פולשטענדיקע WireGuard גייד: אינסטאַלאַציע, שליסלען און אַוואַנסירטע קאָנפיגוראַציע

אויב איר זענט איר זוכט פֿאַר אַ וופּן וואָס איז שנעל, זיכער און גרינג צו דעפּלאָיען, WireGuard עס איז דאָס בעסטע וואָס איר קענט נוצן הייַנט. מיט אַ מינימאַליסטישן דיזיין און מאָדערנער קריפּטאָגראַפֿיע, איז עס ידעאַל פֿאַר היים־באַניצער, פּראָפֿעסיאָנאַלן און קאָרפּאָראַטיווע סביבות, סיי אויף קאָמפּיוטערס און סיי אויף מאָבילע דעוויסעס און ראָוטערס.

אין דעם פּראַקטישן גייד וועט איר געפֿינען אַלץ פֿון די גרונטלעכע זאַכן ביז די אַוואַנסירטע סעטטינגסאינסטאַלאַציע אויף לינוקס (Ubuntu/Debian/CentOS), שליסלען, סערווער און קליענט טעקעס, IP פאָרווערדינג, NAT/פיירוואַל, אַפּליקאַציעס אויף Windows/macOS/Android/iOS, שפּאַלטן טאַנאַלינג, פאָרשטעלונג, טראָובלעשווטינג לייזונג, און קאָמפּאַטאַביליטי מיט פּלאַטפאָרמעס ווי OPNsense, pfSense, QNAP, Mikrotik אָדער Teltonika.

וואָס איז WireGuard און פארוואס זאָל מען עס אויסקלויבן?

WireGuard איז אַן אָפֿן-מקור VPN פּראָטאָקאָל און ווייכווארג דיזיינד צו שאַפֿן L3 ענקריפּטעד טונעלן איבער UDPעס שטייט ארויס קעגן OpenVPN אדער IPsec צוליב זיין פּשוטקייט, פאָרשטעלונג און נידעריקערע לעיטענסי, וואָס פֿאַרלאָזט זיך אויף מאָדערנע אַלגעריטמען ווי קורווע25519, טשאַטשאַ20-פּאָלי1305, בלייק2, סיפּהאַש24 און ה.ק.ד.פ..

איר קאָד באַזע איז זייער קליין (ארום טויזנטער ליניעס), וואָס פֿאַרלייכטערט אָדיטס, רעדוצירט אַטאַק ייבערפלאַך און פֿאַרבעסערט וישאַלט. עס איז אויך אינטעגרירט אין די לינוקס קערנעל, וואָס אַלאַוז הויכע טראַנספער ראַטעס און אַדזשייל רעאַקציע אפילו אויף באַשיידענע האַרדווער.

 

עס איז מולטיפּלאַטפאָרם: עס זענען דאָ אפיציעלע אַפּפּס פֿאַר Windows, macOS, Linux, Android און iOS, און שטיצע פאר ראוטער/פיירוואל-אריענטירטע סיסטעמען ווי OPNsense. עס איז אויך פאראן פאר סביבות ווי FreeBSD, OpenBSD, און NAS און ווירטואליזאציע פלאטפארמעס.

ווי עס אַרבעט אינעווייניק

 

WireGuard שטעלט אויף אן ענקריפּטעד טונעל צווישן פּירס (peers) אידענטיפיצירט דורך שליסלען. יעדע דעווייס דזשענערירט א שליסל פּאָר (פּריוואַט/פובליק) און טיילט נאָר אירע עפנטלעך שליסל מיטן אנדערן עק; פון דארט ווערט אלע טראפיק ענקריפּטעד און אויטענטיפיצירט.

דירעקטיוו ערלויבט IPs דעפינירט סיי די ארויסגייענדיקע רוטינג (וואָסערע טראַפיק זאָל גיין דורך דעם טונעל) און סיי די ליסטע פון ​​גילטיקע קוועלער וואָס דער ווייטער פּיר וועט אָננעמען נאָך דעם ווי ערפאָלגרײַך דעקריפּטירט אַ פּאַקעט. די צוגאַנג איז באַקאַנט ווי קריפּטאָקיי רוטינג און שטארק פארפּשוטערט די טראַפיק פּאָליטיק.

WireGuard איז אויסגעצייכנט מיט די ראָומינג- אויב אייער קליענט'ס IP ענדערט זיך (למשל, איר שפרינגט פון Wi-Fi צו 4G/5G), ווערט די סעסיע ווידער אויפגעשטעלט טראַנספּאַרענט און זייער שנעל. עס שטיצט אויך טויטן סוויטש צו בלאקירן טראפיק ארויס פון דעם טונעל אויב די ווי-פי-ען גייט אראפ.

אינסטאַלאַציע אויף לינוקס: ובונטו/דעביאַן/צענטאָס

אויף ובונטו, איז WireGuard פאראן אין די אפיציעלע רעפאזיטארן. דערהיינטיקט די פעקלעך און דערנאך אינסטאלירט די ווייכווארג צו באקומען דעם מאדול און די מכשירים. wg און wg-quick.

apt update && apt upgrade -y
apt install wireguard -y
modprobe wireguard

אין דעביאַן סטאַביל קענט איר זיך פֿאַרלאָזן אויף נישט-סטאַבילע צווייַג רעפּאָס אויב איר דאַרפֿט, נאָכפֿאָלגנדיק די רעקאָמענדירטע מעטאָדע און מיט זאָרג אין פּראָדוקציע:

sudo sh -c 'echo deb https://deb.debian.org/debian/ unstable main > /etc/apt/sources.list.d/unstable.list'
sudo sh -c 'printf "Package: *\nPin: release a=unstable\nPin-Priority: 90\n" > /etc/apt/preferences.d/limit-unstable'
sudo apt update
sudo apt install wireguard

אין CentOS 8.3 איז דער פלוס ענלעך: איר אַקטיוויזירט EPEL/ElRepo רעפּאָס אויב נייטיק און דערנאָך אינסטאַלירט דעם פּעקל. WireGuard און קאָרעספּאָנדירנדיקע מאָדולן.

שליסל דור

יעדער חבר מוז האבן זיין אייגענעם פּריוואַט/עפנטלעך שליסל פּאָראנװענדן umask צו באגרענעצן פּערמישאַנז און שאַפֿן שליסלען פֿאַר דעם סערווער און קליענטן.

umask 077
wg genkey | tee privatekey | wg pubkey > publickey

איבערחזרן אויף יעדן מיטל. קיינמאָל נישט טיילן דעם פּריוואַט שליסל און ראַטעווען ביידע זיכער. אויב איר בעסער, שאַפֿן טעקעס מיט פֿאַרשידענע נעמען, למשל. פּריוואַטקי סערווער y פּובליק סערווער קי.

סערווירער סעטאַפּ

שאַפֿן די הויפּט טעקע אין /etc/wireguard/wg0.conf. באַשטימט אַ VPN סובנעט (נישט גענוצט אויף אייער עכטן לאַן), דעם UDP פּאָרט און לייגט צו אַ בלאָק [ייַנקוקנ זיך] פּער אָטערייזד קונה.

[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = <clave_privada_servidor>

# Cliente 1
[Peer]
PublicKey = <clave_publica_cliente1>
AllowedIPs = 10.0.0.2/32

איר קענט אויך ניצן אן אנדער סובנעט, למשל 192.168.2.0/24, און וואַקסן מיט קייפל קאָלעגן. פֿאַר שנעלע דיפּלוימאַנץ, איז עס געוויינטלעך צו נוצן wg-quick מיט wgN.conf טעקעס.

קליענט קאַנפיגיעריישאַן

שאַפֿן אַ טעקע אויף דעם קליענט, למשל wg0-קליענט.קאָנף, מיט זיין פּריוואַטן שליסל, טונעל אַדרעס, אָפּציאָנעלן DNS, און דעם סערווער'ס פּיר מיט זיין עפנטלעכן ענדפּוינט און פּאָרט.

[Interface]
PrivateKey = <clave_privada_cliente>
Address = 10.0.0.2/24
DNS = 8.8.8.8

[Peer]
PublicKey = <clave_publica_servidor>
Endpoint = <ip_publica_servidor>:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25

אויב איר לייגט אַללאָוועדיפּס = 0.0.0.0/0 אַלע טראַפיק וועט גיין דורך די VPN; אויב איר ווילט נאָר דערגרייכן ספּעציפֿישע סערווער נעטוואָרקס, באַגרענעצט עס צו די נייטיקע סובנעץ און איר וועט רעדוצירן לייטאַנסי און קאנסומאציע.

IP פאָרווערדינג און NAT אויף די סערווער

מעגלעכן פאָרווערדינג אַזוי אַז קליענטן קענען צוטריטן דעם אינטערנעט דורך דעם סערווער. צולייגן ענדערונגען אויף דער פלי מיט sysctl.

echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf
echo 'net.ipv6.conf.all.forwarding=1' >> /etc/sysctl.conf
sysctl -p

קאָנפיגורירן NAT מיט iptables פֿאַר די VPN סובנעט, שטעלן די WAN צובינד (למשל, עטהקסנומקס):

iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADE

מאַך עס שטענדיק מיט די צוגעפאסטע פּעקלעך און שפּאָר-רעגולאַציעס צו ווערן געווענדט ביים סיסטעם ריסטאַרט.

apt install -y iptables-persistent netfilter-persistent
netfilter-persistent save

סטאַרטאַפּ און וועריפיקאַציע

ברענגט ארויף דעם אינטערפייס און אקטיוויזירט דעם סערוויס צו אָנהייבן מיטן סיסטעם. דער שריט שאפט דעם ווירטועלן אינטערפייס און לייגט צו רוץ נויטיק.

systemctl start wg-quick@wg0
systemctl enable wg-quick@wg0
wg

מיט wg איר וועט זען די פּירס, שליסלען, טראַנספערס, און לעצטע הענדשייק צייטן. אויב אייער פיירוואַל פּאָליטיק איז ריסטריקטיוו, לאָזט אַרייַנגאַנג דורך די צובינד. ווגקסנומקס און די UDP פּאָרט פון די סערוויס:

iptables -I INPUT 1 -i wg0 -j ACCEPT

אפיציעלע אַפּפּס: Windows, macOS, Android, און iOS

אויף דעם דעסקטאַפּ קענט איר אימפארטירן א .conf טעקעאויף מאָבילע דעוויסעס, די אַפּ אַלאַוז איר צו שאַפֿן די צובינד פֿון אַ קר קאָד אנטהאלט די קאנפיגוראציע; עס איז זייער באקוועם פאר נישט-טעכנישע קאסטומערס.

אויב אייער ציל איז צו אנטפּלעקן זעלבסט-האָסטעט סערוויסעס ווי פלעקס/ראַדאַר/סאָנאַר דורך אייער VPN, פשוט צוטיילט IP'ס אין די WireGuard סובנעט און סטרויערט AllowedIP'ס אזוי אז דער קליענט קען דערגרייכן יענעם נעטווארק; איר דארפט נישט עפענען נאָך פּאָרטן צו די אַרויס אויב אַלע אַקסעס איז דורך די טונעל.

אַדוואַנטידזשיז און דיסאַדוואַנטידזשיז

WireGuard איז זייער שנעל און פּשוט, אָבער ס'איז וויכטיק צו באַטראַכטן זייַנע לימיטאַציעס און ספּעציפֿישקייטן לויטן באַניץ־פֿאַל. דאָ איז אַ באַלאַנסירטער איבערבליק פֿון די מערסטע relevant.

מייַלע	דיסאַדוואַנטידזשיז
קלאָרע און קורצע קאָנפיגוראַציע, אידעאַל פֿאַר אָטאָמאַציע	נעמט נישט אריין נאטירלעכע טרעפיק פארבלאזן
הויך פאָרשטעלונג און נידעריקע לייטאַנסי אפילו אין רירעוודיק	אין עטלעכע אַלטע סביבות זענען דאָ ווייניקער אַוואַנסירטע אָפּציעס
מאָדערנע קריפּטאָגראַפֿיע און קליינער קאָד וואָס מאַכט עס גרינג קאָנטראָלירן	פּריוואַטקייט: IP/פובליק שליסל פֿאַרבינדונג קען זיין סענסיטיוו דיפּענדינג אויף פּאָליטיק
נאָטלאָזע ראָומינג און קיל סוויטש בנימצא אויף קליענטן	דריט-פּאַרטיי קאָמפּאַטאַביליטי איז נישט שטענדיק האָמאָגענע

 

שפּאַלטן טונעלינג: דירעקטירן בלויז וואָס איז נייטיק

שפּאַלטן טאַנאַלינג אַלאַוז איר צו שיקן בלויז די טראַפיק איר דאַרפֿן דורך די VPN. מיט ערלויבט IPs איר באַשליסט צי צו טאָן פולשטענדיק אָדער סעלעקטיוו רידערעקשאַן צו איין אָדער מער סובנעץ.

# Redirección completa de Internet
[Peer]
AllowedIPs = 0.0.0.0/0

# Solo acceder a recursos de la LAN 192.168.1.0/24 por la VPN
[Peer]
AllowedIPs = 192.168.1.0/24

עס זענען דא וועריאנטן ווי למשל רעווערס ספליט טונעלינג, געפילטערט דורך URL אדער דורך אַפּליקאַציע (דורך ספּעציפֿישע עקסטענשאַנז/קליענטן), כאָטש די נאַטירלעכע באַזע אין WireGuard איז קאָנטראָל דורך IP און פּרעפיקסן.

קאָמפּאַטאַביליטי און עקאָסיסטעם

WireGuard איז געבוירן געוואָרן פֿאַרן לינוקס קערנעל, אָבער הײַנט איז עס cross platformOPNsense אינטעגרירט עס נאַטיוו; pfSense איז צייטווייליג אפגעשטעלט געווארן פאר אוידיטס, און עס איז דערנאך געווארן אנגעבאטן אלס אן אפציאנאלן פעקל לויט דער ווערסיע.

אויף NAS ווי QNAP קענט איר עס מאָנטירן דורך QVPN אדער ווירטואַל מאַשינען, נוצנדיק 10GbE NICs צו הויך ספּידזמיקראָטיק ראַוטער באָרדז האָבן איינגעשלאָסן WireGuard שטיצע זינט RouterOS 7.x; אין זיינע פריע ווערסיעס, איז עס געווען אין ביתא און נישט רעקאָמענדירט פֿאַר פּראָדוקציע, אָבער עס ערלויבט יאָ P2P טונעלן צווישן דעוויסעס און אפילו ענד קליענטן.

פאַבריקאַנטן ווי טעלטאָניקאַ האָבן אַ פּעקל צו לייגן WireGuard צו זייערע ראָוטערס; אויב איר דאַרפט ויסריכט, קענט איר זיי קויפן ביי קראָם.דאַוואַנטל.קאָם און נאָכפאָלגן די פאַבריקאַנט ס גיידליינז פֿאַר ינסטאַלירונג פּאַקידזשיז עקסטרע.

פאָרשטעלונג און לייטאַנסי

דאַנק זײַן מינימאַליסטישן דיזײַן און דער אויסוואַל פֿון עפֿעקטיווע אַלגעריטמען, דערגרייכט WireGuard זייער הויכע גיכקייטן און נידעריקע לעטענסיעס, בכלל העכער ווי L2TP/IPsec און OpenVPN. אין לאקאלע טעסטן מיט שטארקע האַרדווער, איז די פאקטישע ראטע אפט דאפעלט ווי די אלטערנאטיוון, מאכנדיג עס אידעאל פאר סטרימינג, גיימינג אדער VoIP.

קאָרפּאָראַטיווע אימפּלעמענטאַציע און טעלעוואָרקינג

אין דער אונטערנעמונג, איז WireGuard פּאַסיק פֿאַר שאַפֿן טונעלן צווישן אָפֿיסעס, צוטריט צו ווײַטן אַרבעטער, און זיכערע פֿאַרבינדונגען צווישן CPD און וואָלקן (למשל, פֿאַר באַקאַפּס). איר קורצע סינטאַקס מאַכט ווערסיעינג און אויטאָמאַציע גרינג.

עס אינטעגרירט זיך מיט דירעקטאריעס ווי LDAP/AD ניצנדיק צווישן-לימיטירטע לייזונגען און קען קאעקזיסטירן מיט IDS/IPS אדער NAC פלאטפארמעס. א פאפולערע אפציע איז פּאַקאַטפענס (אפענע מקור), וואס ערלויבט אייך צו באשטעטיגן דעם סטאטוס פון עקוויפמענט איידער איר גיט צוטריט און קאנטראלירט BYOD.

ווינדאָוס/מעקאָס: הערות און עצות

די אפיציעלע ווינדאָוס אַפּ אַרבעט געוויינטלעך אָן פּראָבלעמען, אָבער אין עטלעכע ווערסיעס פון ווינדאָוס 10 זענען געווען פּראָבלעמען ווען מען ניצט עס. אַללאָוועדיפּס = 0.0.0.0/0 צוליב רוט קאנפליקטן. אלס א צייטווייליגע אלטערנאטיוו, קלייבן זיך עטליכע באניצער פאר WireGuard-באזירטע קליענטן ווי TunSafe אדער באגרענעצן AllowedIPs צו ספעציפישע סובנעטס.

דעביאַן שנעל אָנהייב גייד מיט בייַשפּיל שליסלען

דזשענערירן שליסלען פֿאַר סערווער און קליענט אין /etc/wireguard/ און שאַפֿן דעם wg0 אינטערפֿייס. מאַכט זיכער אַז די VPN IP אַדרעסן שטימען נישט מיט קיין אַנדערע IP אַדרעסן אויף דיין לאָקאַלן נעץ אָדער אויף דיינע קליענטן.

cd /etc/wireguard/
wg genkey | tee claveprivadaservidor | wg pubkey > clavepublicaservidor
wg genkey | tee claveprivadacliente1 | wg pubkey > clavepublicacliente1

wg0.conf סערווער מיט סובנעט 192.168.2.0/24 און פּאָרט 51820. אַקטיווירן PostUp/PostDown אויב איר ווילט אויטאָמאַטיזירן NAT מיט iptables ווען מען ברענגט ארויף/אראפ דעם אינטערפייס.

[Interface]
Address = 192.168.2.1/24
PrivateKey = <clave_privada_servidor>
ListenPort = 51820
#PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]
PublicKey = <clave_publica_cliente1>
AllowedIPs = 0.0.0.0/0

קליענט מיט אַדרעס 192.168.2.2, ווײַזנדיק צום סערווער'ס עפֿנטלעכן ענדפּוינט און מיט בלייב לעבן אפציאנאל אויב עס איז דא אינטערמעדיאטאר NAT.

[Interface]
PrivateKey = <clave_privada_cliente1>
Address = 192.168.2.2/32

[Peer]
PublicKey = <clave_publica_servidor>
AllowedIPs = 0.0.0.0/0
Endpoint = <ip_publica_servidor>:51820
#PersistentKeepalive = 25

ציעט ארויף דעם אינטערפייס און קוקט ווי די MTU, רוט מארקירונגען, און פֿוומאַרק און ראַוטינג פּאָליטיק כּללים. איבערקוקן די wg-quick רעזולטאַט און סטאַטוס מיט wg שאָו.

מיקראָטיק: טונעל צווישן RouterOS 7.x

מיקראָטיק שטיצט WireGuard זינט RouterOS 7.x. שאַפֿט אַ WireGuard אינטערפֿייס אויף יעדן ראַוטער, לייגט עס אָן, און עס וועט ווערן אויטאָמאַטיש גענערירט. keysצוטיילן IP'ס צו עטהער2 אלס WAN און ווייערגאַרד1 אלס טונעל אינטערפייס.

קאָנפיגורירן די פּירס דורך אַריבערגיין דעם סערווער'ס פּובליק שליסל אויף דער קליענט זייט און פארקערט, דעפינירן ערלויבטע אַדרעס/ערלויבטע IP'ס (למשל 0.0.0.0/0 אויב איר ווילט ערלויבן יעדן מקור/דעסטאַניישאַן דורך דעם טונעל) און שטעלן דעם ווייטערן ענדפּוינט מיט זיין פּאָרט. א פינג צו דער ווייטער טונעל IP וועט באַשטעטיקן דעם כאַנדשייק.

אויב איר פֿאַרבינדט מאָביל טעלעפֿאָנען אָדער קאָמפּיוטערס צום מיקראָטיק טונעל, פֿײַן-אויסגלייַכן די ערלויבטע נעטוואָרקס כּדי נישט צו עפֿענען מער ווי נייטיק; WireGuard באַשליסט דעם פֿלוס פֿון פּאַקעטן באַזירט אויף אײַער קריפּטאָקיי רוטינג, אַזוי עס איז וויכטיק צו גלייַכן די אָפּשטאַמונג און דעסטאַניישאַנז.

קריפּטאָגראַפֿיע געניצט

WireGuard ניצט אַ מאָדערנעם סכום פון: ראַש אלס א פריימווערק, Curve25519 פאר ECDH, ChaCha20 פאר אויטענטיפיצירטע סימעטרישע ענקריפּשאַן מיט Poly1305, BLAKE2 פאר העשינג, SipHash24 פאר העש טאבעלעס און HKDF פאר דעריוואציע פון keysאויב אַן אַלגעריטם ווערט דעפּרעקאַטעד, קען מען דעם פּראָטאָקאָל ווערסיען כדי עס זאָל זיך איבערפירן אָן שטערונגען.

מעלות און חסרונות אויף מאָביל

ניצן עס אויף סמאַרטפאָונז אַלאַוז איר צו בלעטערן זיכער עפנטלעכע Wi-Fi, באַהאַלטן טראַפיק פֿון אייער אינטערנעט סערוויס פּראָוויידער, און פֿאַרבינדן זיך צו אייער היים נעץ צו צוקומען צו NAS, היים אָטאַמיישאַן, אָדער גיימינג. אויף iOS/Android, וועקסלען נעטוואָרקס נעמט נישט אַראָפּ דעם טונעל, וואָס פֿאַרבעסערט די דערפֿאַרונג.

אלס קאָנס, שלעפּט איר עטלעכע פארלוסט פון גיכקייט און גרעסערע לעיטענסי קאַמפּערד צו דירעקט רעזולטאַט, און איר פאַרלאָזט זיך אויף דעם סערווער שטענדיק זייַענדיק. פאַראַנעןאבער, אין פאַרגלייך מיט IPsec/OpenVPN איז די שטראָף געוויינטלעך נידעריגער.

WireGuard קאָמבינירט פּשוטקייט, שנעלקייט, און עכטע זיכערהייט מיט אַ מילדער לערן-קורווע: אינסטאַלירט עס, דזשענערירט שליסלען, דעפינירט AllowedIPs, און איר זענט גרייט צו גיין. לייגט צו IP פאָרווערדינג, גוט-אימפּלעמענטירט NAT, אפיציעלע אַפּפּס מיט QR קאָודז, און קאָמפּאַטאַביליטי מיט עקאָסיסטעמען ווי OPNsense, Mikrotik, אדער Teltonika. אַ מאָדערנער VPN פֿאַר כּמעט יעדן סצענאַר, פֿון זיכערן עפֿנטלעכע נעטוואָרקס ביז פֿאַרבינדן הויפּטקוואַרטיר און צוטריט צו אייערע היים באַדינונגען אָן קאָפּווייטיק.