WireGuard jẹ irọrun: ṣẹda VPN tirẹ ni iṣẹju 15

Ṣe o n wa VPN ti o yara, aabo, ati pe kii yoo jẹ ki o padanu sũru rẹ pẹlu awọn atunto ailopin? Olùṣọ́ WireGuard O jẹ ọkan ninu awọn aṣayan to dara julọ. Ilana ode oni ṣe pataki ni ayedero ati ipo cryptography, ti o jẹ ki o rọrun fun ẹnikẹni lati ṣeto eefin to ni aabo.

Ni afikun si aabo fun ọ lori awọn nẹtiwọọki gbogbogbo ati gbigba ọ laaye lati wọle si ile tabi nẹtiwọọki iṣowo, VPN ṣe iranlọwọ fori awọn bulọọki geo ati ihamonPẹlu WireGuard, aṣiri afikun yẹn ati iṣẹ ṣiṣe wa pẹlu ilana iṣeto iyalẹnu iyalẹnu, mejeeji lori awọn kọnputa ati awọn ẹrọ alagbeka.

WireGuard ni kukuru

WireGuard jẹ a software VPN ìmọ orisun Oorun to Layer 3 (L3) pe O nlo UDP iyasọtọ ati igbalode cryptography nipasẹ aiyipada.Anfani akọkọ rẹ jẹ apẹrẹ minimalist pẹlu awọn laini koodu pupọ, eyiti o ṣe iṣatunwo, dinku dada ikọlu, ati ilọsiwaju iṣẹ.

Ko dabi ohun ti awọn VPN miiran nfunni, nibi iwọ ko yan dosinni ti awọn algoridimu tabi awọn ipele; WireGuard ṣe asọye “papọ” cryptographic isokan kanTi alugoridimu kan ba ti yọkuro, ẹya tuntun kan ti tu silẹ ati pe awọn alabara/olupin ṣe adehun iṣagbega naa ni gbangba.

Ilana yii n ṣiṣẹ nigbagbogbo ni ipo oju eefin, ati O ṣe atilẹyin IPv4 ati IPv6 (fifun ọkan laarin ekeji ti o ba jẹ dandan)Lati lo, iwọ yoo nilo lati ṣii ibudo UDP kan (iṣeto atunto) lori olulana rẹ si olupin rẹ.

Ibamu ati atilẹyin

Ninu aye ti ogiriina, OPNsense ṣepọ WireGuard sinu ekuro lati mu iwọn iyara pọ si. pfSense ni awọn oke ati isalẹ rẹ: o farahan ni ẹya 2.5.0, a yọkuro ni 2.5.1 nitori awọn awari aabo, ati Loni o le fi sori ẹrọ bi package isakoso lati ayelujara ni wiwo.

 

A lo ìkọ̀wé ìkọ̀kọ̀

WireGuard gbarale eto ti igbalode ati awọn algoridimu iṣatunṣe giga: Ilana Noise Protocol, Curve25519, ChaCha20, Poly1305, BLAKE2, SipHash ati HKDFÌsekóòdù data nlo ChaCha20-Poly1305 (AEAD), pẹlu paṣipaarọ ECDH lori Curve25519 ati itọsẹ bọtini pẹlu HKDF.

Yi ona yago fun dapọ disparate suites ati din iṣeto ni aṣiṣeO tun rọrun laasigbotitusita, nitori gbogbo awọn apa sọ ede cryptographic kanna.

Iṣẹ́ àti ìdúróṣinṣin

Minimalist imuse ati kekere-ipele Integration laaye awọn iyara ti o ga pupọ ati awọn latencies kekere pupọNi awọn afiwera-aye gidi si L2TP/IPsec ati OpenVPN, WireGuard nigbagbogbo n jade ni oke, nigbagbogbo ni ilopo ilopo lori ohun elo kanna.

Lori riru tabi awọn nẹtiwọki alagbeka, Imupadabọ igba yara yara Ati isọdọkan lẹhin awọn ayipada nẹtiwọọki (lilọ kiri) jẹ akiyesi laiṣe. Lori awọn ẹrọ pẹlu awọn orisun to lopin (awọn olulana, awọn ẹrọ IoT), agbara agbara kekere rẹ ṣe gbogbo iyatọ, fifipamọ Sipiyu ati agbara batiri.

Fifi sori ni kiakia lori Linux

Ni awọn pinpin ode oni, WireGuard ti wa tẹlẹ ni awọn ibi ipamọ iduroṣinṣin. Lori Debian/Ubuntu, fi sori ẹrọ nirọrun. imudojuiwọn ki o si fi awọn osise packageNi awọn miiran, o le nilo lati ṣafikun awọn ibi ipamọ tabi mu module ekuro ṣiṣẹ.

sudo apt update && sudo apt upgrade -y
sudo apt install wireguard -y
sudo modprobe wireguard

Ti o ba lo ẹka ti ko ni ni “iduroṣinṣin”, o le lo si awọn ibi ipamọ “iduroṣinṣin / idanwo” labẹ iṣakoso pataki, botilẹjẹpe Bi o ṣe yẹ, o yẹ ki o fa lati ibi ipamọ iduroṣinṣin. ti distro rẹ nigbati o ba wa.

Ìṣẹ̀dá kọ́kọ́rọ́

Ẹrọ kọọkan (olupin ati alabara) nilo bata bọtini tirẹ. Jeki yara ikọkọ ni titiipa. ati ki o pin nikan awọn àkọsílẹ ọkan pẹlu awọn ẹlẹgbẹ.

umask 077
wg genkey | tee privatekey | wg pubkey > publickey

O le tun ilana naa ṣe fun alabara kọọkan ki o tọju abala nipasẹ orukọ. yago fun iporuru laarin awọn ẹlẹgbẹ bi imuṣiṣẹ rẹ n dagba.

Ṣíṣeto olupin

Faili aṣoju jẹ /etc/wireguard/wg0.confNi apakan yii, o ṣalaye adiresi IP VPN, bọtini ikọkọ, ati ibudo UDP. Ni apakan kọọkan, o ṣafikun alabara kan, ngbanilaaye bọtini gbogbo eniyan ati awọn adirẹsi IP ti a fun ni aṣẹ.

Address = 192.168.2.1/24
ListenPort = 51820
PrivateKey = <clave_privada_servidor>
# Ejemplo de NAT automátizado con PostUp/PostDown, si lo necesitas
#PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE


PublicKey = <clave_publica_cliente1>
AllowedIPs = 192.168.2.2/32

# Añade más peers según necesites
#
#PublicKey = <clave_publica_cliente2>
#AllowedIPs = 192.168.2.3/32

Ti o ba fẹ lati gba eyikeyi alabara IP laaye ati ṣakoso awọn ipa-ọna lọtọ, o le lo Àwọn IP tí a gbà láàyè = 0.0.0.0/0 Ni awọn agbegbe ẹlẹgbẹ, ṣugbọn ni awọn agbegbe iṣakoso o dara lati fi / 32 fun alabara fun wiwa kakiri.

Iṣeto alabara

La apakan O gbe bọtini ikọkọ ati IP rẹ ninu VPN; bọtini gbangba olupin, aaye ipari rẹ, ati eto imulo ipa-ọna.

PrivateKey = <clave_privada_cliente>
Address = 192.168.2.2/32
DNS = 1.1.1.1


PublicKey = <clave_publica_servidor>
Endpoint = <IP_publica_servidor>:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25

El ItẹpẹKeepalive (25) Eyi ṣe iranlọwọ ti alabara ba wa lẹhin NAT/awọn ogiriina ti o dina awọn aworan agbaye ti ko ṣiṣẹ. AllowedIPs n ṣalaye boya o tọ gbogbo awọn ijabọ nipasẹ VPN (0.0.0.0/0) tabi awọn subnets kan pato.

NAT, firanšẹ siwaju ati ogiriina

Lati gba awọn onibara laaye lati wọle si intanẹẹti nipasẹ olupin, o gbọdọ jeki IP firanšẹ siwaju ati ki o lo NAT lori wiwo WAN.

echo "net.ipv4.ip_forward=1" | sudo tee -a /etc/sysctl.conf
echo "net.ipv6.conf.all.forwarding=1" | sudo tee -a /etc/sysctl.conf
sudo sysctl -p

sudo iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j MASQUERADE

Ti eto ogiriina rẹ ba jẹ ihamọ, faye gba ijabọ lori wg0 ni wiwo ati ṣii ibudo UDP ti o yan lori ogiriina / olulana NAT.

sudo iptables -I INPUT 1 -i wg0 -j ACCEPT

Lati mu wiwo soke ati mu iṣẹ ṣiṣẹ ni ibẹrẹ: wg-yara ati eto Wọn fi silẹ lori autopilot fun ọ.

sudo wg-quick up wg0
sudo systemctl enable wg-quick@wg0

Ririnkiri, Pa-Yipada ati arinbo

WireGuard jẹ apẹrẹ fun lilo alagbeka lojoojumọ: Ti o ba yipada lati Wi-Fi si 4G/5G, oju eefin naa ti tun fi idi mulẹ ni filaṣi kan.Iwọ kii yoo ṣe akiyesi awọn idilọwọ pataki eyikeyi nigbati o ba yipada awọn nẹtiwọọki.

Ni afikun, o le mu a pa-yipada (da lori pẹpẹ tabi app) nitorinaa, ti VPN ba lọ silẹ, eto naa ṣe idiwọ ijabọ titi o fi tun pada, ni idilọwọ awọn n jo lairotẹlẹ.

Pipin-tunneling

Oju eefin pipin jẹ ki o pinnu Kini ijabọ irin-ajo nipasẹ VPN ati kini o jade taara?Wulo fun mimu airi kekere ni awọn ere tabi awọn ipe fidio lakoko ti o n wọle si awọn orisun inu nipasẹ oju eefin.

Meji aṣoju iṣeto ni apeere lori alabara, ni lilo itọsọna AllowedIPs:

# Redirección total por la VPN

PublicKey = <clave_publica_servidor>
AllowedIPs = 0.0.0.0/0
Endpoint = <IP_publica_servidor>:51820

# Solo la LAN remota (por ejemplo, 192.168.1.0/24) a través de la VPN

PublicKey = <clave_publica_servidor>
AllowedIPs = 192.168.1.0/24
Endpoint = <IP_publica_servidor>:51820

Eyi dinku ipa lori iyara / lairi ati O mu iriri naa pọ si fun ohun ti o gan nilo lati dabobo.

Awọn anfani ati awọn alailanfani ti WireGuard

• NI OJUrere: iyara, kekere lairi, ayedero, igbalode cryptography, din ku awọn oluşewadi agbara, ati ki o kan kekere codebase ti o sise audits.
• Lodi si: Atilẹyin ni diẹ ninu awọn ilolupo ilolupo ko dagba ju IPsec/OpenVPN, awọn ẹya ilọsiwaju ti o lopin diẹ sii (awọn iwe afọwọkọ ati obfuscation abinibi), ati awọn ero ikọkọ nitori awọn bọtini gbogbogbo ni nkan ṣe pẹlu IPs eefin inu.

Atilẹyin fun awọn ogiriina, NAS ati QNAP

Ninu awọn ohun elo iru ogiriina, OPNsense ṣepọ WireGuard pẹlu isare ekuro. Ni pfSense, lakoko ti o n duro de isọpọ iduroṣinṣin, o le fi package sori ẹrọ ati ṣakoso rẹ ni irọrun lati GUI.

Lori QNAP NAS, nipasẹ QVPN 2, O le ṣeto L2TP/IPsec, OpenVPN, ati awọn olupin WireGuard.ati paapaa ṣe adaṣe Debian ti o ba fẹ tweak OpenVPN pẹlu AES-GCM tabi wọn pẹlu iperf3. Ninu awọn idanwo pẹlu ohun elo ti o lagbara (bii QNAP pẹlu Ryzen 7 ati 10GbE) ati alabara 10GbE kan, WireGuard ti ilọpo meji iṣẹ naa dipo L2TP/IPsec tabi OpenVPN ni agbegbe agbegbe kanna.

WireGuard lori alagbeka: awọn agbara ati ailagbara

Lori iOS ati Android, ohun elo osise jẹ ki o rọrun lati yipada laarin awọn nẹtiwọki lainidi. Anfani nla kan: Lilọ kiri ailewu lori Wi-Fi gbogbo eniyan lati awọn hotẹẹli tabi papa ọkọ ofurufu ati tọju ijabọ rẹ lati ọdọ ISP rẹ. Pẹlupẹlu, ti o ba ṣeto olupin tirẹ, o le wọle si ile tabi iṣowo rẹ bi ẹnipe o wa nibẹ.

Awọn mogbonwa ẹlẹgbẹ ni wipe Diẹ ninu awọn lairi ti wa ni afikun ati awọn iyara silė die-diepaapa ti o ba ti o ba àtúnjúwe gbogbo ijabọ. Sibẹsibẹ, WireGuard wa laarin ore-batiri julọ ati awọn ilana ore-iṣẹ. Wo tun awọn iṣeduro fun Android ti ọran rẹ ba jẹ alagbeka.

Fi sori ẹrọ ati lo lori awọn iru ẹrọ miiran

Lori macOS, Windows, Android, ati iOS, o ni awọn ohun elo osise; gbogbo ohun ti o nilo lati ṣe ni gbe faili .conf wọle tabi ṣayẹwo koodu QR kan ti ipilẹṣẹ lati oluṣakoso iṣeto rẹ. Ilana naa jẹ aami kanna si ti Linux.

Ti o ba fẹ ṣeto rẹ lori VPS, ranti awọn iṣe to dara: imudojuiwọn eto, jeki ogiriinaFi opin si ibudo UDP WireGuard si awọn IP ti o gba laaye ti o ba ṣeeṣe ati yiyi awọn bọtini nigba ti eto imulo rẹ nilo.

Ijerisi ati okunfa

Lati jẹrisi pe ohun gbogbo wa ni ibere, tẹra si wg ati wg-yaraIwọ yoo rii awọn imu ọwọ, awọn baiti ti o ti gbe, ati awọn akoko lati swap to kẹhin.

wg
wg show

Ti ko ba si asopọ, ṣayẹwo: awọn ọna eto, NAT, ṣiṣi UDP ibudo lori olulana ati pe aaye ipari ati awọn bọtini fun ẹlẹgbẹ kọọkan jẹ deede. Pingi si adiresi IP olupin lori VPN nigbagbogbo jẹ idanwo iwulo akọkọ.

Pẹlu ọna ti o rọrun, cryptography ode oni, ati iṣẹ ṣiṣe akiyesi, WireGuard ti jo'gun aaye rẹ bi VPN ti o fẹ Fun awọn olumulo ile ati awọn iṣowo. Fifi sori jẹ taara, iṣakoso rọrun, ati ibiti o ti lo (iwọle latọna jijin, aaye-si-ojula, arinbo to ni aabo, tabi pipin-tunneling) baamu fere eyikeyi oju iṣẹlẹ. Ṣafikun awọn iṣe aabo ti o dara, ogiriina ti o dara daradara, ati ibojuwo ipilẹ, ati pe iwọ yoo ni iyara, iduroṣinṣin, ati eefin ti o nira pupọ lati fọ.