- Itumọ ti o rọrun ati fifi ẹnọ kọ nkan ode oni: awọn bọtini ẹgbẹ-ẹgbẹ ati Awọn AllowedIPs fun ipa-ọna.
- Fifi sori ni iyara lori Lainos ati awọn ohun elo osise fun tabili tabili ati alagbeka.
- Išẹ ti o ga julọ si IPsec/OpenVPN, pẹlu lilọ kiri ati idaduro kekere.
Ti o ba wa ọkan VPN ti o yara, aabo ati rọrun lati ran lọ, WireGuard O dara julọ ti o le lo loni. Pẹlu apẹrẹ ti o kere ju ati cryptography ode oni, o dara julọ fun awọn olumulo ile, awọn alamọja, ati awọn agbegbe ile-iṣẹ, mejeeji lori awọn kọnputa ati lori awọn ẹrọ alagbeka ati awọn olulana.
Ni yi wulo guide ti o yoo ri ohun gbogbo lati awọn ipilẹ si awọn Iṣeto ni ilọsiwajuFi sori ẹrọ lori Lainos (Ubuntu/Debian/CentOS), awọn bọtini, olupin ati awọn faili alabara, firanšẹ siwaju IP, NAT/Firewall, awọn ohun elo lori Windows/macOS/Android/iOS, pipin eefin, išẹ, laasigbotitusita, ati ibamu pẹlu awọn iru ẹrọ bi OPNsense, pfSense, QNAP, Mikrotik tabi Teltonika.
Kini WireGuard ati kilode ti o yan?
WireGuard jẹ orisun ṣiṣi orisun VPN Ilana ati sọfitiwia ti a ṣe lati ṣẹda L3 ti paroko tunnels lori UDP. O duro jade ni akawe si OpenVPN tabi IPsec nitori irọrun rẹ, iṣẹ ṣiṣe ati airi kekere, ti o da lori awọn algoridimu ode oni bii Curve25519, ChaCha20-Poly1305, BLAKE2, SipHash24 ati HKDF.
Ipilẹ koodu rẹ kere pupọ (ni ayika egbegberun ila), eyi ti o dẹrọ awọn iṣayẹwo, dinku dada ikọlu ati ilọsiwaju itọju. O tun ṣepọ sinu ekuro Linux, gbigba ga gbigbe awọn ošuwọn ati idahun agile paapaa lori ohun elo iwọntunwọnsi.
O jẹ multiplatform: awọn ohun elo osise wa fun Windows, MacOS, Lainos, Android ati iOS, ati atilẹyin fun olulana / ogiriina-Oorun awọn ọna šiše bi OPNsense. O tun wa fun awọn agbegbe bii FreeBSD, OpenBSD, ati NAS ati awọn iru ẹrọ agbara.
Bi o ti ṣiṣẹ inu
WireGuard ṣe agbekalẹ eefin ti paroko laarin awọn ẹlẹgbẹ (ẹgbẹ) mọ nipa awọn bọtini. Ẹrọ kọọkan n ṣe agbekalẹ bata bọtini kan (ikọkọ/ti gbogbo eniyan) ati pin ipin rẹ nikan bọtini gbangba pẹlu opin miiran; lati ibẹ, gbogbo ijabọ ti wa ni ti paroko ati ki o nile.
Itọsọna Allow IPs Ṣe alaye mejeeji ipa ọna ti njade (kini ijabọ yẹ ki o lọ nipasẹ oju eefin) ati atokọ ti awọn orisun to wulo ti ẹlẹgbẹ latọna jijin yoo gba lẹhin piparẹ apo-iwe kan ni aṣeyọri. Ọna yii ni a mọ bi Cryptokey afisona ati ki o gidigidi simplifies ijabọ imulo.
WireGuard jẹ o tayọ pẹlu awọn lilọ kiri- Ti IP alabara rẹ ba yipada (fun apẹẹrẹ, o fo lati Wi-Fi si 4G/5G), igba naa ti tun fi idi mulẹ han gbangba ati yarayara. O tun ṣe atilẹyin pa yipada lati dènà ijabọ kuro ni oju eefin ti VPN ba lọ silẹ.
Fifi sori ẹrọ lori Lainos: Ubuntu/Debian/CentOS
Lori Ubuntu, WireGuard wa ni awọn ibi ipamọ osise. Ṣe imudojuiwọn awọn idii ati lẹhinna fi sọfitiwia sori ẹrọ lati gba module ati awọn irinṣẹ. wg ati wg-yara.
apt update && apt upgrade -y
apt install wireguard -y
modprobe wireguardNi iduroṣinṣin Debian o le gbẹkẹle awọn ibi ipamọ ẹka ti ko duro ti o ba nilo, ni atẹle ọna ti a ṣeduro ati pẹlu itọju ni iṣelọpọ:
sudo sh -c 'echo deb https://deb.debian.org/debian/ unstable main > /etc/apt/sources.list.d/unstable.list'
sudo sh -c 'printf "Package: *\nPin: release a=unstable\nPin-Priority: 90\n" > /etc/apt/preferences.d/limit-unstable'
sudo apt update
sudo apt install wireguardNi CentOS 8.3 sisan naa jẹ iru: o mu EPEL/ElRepo repos ṣiṣẹ ti o ba jẹ dandan ati lẹhinna fi package naa sori ẹrọ WireGuard ati awọn ti o baamu modulu.
Iran bọtini
Ẹgbẹ kọọkan gbọdọ ni tirẹ ikọkọ / àkọsílẹ bọtini bata. Waye umask lati ni ihamọ awọn igbanilaaye ati ṣe ina awọn bọtini fun olupin ati awọn alabara.
umask 077
wg genkey | tee privatekey | wg pubkey > publickeyTun lori kọọkan ẹrọ. Maṣe pin awọn ikọkọ bọtini ki o si fi awọn mejeeji lailewu. Ti o ba fẹ, ṣẹda awọn faili pẹlu awọn orukọ oriṣiriṣi, fun apẹẹrẹ ikọkọkeyserver y publicserverkey.
Iṣeto ni olupin
Ṣẹda faili akọkọ sinu /etc/wireguard/wg0.conf. Fi subnet VPN kan (kii ṣe lo lori LAN gidi rẹ), ibudo UDP ki o ṣafikun bulọki kan [Ẹlẹgbẹ] fun ni aṣẹ onibara.
[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = <clave_privada_servidor>
# Cliente 1
[Peer]
PublicKey = <clave_publica_cliente1>
AllowedIPs = 10.0.0.2/32O tun le lo subnet miiran, fun apẹẹrẹ 192.168.2.0/24, ati ki o dagba pẹlu ọpọ ẹlẹgbẹ. Fun awọn imuṣiṣẹ ni kiakia, o jẹ wọpọ lati lo wg-yara pẹlu wgN.conf awọn faili.
Iṣeto alabara
Lori alabara ṣẹda faili kan, fun apẹẹrẹ wg0-onibara.conf, pẹlu bọtini ikọkọ rẹ, adirẹsi oju eefin, DNS iyan, ati ẹlẹgbẹ olupin pẹlu aaye ipari ti gbogbo eniyan ati ibudo.
[Interface]
PrivateKey = <clave_privada_cliente>
Address = 10.0.0.2/24
DNS = 8.8.8.8
[Peer]
PublicKey = <clave_publica_servidor>
Endpoint = <ip_publica_servidor>:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25Ti o ba fi AllowedIPs = 0.0.0.0/0 Gbogbo ijabọ yoo lọ nipasẹ VPN; ti o ba fẹ de ọdọ awọn nẹtiwọọki olupin kan pato, fi opin si awọn subnets pataki ati pe iwọ yoo dinku lairi ati agbara.
Ifiranṣẹ IP ati NAT lori olupin naa
Jeki fifiranšẹ siwaju ki awọn onibara le wọle si Intanẹẹti nipasẹ olupin naa. Waye awọn ayipada lori fly pẹlu sysctl.
echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf
echo 'net.ipv6.conf.all.forwarding=1' >> /etc/sysctl.conf
sysctl -pṢe atunto NAT pẹlu awọn iptables fun subnet VPN, ṣeto wiwo WAN (fun apẹẹrẹ, eth0):
iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADEJẹ ki o duro pẹlu awọn idii ti o yẹ ati fi awọn ofin pamọ lati lo lori atunbere eto.
apt install -y iptables-persistent netfilter-persistent
netfilter-persistent saveIbẹrẹ ati ijerisi
Mu soke ni wiwo ati ki o jeki awọn iṣẹ lati bẹrẹ pẹlu awọn eto. Igbese yii ṣẹda wiwo foju ati ṣafikun awọn ipa ọna pataki.
systemctl start wg-quick@wg0
systemctl enable wg-quick@wg0
wgcon wg Iwọ yoo rii awọn ẹlẹgbẹ, awọn bọtini, awọn gbigbe, ati awọn akoko mimu ọwọ kẹhin. Ti eto imulo ogiriina rẹ ba jẹ ihamọ, gba titẹsi nipasẹ wiwo. wg0 ati ibudo UDP ti iṣẹ naa:
iptables -I INPUT 1 -i wg0 -j ACCEPT
Awọn ohun elo osise: Windows, macOS, Android, ati iOS
Lori tabili tabili o le gbe a .conf faili. Lori awọn ẹrọ alagbeka, awọn app faye gba o lati ṣẹda awọn wiwo lati a QR koodu ti o ni awọn iṣeto ni; o rọrun pupọ fun awọn alabara ti kii ṣe imọ-ẹrọ.
Ti ibi-afẹde rẹ ba ni lati fi han awọn iṣẹ ti ara ẹni ti gbalejo gẹgẹbi Plex/Radarr/Sonarr Nipasẹ VPN rẹ, nirọrun fi awọn IPs sinu subnet WireGuard ati ṣatunṣe AllowedIPs ki alabara le de ọdọ nẹtiwọọki yẹn; o ko nilo lati ṣii awọn ebute oko afikun si ita ti gbogbo wiwọle ba wa nipasẹ awọn oju eefin.
Awọn anfani ati alailanfani
WireGuard jẹ iyara pupọ ati irọrun, ṣugbọn o ṣe pataki lati gbero awọn idiwọn rẹ ati awọn pato ti o da lori ọran lilo. Eyi ni iwọntunwọnsi Akopọ ti julọ ibaramu.
| Awọn anfani | Awọn alailanfani |
|---|---|
| Ko o ati kukuru iṣeto ni, apẹrẹ fun adaṣiṣẹ | Ko ṣafikun idaduro ijabọ abinibi |
| Išẹ giga ati lairi kekere paapaa ninu Mobile | Ni diẹ ninu awọn agbegbe iní awọn aṣayan ilọsiwaju diẹ wa |
| Modern cryptography ati kekere koodu ti o mu ki o rọrun se ayewo | Aṣiri: IP/ẹgbẹ bọtini gbangba le jẹ ifarabalẹ da lori awọn eto imulo |
| Lilọ kiri lainidi ati pipa yipada wa lori awọn alabara | Ibamu ẹni-kẹta kii ṣe isokan nigbagbogbo |
Pipin tunneling: darí nikan ohun ti o jẹ pataki
Pipin tunneling faye gba o lati fi nikan ni ijabọ ti o nilo nipasẹ awọn VPN. Pẹlu Allow IPs O pinnu boya lati ṣe atunṣe ni kikun tabi yiyan si ọkan tabi diẹ ẹ sii awọn subnets.
# Redirección completa de Internet
[Peer]
AllowedIPs = 0.0.0.0/0# Solo acceder a recursos de la LAN 192.168.1.0/24 por la VPN
[Peer]
AllowedIPs = 192.168.1.0/24Awọn iyatọ wa bii ipadasẹhin pipin tunneling, filtered nipasẹ URL tabi nipasẹ ohun elo (nipasẹ awọn amugbooro kan pato / awọn alabara), botilẹjẹpe ipilẹ abinibi ni WireGuard jẹ iṣakoso nipasẹ IP ati awọn asọtẹlẹ.
Ibamu ati ilolupo
WireGuard ni a bi fun ekuro Linux, ṣugbọn loni o jẹ Syeed agbelebuOPNsense ṣepọ rẹ abinibi; pfSense ti dawọ duro fun igba diẹ fun awọn iṣayẹwo, ati pe o funni ni atẹle bi package iyan ti o da lori ẹya naa.
Lori NAS bii QNAP o le gbe e nipasẹ QVPN tabi awọn ẹrọ foju, ni anfani ti 10GbE NICs si ga awọn iyaraAwọn igbimọ olulana MikroTik ti ṣafikun atilẹyin WireGuard lati ọdọ RouterOS 7.x; ninu awọn iterations akọkọ rẹ, o wa ni beta ati pe ko ṣe iṣeduro fun iṣelọpọ, ṣugbọn o gba awọn oju eefin P2P laaye laarin awọn ẹrọ ati paapaa awọn alabara ipari.
Awọn aṣelọpọ bii Teltonika ni package lati ṣafikun WireGuard si awọn olulana wọn; ti o ba nilo ohun elo, o le ra wọn ni itaja.davantel.com ati tẹle awọn itọnisọna olupese fun fifi sori ẹrọ awọn apo-iwe afikun.
Išẹ ati lairi
Ṣeun si apẹrẹ minimalist rẹ ati yiyan awọn algoridimu daradara, WireGuard ṣaṣeyọri awọn iyara giga pupọ ati kekere latencies, ni gbogbogbo ga ju L2TP/IPsec ati OpenVPN. Ni awọn idanwo agbegbe pẹlu ohun elo ti o lagbara, oṣuwọn gangan nigbagbogbo jẹ ilọpo meji ti awọn omiiran, ti o jẹ apẹrẹ fun sisanwọle, ere tabi VoIP.
Ajọ imuse ati teleworking
Ninu ile-iṣẹ, WireGuard jẹ o dara fun ṣiṣẹda awọn eefin laarin awọn ọfiisi, iraye si oṣiṣẹ latọna jijin, ati awọn asopọ to ni aabo laarin CPD ati awọsanma (fun apẹẹrẹ, fun awọn afẹyinti). Sintasi ṣoki ti o jẹ ki ikede ati adaṣe rọrun.
O ṣepọ pẹlu awọn ilana bii LDAP/AD nipa lilo awọn solusan agbedemeji ati pe o le gbepọ pẹlu awọn iru ẹrọ IDS/IPS tabi NAC. Aṣayan olokiki ni PacketFence (orisun ṣiṣi), eyiti o fun ọ laaye lati ṣayẹwo ipo ohun elo ṣaaju fifun wiwọle ati iṣakoso BYOD.
Windows / macOS: Awọn akọsilẹ ati awọn imọran
Ohun elo Windows osise nigbagbogbo n ṣiṣẹ laisi awọn iṣoro, ṣugbọn ni diẹ ninu awọn ẹya ti Windows 10 awọn ọran ti wa nigba lilo AllowedIPs = 0.0.0.0/0 nitori awọn ija ipa ọna. Gẹgẹbi yiyan igba diẹ, diẹ ninu awọn olumulo jade fun awọn alabara orisun-WireGuard bii TunSafe tabi diwọn AllowedIPs si awọn subnets kan pato.
Itọsọna Ibẹrẹ Debian ni kiakia pẹlu Awọn bọtini Apeere
Ṣe ina awọn bọtini fun olupin ati onibara ni /ati be be lo/wireguard/ ati ṣẹda wiwo wg0. Rii daju pe awọn IP VPN ko baramu eyikeyi awọn IP miiran lori nẹtiwọki agbegbe rẹ tabi awọn onibara rẹ.
cd /etc/wireguard/
wg genkey | tee claveprivadaservidor | wg pubkey > clavepublicaservidor
wg genkey | tee claveprivadacliente1 | wg pubkey > clavepublicacliente1olupin wg0.conf pẹlu subnet 192.168.2.0/24 ati ibudo 51820. Mu PostUp/PostDown ṣiṣẹ ti o ba fẹ ṣe adaṣe NAT pẹlu iptables nigbati o mu soke / mu isalẹ awọn wiwo.
[Interface]
Address = 192.168.2.1/24
PrivateKey = <clave_privada_servidor>
ListenPort = 51820
#PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
[Peer]
PublicKey = <clave_publica_cliente1>
AllowedIPs = 0.0.0.0/0Onibara pẹlu adirẹsi 192.168.2.2, n tọka si aaye ipari gbangba olupin ati pẹlu papamo iyan ti o ba wa ni agbedemeji NAT.
[Interface]
PrivateKey = <clave_privada_cliente1>
Address = 192.168.2.2/32
[Peer]
PublicKey = <clave_publica_servidor>
AllowedIPs = 0.0.0.0/0
Endpoint = <ip_publica_servidor>:51820
#PersistentKeepalive = 25Fa soke ni wiwo ati ki o wo bi awọn MTU, ipa-markings, ati fwmark ati afisona imulo awọn ofin. Ṣe atunyẹwo iṣẹjade wg-yara ati ipo pẹlu ifihan wg.
Mikrotik: eefin laarin RouterOS 7.x
MikroTik ti ṣe atilẹyin WireGuard lati ọdọ RouterOS 7.x. Ṣẹda wiwo WireGuard lori olulana kọọkan, lo, ati pe yoo ṣe ipilẹṣẹ laifọwọyi. awọn bọtini. Fi IPs si Ether2 bi WAN ati wireguard1 bi wiwo oju eefin.
Ṣe atunto awọn ẹlẹgbẹ nipa lilọ kiri bọtini gbangba olupin ni ẹgbẹ alabara ati ni idakeji, ṣalaye Adirẹsi Allowed/AllowedIPs (fun apẹẹrẹ 0.0.0.0/0 ti o ba fẹ lati gba eyikeyi orisun / opin irin ajo nipasẹ oju eefin) ati ṣeto aaye ipari latọna jijin pẹlu ibudo rẹ. Pingi si oju eefin latọna jijin IP yoo jẹrisi ọwọ ọwọ.
Ti o ba so awọn foonu alagbeka tabi awọn kọmputa pọ si oju eefin Mikrotik, ṣe atunṣe awọn nẹtiwọki ti a gba laaye lati ma ṣii diẹ sii ju pataki lọ; WireGuard pinnu sisan ti awọn apo-iwe ti o da lori rẹ Cryptokey afisona, nitorina o ṣe pataki lati baramu awọn orisun ati awọn ibi.
Cryptography lo
WireGuard gba eto igbalode ti: Noise gẹgẹbi ilana kan, Curve25519 fun ECDH, ChaCha20 fun fifi ẹnọ kọ nkan ti o ni idaniloju pẹlu Poly1305, BLAKE2 fun hashing, SipHash24 fun awọn tabili hash ati HKDF fun itọsẹ ti awọn bọtiniTi algoridimu kan ba ti parẹ, ilana naa le jẹ ti ikede lati jade lọ lainidi.
Aleebu ati awọn konsi lori mobile
Lilo rẹ lori awọn fonutologbolori gba ọ laaye lati lọ kiri lailewu lori Wi-Fi ti gbogbo eniyan, Tọju ijabọ lati ọdọ ISP rẹ, ati sopọ si nẹtiwọki ile rẹ lati wọle si NAS, adaṣe ile, tabi ere. Lori iOS/Android, awọn nẹtiwọọki iyipada ko gba oju eefin, eyiti o mu iriri naa dara.
Gẹgẹbi awọn konsi, o fa diẹ ninu isonu iyara ati lairi nla ni akawe si iṣelọpọ taara, ati pe o dale lori olupin nigbagbogbo n wa wa. Sibẹsibẹ, ni akawe si IPsec/OpenVPN ijiya jẹ igbagbogbo kekere.
WireGuard ṣajọpọ ayedero, iyara, ati aabo gidi pẹlu ọna ikẹkọ onírẹlẹ: fi sii, ṣe ina awọn bọtini, ṣalaye AllowedIPs, ati pe o ti ṣetan lati lọ. Ṣafikun fifiranšẹ siwaju IP, NAT ti a ṣe daradara, awọn ohun elo osise pẹlu awọn koodu QR, ati ibaramu pẹlu awọn ilolupo bii OPNsense, Mikrotik, tabi Teltonika. VPN igbalode kan fun fere eyikeyi oju iṣẹlẹ, lati ni aabo awọn nẹtiwọọki gbogbo eniyan si sisopọ ile-iṣẹ ati iraye si awọn iṣẹ ile rẹ laisi orififo.
Olootu amọja ni imọ-ẹrọ ati awọn ọran intanẹẹti pẹlu diẹ sii ju ọdun mẹwa ti iriri ni oriṣiriṣi awọn media oni-nọmba. Mo ti ṣiṣẹ bi olootu ati olupilẹṣẹ akoonu fun iṣowo e-commerce, ibaraẹnisọrọ, titaja ori ayelujara ati awọn ile-iṣẹ ipolowo. Mo tun ti kọ lori eto-ọrọ, iṣuna ati awọn oju opo wẹẹbu awọn apakan miiran. Iṣẹ mi tun jẹ ifẹ mi. Bayi, nipasẹ awọn nkan mi ninu Tecnobits, Mo gbiyanju lati ṣawari gbogbo awọn iroyin ati awọn anfani titun ti aye ti imọ-ẹrọ ti nfun wa ni gbogbo ọjọ lati mu igbesi aye wa dara.