Повний посібник з WireGuard: встановлення, ключі та розширена конфігурація

Якщо ви шукаєте його VPN який є швидким, безпечним та простим у розгортанні, WireGuard Це найкраще, що ви можете використовувати сьогодні. Завдяки мінімалістичному дизайну та сучасній криптографії, він ідеально підходить для домашніх користувачів, професіоналів та корпоративних середовищ, як на комп'ютерах, так і на мобільних пристроях і маршрутизаторах.

У цьому практичному посібнику ви знайдете все: від основ до Розширена конфігураціяВстановлення на Linux (Ubuntu/Debian/CentOS), ключі, файли сервера та клієнта, переадресація IP-адрес, NAT/брандмауер, програми на Windows/macOS/Android/iOS, розділення тунелювання, продуктивність, усунення несправностей та сумісність з такими платформами, як OPNsense, pfSense, QNAP, Mikrotik або Teltonika.

Що таке WireGuard і чому варто його обрати?

WireGuard це VPN-протокол та програмне забезпечення з відкритим кодом, розроблені для створення Зашифровані тунелі L3 через UDPВін відрізняється від OpenVPN або IPsec своєю простотою, продуктивністю та меншою затримкою, спираючись на сучасні алгоритми, такі як Curve25519, ChaCha20-Poly1305, BLAKE2, SipHash24 та HKDF.

Його кодова база дуже мала (близько тисячі рядків), що спрощує аудит, зменшує поверхню атаки та покращує обслуговування. Він також інтегрований у ядро ​​Linux, що дозволяє високі швидкості передачі даних та гнучка реакція навіть на скромному обладнанні.

 

Він мультиплатформний: є офіційні додатки для Windows, macOS, Linux, Android та iOS, а також підтримку систем, орієнтованих на маршрутизатори/брандмауери, таких як OPNsense. Він також доступний для середовищ, таких як FreeBSD, OpenBSD, а також NAS та платформ віртуалізації.

Як це працює всередині

 

WireGuard встановлює зашифрований тунель між вузлами (одноліткам) ідентифіковані ключами. Кожен пристрій генерує пару ключів (приватний/публічний) та надає доступ лише своїм відкритий ключ з іншого кінця; звідти весь трафік шифрується та автентифікується.

Директива Дозволені IP-адреси Визначає як вихідну маршрутизацію (який трафік має проходити через тунель), так і список дійсних джерел, які віддалений вузол прийматиме після успішного розшифрування пакета. Такий підхід відомий як Cryptokey Routing і значно спрощує дорожню політику.

WireGuard чудово працює з Роумінг- Якщо IP-адреса вашого клієнта змінюється (наприклад, ви переходите з Wi-Fi на 4G/5G), сеанс відновлюється прозоро та дуже швидко. Він також підтримує вимикач щоб заблокувати трафік з тунелю, якщо VPN вийде з ладу.

Встановлення на Linux: Ubuntu/Debian/CentOS

У Ubuntu WireGuard доступний в офіційних репозиторіях. Оновіть пакети, а потім встановіть програмне забезпечення, щоб отримати модуль та інструменти. wg та wg-швидко.

apt update && apt upgrade -y
apt install wireguard -y
modprobe wireguard

У стабільній версії Debian ви можете за потреби покладатися на репозиторії нестабільних гілок, дотримуючись рекомендованого методу та з турбота у виробництві:

sudo sh -c 'echo deb https://deb.debian.org/debian/ unstable main > /etc/apt/sources.list.d/unstable.list'
sudo sh -c 'printf "Package: *\nPin: release a=unstable\nPin-Priority: 90\n" > /etc/apt/preferences.d/limit-unstable'
sudo apt update
sudo apt install wireguard

У CentOS 8.3 процес аналогічний: ви активуєте репозиторії EPEL/ElRepo, якщо необхідно, а потім встановлюєте пакет. WireGuard та відповідні модулі.

Генерація ключів

Кожен одноліток повинен мати свій власний пара закритих/відкритих ключівЗастосуйте umask для обмеження дозволів та генерації ключів для сервера та клієнтів.

umask 077
wg genkey | tee privatekey | wg pubkey > publickey

Повторіть на кожному пристрої. Ніколи не передавайте закритий ключ і безпечно збережіть обидва. Якщо бажаєте, створіть файли з різними назвами, наприклад сервер приватних ключів y відкритий серверний ключ.

Конфігурація сервера

Створіть основний файл у /etc/wireguard/wg0.confПризначте підмережу VPN (яка не використовується у вашій реальній локальній мережі), порт UDP та додайте блок. [Peer] на одного уповноваженого клієнта.

[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = <clave_privada_servidor>

# Cliente 1
[Peer]
PublicKey = <clave_publica_cliente1>
AllowedIPs = 10.0.0.2/32

Ви також можете використовувати іншу підмережу, наприклад 192.168.2.0/24, та розвиватися разом з кількома одноранговими системами. Для швидкого розгортання зазвичай використовується wg-швидкий з файлами wgN.conf.

Конфігурація клієнта

На клієнті створіть файл, наприклад wg0-client.conf, із його закритим ключем, адресою тунелю, необов'язковим DNS та вузлом сервера з його публічною кінцевою точкою та портом.

[Interface]
PrivateKey = <clave_privada_cliente>
Address = 10.0.0.2/24
DNS = 8.8.8.8

[Peer]
PublicKey = <clave_publica_servidor>
Endpoint = <ip_publica_servidor>:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25

Якщо ви покладете Дозволені IP-адреси = 0.0.0.0/0 Весь трафік проходитиме через VPN; якщо ви хочете охопити лише певні серверні мережі, обмежте його необхідними підмережами, і ви зменшите затримка та споживання.

Переадресація IP-адрес та NAT на сервері

Увімкніть переадресацію, щоб клієнти могли отримати доступ до Інтернету через сервер. Застосовуйте зміни на льоту за допомогою Sysctl.

echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf
echo 'net.ipv6.conf.all.forwarding=1' >> /etc/sysctl.conf
sysctl -p

Налаштуйте NAT за допомогою iptables для підмережі VPN, встановивши інтерфейс WAN (наприклад, eth0):

iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADE

Зробіть це постійним з відповідними пакетами та правилами збереження, які застосовуватимуться під час перезавантаження системи.

apt install -y iptables-persistent netfilter-persistent
netfilter-persistent save

Запуск та перевірка

Відкрийте інтерфейс та дозвольте службі запуститися разом із системою. Цей крок створює віртуальний інтерфейс та додає маршрути необхідний.

systemctl start wg-quick@wg0
systemctl enable wg-quick@wg0
wg

з wg Ви побачите дані про вузли, ключі, передачі та час останнього встановлення зв'язку. Якщо політика вашого брандмауера обмежує доступ, дозвольте вхід через інтерфейс. wg0 та UDP-порт служби:

iptables -I INPUT 1 -i wg0 -j ACCEPT

Офіційні програми: Windows, macOS, Android та iOS

На робочому столі ви можете імпортувати Файл .confНа мобільних пристроях застосунок дозволяє створювати інтерфейс з QR-код містить конфігурацію; це дуже зручно для користувачів без технічних знань.

Якщо ваша мета — розкрити власні сервіси, такі як Плекс/Радар/Сонар Через вашу VPN просто призначте IP-адреси в підмережі WireGuard та налаштуйте AllowedIPs, щоб клієнт міг отримати доступ до цієї мережі; вам не потрібно відкривати додаткові порти зовні, якщо весь доступ здійснюється через тунель.

Переваги та недоліки

WireGuard дуже швидкий і простий, але важливо враховувати його обмеження та особливості залежно від випадку використання. Ось збалансований огляд найбільш… ставлення.

Перевага	Недоліки
Чітка та коротка конфігурація, ідеально підходить для автоматизації	Не включає вбудоване обфускацію трафіку
Висока продуктивність і низька затримка навіть у мобільний	У деяких застарілих середовищах є менше розширених опцій
Сучасна криптографія та невеликий код, що спрощує роботу аудит	Конфіденційність: зв'язок IP/відкритого ключа може бути конфіденційним залежно від політик
Безперебійний роумінг та функція автоматичного відключення доступні на клієнтах	Сумісність зі сторонніми продуктами не завжди однорідна

 

Роздільне тунелювання: спрямування лише того, що необхідно

Роздільне тунелювання дозволяє надсилати через VPN лише необхідний трафік. Дозволені IP-адреси Ви вирішуєте, чи виконувати повне чи вибіркове перенаправлення на одну або кілька підмереж.

# Redirección completa de Internet
[Peer]
AllowedIPs = 0.0.0.0/0

# Solo acceder a recursos de la LAN 192.168.1.0/24 por la VPN
[Peer]
AllowedIPs = 192.168.1.0/24

Існують такі варіанти, як зворотне роздільне тунелювання, фільтроване за URL або за допомогою програми (через певні розширення/клієнти), хоча власною основою WireGuard є керування за IP-адресами та префіксами.

Сумісність та екосистема

WireGuard народився для ядра Linux, але сьогодні він поперечна платформаOPNsense інтегрує його нативно; pfSense було тимчасово припинено для аудитів, а згодом його почали пропонувати як додатковий пакет залежно від версії.

На NAS, таких як QNAP, ви можете монтувати його через QVPN або віртуальні машини, використовуючи переваги 10GbE мережевих адаптерів для... високі швидкостіПлати маршрутизаторів MikroTik мають підтримку WireGuard, починаючи з RouterOS 7.x; у своїх ранніх ітераціях він був у бета-версії та не рекомендований для виробництва, але він дозволяє тунелювати P2P між пристроями та навіть кінцевими клієнтами.

Виробники, такі як Teltonika, мають пакет для додавання WireGuard до своїх маршрутизаторів; якщо вам потрібне обладнання, ви можете придбати його за адресою shop.davantel.com та дотримуйтесь інструкцій виробника щодо встановлення пакети додатково.

Продуктивність та затримка

Завдяки мінімалістичному дизайну та вибору ефективних алгоритмів, WireGuard досягає дуже високих швидкостей та низькі затримки, загалом перевершує L2TP/IPsec та OpenVPN. У локальних тестах з потужним обладнанням фактична швидкість часто вдвічі перевищує аналогічні показники, що робить його ідеальним для потокове передавання даних, ігри або VoIP.

Корпоративне впровадження та дистанційна робота

У підприємстві WireGuard підходить для створення тунелів між офісами, віддаленого доступу співробітників та безпечних з'єднань між... Безперервний професійний розвиток та хмарні технології (наприклад, для резервних копій). Його лаконічний синтаксис спрощує керування версіями та автоматизацію.

Він інтегрується з такими каталогами, як LDAP/AD, використовуючи проміжні рішення, та може співіснувати з платформами IDS/IPS або NAC. Популярним варіантом є PacketFence (з відкритим вихідним кодом), що дозволяє перевіряти стан обладнання перед наданням доступу та контролювати BYOD.

Windows/macOS: Нотатки та поради

Офіційний додаток Windows зазвичай працює без проблем, але в деяких версіях Windows 10 виникали проблеми під час використання Дозволені IP-адреси = 0.0.0.0/0 через конфлікти маршрутів. Як тимчасову альтернативу, деякі користувачі обирають клієнти на базі WireGuard, такі як TunSafe, або обмежують AllowedIPs певними підмережами.

Короткий посібник з Debian із прикладами ключів

Згенерувати ключі для сервера та клієнта в /etc/wireguard/ та створіть інтерфейс wg0. Переконайтеся, що IP-адреси VPN не збігаються з іншими IP-адресами у вашій локальній мережі або ваших клієнтів.

cd /etc/wireguard/
wg genkey | tee claveprivadaservidor | wg pubkey > clavepublicaservidor
wg genkey | tee claveprivadacliente1 | wg pubkey > clavepublicacliente1

Сервер wg0.conf з підмережею 192.168.2.0/24 та портом 51820. Увімкніть PostUp/PostDown, якщо хочете автоматизувати NAT з iptables під час запуску/закриття інтерфейсу.

[Interface]
Address = 192.168.2.1/24
PrivateKey = <clave_privada_servidor>
ListenPort = 51820
#PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]
PublicKey = <clave_publica_cliente1>
AllowedIPs = 0.0.0.0/0

Клієнт з адресою 192.168.2.2, що вказує на публічну кінцеву точку сервера та з підтримувати необов'язково, якщо є проміжний NAT.

[Interface]
PrivateKey = <clave_privada_cliente1>
Address = 192.168.2.2/32

[Peer]
PublicKey = <clave_publica_servidor>
AllowedIPs = 0.0.0.0/0
Endpoint = <ip_publica_servidor>:51820
#PersistentKeepalive = 25

Відкрийте інтерфейс і спостерігайте, як відображаються MTU, розмітка маршруту та fwmark та правила політики маршрутизації. Перегляньте вивід та стан wg-quick за допомогою шоу wg.

Mikrotik: тунель між RouterOS 7.x

MikroTik підтримує WireGuard, починаючи з RouterOS 7.x. Створіть інтерфейс WireGuard на кожному маршрутизаторі, застосуйте його, і він буде згенерований автоматично. ключіПризначте IP-адреси для Ether2 як WAN та Wireguard1 як тунельний інтерфейс.

Налаштуйте вузли, перехрестивши відкритий ключ сервера на стороні клієнта та навпаки, визначте Дозволені адреси/Дозволені IP-адреси (наприклад 0.0.0.0/0 (якщо ви хочете дозволити будь-яке джерело/призначення через тунель) та встановіть віддалену кінцеву точку з її портом. Запит ping на IP-адресу віддаленого тунелю підтвердить рукостискання.

Якщо ви підключаєте мобільні телефони або комп'ютери до тунелю Mikrotik, налаштуйте дозволені мережі, щоб не відкривати більше, ніж потрібно; WireGuard визначає потік пакетів на основі ваших даних. Cryptokey Routing, тому важливо зіставити пункти відправлення та призначення.

Використана криптографія

WireGuard використовує сучасний набір: шум як фреймворк, Curve25519 для ECDH, ChaCha20 для автентифікованого симетричного шифрування з Poly1305, BLAKE2 для хешування, SipHash24 для хеш-таблиць та HKDF для виведення ключіЯкщо алгоритм застарів, протокол можна версіонувати для безперешкодної міграції.

Плюси та мінуси мобільного зв'язку

Використання його на смартфонах дозволяє безпечно переглядати веб-сторінки Громадський Wi-Fi, приховуйте трафік від свого інтернет-провайдера та підключайтеся до домашньої мережі для доступу до NAS, домашньої автоматизації або ігор. На iOS/Android перемикання мереж не призводить до переривання тунелю, що покращує враження.

Як недоліки, ви тягнете за собою деяку втрату швидкості та більшу затримку порівняно з прямим виводом, а також залежність від постійної роботи сервера. доступнийОднак, порівняно з IPsec/OpenVPN, штраф зазвичай менший.

WireGuard поєднує простоту, швидкість та справжню безпеку з легким навчанням: встановіть його, згенеруйте ключі, визначте дозволені IP-адреси, і ви готові до роботи. Додайте переадресацію IP-адрес, добре реалізований NAT, офіційні додатки з QR-кодами та сумісність з екосистемами, такими як OPNsense, Mikrotik або Teltonika. сучасний VPN практично для будь-якого сценарію, від захисту загальнодоступних мереж до підключення штаб-квартири та доступу до домашніх послуг без головного болю.