debian 10/11 安装WireGuard
WireGuard® 是一个非常简单,快速和现代的 VPN,它利用了 最先进的 密码学 。它旨在比 IPsec 更快 , 更简单,更精简,更有用,同时避免巨大的头痛。它比 OpenVPN 的性能要高得多。WireGuard 被设计为一个通用 VPN,用于在嵌入式接口和超级计算机上运行,适用于许多不同的情况。它最初是为 Linux 内核发布的,现在是跨平台(Windows,macOS,BSD,iOS,Android)并且可以广泛部署。它目前正在进行大量开发,但它已经被认为是业内最安全,最易于使用和最简单的 VPN 解决方案。
从 2020 年 1 月开始,它已经并入了 Linux 内核的 5.6 版本,这意味着大多数 Linux 发行版的用户将拥有一个开箱即用的 WireGuard。
WireGuard是跨平台的,几乎可以在任何操作系统运行,包括Linux,Windows,Android和macOS。
Wireguard是对等VPN,它不使用C/S客户端/服务器模型。根据配置,对等方可以充当传统的服务器或客户端。
它充当隧道,在每个对等设备上创建虚拟网络接口来工作。对等方通过交换和验证公钥,类似于使用SSH公钥模式来相互认证。
公钥与隧道中允许的IP地址列表进行映射。VPN流量封装在UDP中。
WireGuard 优点
简单易用
WireGuard 旨在像 SSH 一样易于配置和部署。VPN 连接只需通过交换非常简单的公钥即可实现 - 就像交换 SSH 密钥一样 - 其余所有内容都由 WireGuard 透明地处理。它甚至能够在 IP 地址之间漫游,就像 Mosh 一样。无需管理连接、关注状态、管理守护程序或担心后台的内容。WireGuard 提供了一个非常基本但功能强大的界面。
加密健全
WireGuard 使用最先进的密码学,如 噪声协议框架,Curve25519,ChaCha20,Poly1305,BLAKE2,SipHash24,HKDF 和安全可信结构。 它做出了保守合理的选择,并经过密码学家的审查。
最小攻击面
WireGuard 在设计时考虑了易于实现和简单性。它意味着在很少的代码行中轻松实现,并且易于审计安全漏洞。与 *Swan/IPsec 或 OpenVPN/OpenSSL 等庞然大物相比,即使对于大型安全专家团队来说,审计庞大的代码库也是一项艰巨的任务,WireGuard 意味着可以由单个人进行全面审查。
高性能
极高速的加密原语和 WireGuard 存在于 Linux 内核中的事实相结合,意味着安全网络可以非常高速。它适用于智能手机等小型嵌入式设备和满载骨干路由器。
WireGuard可从默认的Debian 11软件源中获得,Debian 10需要添加backports软件源。
要安装它,请运行apt命令 sudo apt update && sudo apt install wireguard。这将安装WireGuard模块和工具。WireGuard作为内核模块运行。
sudo apt update
sudo apt install wireguard
Debian 10 由于内核版本低于5.6,需要额外安装一个包wireguard-dkms。
配置WireGuard
wg和wg-quick命令行工具可帮助您配置和管理WireGuard接口,WireGuard接口是虚拟网卡。WireGuard VPN网络中的每个设备都需要具有私钥和公钥。
我们可以使用wiregurad的工具wg genkey和wg pubkey在/etc/wireguard/目录中生成私钥/etc/wireguard/privatekey和公钥/etc/wireguard/publickey。
以下命令将使用wg genkey和wg pubkey,tee命令以及管道同时生成私钥和公钥并存储在/etc/wireguard/目录。
wg genkey | sudo tee /etc/wireguard/privatekey | wg pubkey | sudo tee /etc/wireguard/publickey
您可以使用cat命令或less命令查看私钥和公钥文件的内容。请不要把私钥与任何人共享,并且应始终保证私钥的安全。
Wireguard还支持预共享密钥,这增加了对称密钥加密的附加层。预共享密钥是可选的,并且对于每个对等设备都必须是唯一的。
下一步是配置虚拟接口。可以使用ip命令和wg命令配置接口。
使用vim创建配置文件/etc/wireguard/wg0.conf。
粘贴以下内容到/etc/wireguard/wg0.conf文件中,然后保存并退出vim编辑器。
sudo vim /etc/wireguard/wg0.conf
[Interface]
Address = 10.0.0.1/24
SaveConfig = true
ListenPort = 51820
PrivateKey = SERVER_PRIVATE_KEY
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o ens0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o ens0 -j MASQUERADE
接口的命名可以是任何你喜欢的名称,但是建议使用诸如wg0或wgvpn0之类的名称。可以让我们能快速分清是物理接口还是虚拟接口即可。
这里说明一下/etc/wireguard/wg0.conf配置文件定义接口的每个字段含义。
Address wg0接口的IP v4或IP v6的地址。请使用保留给私有网络范围内的IP地址,比如10.0.0.0/8、172.16.0.0/12或192.168.0.0/16。
ListenPort 是接口监听的端口。PrivateKey 由wg genkey命令生成的私钥。你可以使用sudo cat /etc/wireguard/privatekey命令要查看私钥文件的内容。
SaveConfig 设置为true时,当关闭接口时将当前配置将保存到配置文件中。PostUp 在启动接口之前执行的命令或脚本。
在此示例中,在PostUp钩子启用iptables伪装。这允许流量离开服务器,使VPN客户端可以访问互联网。
请记得使用您可访问网络的接口名称替换-A POSTROUTING后面的ens0。您可以通过以下ip命令方式轻松找到可访问网络的接口。
ip -o -4 route show to default | awk '{print $5}'
在PostDown钩子,我们在关闭接口之前删除iptables伪装。一旦接口关闭,iptables nat转发规则将被删除。
为了保证私钥的安全,请将wg0.conf和privatekey文件对普通用户不可读。运行chmod命令sudo chmod 600 /etc/wireguard/{privatekey,wg0.conf}。
sudo chmod 600 /etc/wireguard/{privatekey,wg0.conf}
启用Wireguard接口
完成以上步骤后,我们可以通过wg-quick启动wireguard服务器。这在wireguard中就是将接口状态设置为开启,运行wg-quick up命令将启用wg0接口。
sudo wg-quick up wg0
[#] ip link add wg0 type wireguard
[#] wg setconf wg0 /dev/fd/63
[#] ip -4 address add 10.0.0.1/24 dev wg0
[#] ip link set mtu 1420 up dev wg0
[#] iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o ens0 -j MASQUERADE
要检查接口状态和配置,请运行wg show命令。因为wg0是一个虚拟网卡,因此您也可以运行ip a show wg0来验证wg0接口状态。
sudo wg show wg0
interface: wg0
public key: XYiS2En9095jL0IzsOuc6P9NVjYi6nNIoQoaIKi6uQw=
private key: (hidden)
listening port: 51820
wireguard作为内核模块运行,默认情况wireguard会自动启动,但接口wg0虚拟网卡不会自动启动。
你可以通过systemctl命令将wg0设置为自动启动。要在启动时启用WireGuard的wg0接口。请运行sudo systemctl enable wg-quick@wg0命令。
sudo systemctl enable wg-quick@wg0
配置防火墙
在之前的步骤中我们在启动wg0接口postup前配置了一条iptables的NAT路由。为使NAT路由可正常工作,必须启用IP转发。
使用vim打开文件/etc/sysctl.conf。然后添加或取消注释行net.ipv4.ip_forward。
退出vim并保存文件。修改完成后,运行sudo sysctl -p命令启用新的内核属性配置。
如果您正在使用UFW管理防火墙,则需要允许端口51820的UDP连接。至此,你已部署并配置wireguard Debian服务器的对等方。
sudo vim /etc/sysctl.conf
sudo sysctl -p
sudo ufw allow 51820/udp
/etc/sysctl.conf
net.ipv4.ip_forward=1
将客户端添加到服务器
最后一步是将客户端的公钥和IP地址添加到对等方,也就是服务器端口。要将客户端添加到服务器,非常简单。
你只需要在Debian 11服务器运行命令sudo wg set wg0 peer CLIENT_PUBLIC_KEY allowed-ips 10.0.0.2。
请使用在客户端计算机生成的公钥替换CLIENT_PUBLIC_KEY,可以通过sudo cat /etc/wireguard/publickey命令查看客户端的公钥,Windows用户可以从WireGuard应用程序复制公钥。
sudo wg set wg0 peer CLIENT_PUBLIC_KEY allowed-ips 10.0.0.2
至此,WireGuard的配置完成,可以愉快的使用了。
想想你的文章写的特别好https://www.jiwenlaw.com/
怎么收藏这篇文章?
想想你的文章写的特别好https://www.237fa.com/
不错不错,我喜欢看 https://www.ea55.com/
看的我热血沸腾啊www.jiwenlaw.com
兄弟写的非常好 https://www.cscnn.com/