hukuruhusu kuvinjari kwa usalama Wi-Fi ya Umma, ficha trafiki kutoka kwa ISP yako, na uunganishe kwenye mtandao wako wa nyumbani ili kufikia NAS, mitambo ya kiotomatiki ya nyumbani, au michezo ya kubahatisha. Kwenye iOS/Android, kubadili mitandao hakuondoi njia, ambayo huboresha matumizi.
Kama hasara, unaburuta upotezaji wa kasi na utulivu mkubwa ikilinganishwa na pato la moja kwa moja, na unategemea seva kuwa kila wakati. inapatikana. Walakini, ikilinganishwa na IPsec/OpenVPN adhabu kawaida huwa chini.
WireGuard inachanganya urahisi, kasi, na usalama halisi kwa njia ya upole ya kujifunza: isakinishe, toa vitufe, fafanua AllowedIPs, na uko tayari kwenda. Ongeza usambazaji wa IP, NAT inayotekelezwa vyema, programu rasmi zilizo na misimbo ya QR, na uoanifu na mifumo ikolojia kama vile OPNsense, Mikrotik au Teltonika. VPN ya kisasa kwa karibu hali yoyote, kutoka kwa kupata mitandao ya umma hadi kuunganisha makao makuu na kufikia huduma zako za nyumbani bila maumivu ya kichwa.
Mhariri aliyebobea katika masuala ya teknolojia na intaneti akiwa na tajriba ya zaidi ya miaka kumi katika midia tofauti ya dijiti. Nimefanya kazi kama mhariri na muundaji wa maudhui kwa biashara ya mtandaoni, mawasiliano, uuzaji mtandaoni na makampuni ya utangazaji. Pia nimeandika kwenye tovuti za uchumi, fedha na sekta nyinginezo. Kazi yangu pia ni shauku yangu. Sasa, kupitia makala yangu katika Tecnobits, Ninajaribu kuchunguza habari zote na fursa mpya ambazo ulimwengu wa teknolojia hutupatia kila siku ili kuboresha maisha yetu.