Как настроить Wireguard VPN на Linux
Он предлагает быструю и легкую альтернативу традиционным VPN, таким как IPsec и OpenVPN. Сегодняшняя статья покажет вам, как установить Wireguard и создать простую настройку VPN, используя 3 машины Linux.
Скачать Wireguard
Первым шагом к настройке Wireguard на Linux является загрузка его основных инструментов из репозитория дистрибутива. Это позволяет управлять встроенным модулем ядра Wireguard с помощью команд пользовательского пространства.
Чтобы установить основные инструменты в Ubuntu и Debian, выполните следующую команду:
sudo apt install wireguard wireguard-tools
В Fedora вы можете использовать менеджер пакетов dnf:
sudo dnf установить wireguard-tools
Для Arch Linux вы можете запустить pacman, чтобы загрузить основные инструменты Wireguard:
sudo pacman -S wireguard-tools
Убедитесь, что вы правильно установили инструменты Wireguard, загрузив экран справки:
РГ-ч
Настройте сервер Wireguard
Предположения: В этой статье предполагается, что вы устанавливаете сервер Wireguard на системе Linux с общедоступным адресом IPv4. Инструкции будут работать и на сервере за NAT, но он не найдет узлы за пределами своей подсети.
С помощью набора основных инструментов Wireguard на вашем компьютере Linux вы теперь можете настроить узел сервера VPN. Этот узел будет действовать как интернет-шлюз для клиентских узлов в сети.
Начните с перехода в папку конфигурации Wireguard и установки для нее разрешений по умолчанию «только root»:
cd /etc/wireguard sudo umask 077
Примечание: Некоторые системы могут помешать вам получить доступ к каталогу “/etc/wireguard” как обычному пользователю. Чтобы исправить это, переключитесь на пользователя root с помощью sudo -s.
Создайте открытый и закрытый ключи для сервера Wireguard:
sudo sh -c 'wg genkey | tee /etc/wireguard/server-private-key | wg pubkey > /etc/wireguard/server-public-key'
Создайте файл конфигурации сервера с помощью вашего любимого текстового редактора:
судо нано /etc/wireguard/wg0.conf
Вставьте следующий блок кода в файл конфигурации сервера:
(Интерфейс) PrivateKey = ВСТАВЬТЕ-СЮДА-СВОЙ-КЛЮЧ-СЕРВЕРА Адрес = 10.0.0.1/32 ListenPort = 60101 PostUp = iptables -t nat -I POSTROUTING -o NETWORK-INTERFACE-HERE -j MASQUERADE PostDown = iptables -t nat -D POSTROUTING -o NETWORK-INTERFACE-HERE -j MASQUERADE
Откройте новый сеанс терминала, затем распечатайте закрытый ключ Wireguard сервера:
sudo cat /etc/wireguard/server-private-key
Скопируйте закрытый ключ сервера в буфер обмена.
Замените значение переменной PrivateKey ключом из буфера обмена.
Найдите сетевой интерфейс, имеющий доступ в Интернет, с помощью команды ip:
ip маршрут получить 8.8.8.8
Установите значение флага -o для переменных PostUp и PostDown на интерфейс с доступом в Интернет, затем сохраните файл конфигурации.
Откройте файл сервера «/etc/sysctl.conf» с помощью вашего любимого текстового редактора:
sudo nano /etc/sysctl.conf
Прокрутите вниз до строки, содержащей net.ipv4.ip_forward=1, затем удалите знак решетки (#) в начале.
Перезагрузите новую конфигурацию sysctl, выполнив: sudo sysctl -p .
Настройте и подключите клиент Wireguard
Теперь у вас есть правильно настроенный сервер Wireguard без пиров. Чтобы использовать его, вам нужно настроить и подключить своего первого клиента Wireguard.
Перейдите в каталог конфигурации Wireguard клиентской системы и установите разрешения по умолчанию:
cd /etc/wireguard sudo umask 077
Создайте пару ключей Wireguard клиента с помощью следующей команды:
sudo sh -c 'wg genkey | tee /etc/wireguard/client1-private-key | wg pubkey > /etc/wireguard/client1-public-key'
Создайте файл конфигурации Wireguard клиента с помощью вашего любимого текстового редактора:
судо нано /etc/wireguard/wg0.conf
Вставьте следующий блок кода в файл конфигурации клиента:
(Интерфейс) PrivateKey = ВСТАВЬТЕ-СЮДА-ВАШЕГО-КЛИЕНТА1-ЧАСТНЫЙ-КЛЮЧ Адрес = 10.0.0.2/32 ListenPort = 60101 (Одноранговый) PublicKey = ВСТАВЬТЕ-СЮДА-ВАШЕГО-СЕРВЕРА-ПУБЛИК-КЛЮЧ Разрешенные IP-адреса = 0.0.0.0/0 Конечная точка = ВСТАВЬТЕ-СЮДА-IP-АДРЕС-ВАШЕГО-СЕРВЕРА:60101 Постоянная поддержка = 25
Замените переменную PrivateKey закрытым ключом клиента.
Откройте терминальный сеанс сервера Wireguard, затем распечатайте его открытый ключ:
sudo cat /etc/wireguard/server-public-key
Установите значение переменной PublicKey равным открытому ключу сервера.
Измените переменную Endpoint на IP-адрес сервера Wireguard.
Сохраните файл конфигурации, затем используйте команду wg-quick для запуска клиента Wireguard:
sudo wg-quick вверх wg0
Примечание: Эта команда отключит сетевое подключение клиента, пока вы не запустите сервер Wireguard. Чтобы вернуться к исходной сети, выполните sudo wg-quick down wg0.
Подключите сервер Wireguard к клиенту
Откройте терминальный сеанс сервера Wireguard, затем откройте файл конфигурации сервера:
судо нано /etc/wireguard/wg0.conf
Вставьте следующий блок кода после раздела (Интерфейс):
(Peer) Открытый ключ = ВСТАВЬТЕ-СЮДА-ВАШ-КЛИЕНТ1-ОТКРЫТЫЙ-КЛЮЧ Разрешенные IP-адреса = 10.0.0.2/32 Постоянный контроль = 25
Установите переменную PublicKey на открытый ключ клиента Wireguard.
Примечание: Вы можете получить открытый ключ, выполнив команду sudo cat /etc/wireguard/client1-public-key на своем клиенте.
Сохраните файл конфигурации, затем выполните следующую команду для запуска службы Wireguard на сервере:
sudo wg-quick вверх wg0
Мика Сото
Обновление 07 августа 2024 г.
