WireGuard 是一种通用 VPN(虚拟专用网络),采用最先进的加密技术。与其他流行的 VPN 解决方案(例如 IPsec 和)相比OpenVPN
, 线卫 通常速度更快、更容易配置并且占用空间更小。它是跨平台的,几乎可以在任何地方运行,包括 Linux、Windows、Android 和 macOS。
Wireguard 是一种点对点 VPN;它不使用客户端-服务器模型。根据配置,对等方可以充当传统服务器或客户端。它的工作原理是在每个对等设备上创建一个充当隧道的网络接口。对等点通过交换和验证公钥来相互验证,模仿 SSH 模型。公钥与隧道中允许的 IP 地址列表进行映射。 VPN 流量封装在 UDP 中。
本文介绍如何在 Debian 10 上安装和配置 WireGuard 来充当 VPN 服务器。我们还将向您展示如何在 Linux、Windows 和 macOS 上将 WireGuard 配置为客户端。客户端的流量将通过 Debian 10 服务器路由。
此设置可用于防御中间人攻击、匿名上网、绕过地理限制内容或允许在家工作的同事安全地连接到公司网络。
先决条件#
要遵循本指南,您需要一台安装了 Debian 10 的计算机。您还需要 root 或 [sudo 访问权限](https://linuxize.com/post/how-to-create-a-sudo-user-on-debian/ 来安装软件包并对系统进行更改。
设置 WireGuard 服务器#
我们首先在 Debian 计算机上安装 WireGuard 软件包,并将其设置为服务器。我们还将配置系统以通过它路由客户端的流量。
在 Debian 10 上安装 WireGuard#
WireGuard 可从 Debian 向后移植存储库获取。要将存储库添加到您的系统,请运行:
echo 'deb http://ftp.debian.org/debian buster-backports main' | sudo tee /etc/apt/sources.list.d/buster-backports.list
启用存储库后,更新 apt 缓存并安装 WireGuard 模块和工具:
sudo apt update
sudo apt install wireguard
配置 WireGuard#
您可以使用以下命令配置和管理 WireGuard 接口wg
and wg-quick
命令行工具。
WireGuard VPN 网络中的每个设备都需要拥有私钥和公钥。运行以下命令生成密钥对:
wg genkey | sudo tee /etc/wireguard/privatekey | wg pubkey | sudo tee /etc/wireguard/publickey
文件生成在/etc/wireguard
目录。使用cat
or less 命令来查看文件的内容。私钥不应与任何人共享,并应始终保持安全。
Wireguard 还支持预共享密钥,这增加了额外的对称密钥加密层。此密钥是可选的,并且对于每个对等点对必须是唯一的。
下一步是配置将路由 VPN 流量的隧道设备。
可以使用以下命令从命令行设置该设备ip
and wg
命令,或手动创建配置文件。我们将使用文本编辑器创建配置。
打开编辑器并创建一个名为的新文件wg0.conf
包含以下内容:
sudo nano /etc/wireguard/wg0.conf
/etc/wireguard/wg0.conf
[Interface]
Address = 10.0.0.1/24
SaveConfig = true
ListenPort = 51820
PrivateKey = SERVER_PRIVATE_KEY
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o ens3 -j MASQUERADE
您可以为接口命名任何您想要的名称。但是建议使用类似的东西wg0
or wgvpn0
.
界面部分的设置含义如下:
地址 - 以逗号分隔的 v4 或 v6 IP 地址列表wg0
界面。您可以选择为专用网络保留的 IP 地址范围(10.0.0.0/8、172.16.0.0/12 或 192.168.0.0/16)。
ListenPort - 监听端口。
PrivateKey - 由私钥生成wg genkey
命令。 (要查看文件类型的内容:sudo cat /etc/wireguard/privatekey
)
SaveConfig - 当设置为 true 时,关闭时将接口的当前状态保存到配置文件中。
PostUp - 在启动界面之前执行的命令或脚本。在此示例中,我们使用 iptables 来启用伪装。这允许流量离开服务器,从而使 VPN 客户端能够访问互联网。
确保更换ens3
after -A POSTROUTING
以匹配您的公共网络接口的名称。您可以轻松找到该接口:
ip -o -4 route show to default | awk '{print $5}'
PostDown - 在关闭接口之前执行的命令或脚本。一旦接口关闭,iptables 规则将被删除。
The wg0.conf
and privatekey
普通用户不应该读取文件。使用chmod 将文件权限设置为600
:
sudo chmod 600 /etc/wireguard/{privatekey,wg0.conf}
完成后,带上wg0
使用配置文件中指定的属性启动接口:
sudo wg-quick up wg0
输出将如下所示:
[#] ip link add wg0 type wireguard
[#] wg setconf wg0 /dev/fd/63
[#] ip -4 address add 10.0.0.1/24 dev wg0
[#] ip link set mtu 1420 up dev wg0
[#] iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE
要检查接口状态和配置,请运行:
sudo wg show wg0
interface: wg0
public key: +Vpyku+gjVJuXGR/OXXt6cmBKPdc06Qnm3hpRhMBtxs=
private key: (hidden)
listening port: 51820
您还可以使用以下命令验证接口状态ip a show wg0
:
ip a show wg0
4: wg0: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000
link/none
inet 10.0.0.1/24 scope global wg0
valid_lft forever preferred_lft forever
WireGuard 可以使用 Systemd 进行管理。要在启动时启用 WireGuard 界面,请运行以下命令:
sudo systemctl enable wg-quick@wg0
服务器网络和防火墙配置#
必须启用 IP 转发才能使 NAT 工作。打开/etc/sysctl.conf
文件并添加或取消注释以下行:
sudo nano /etc/sysctl.conf
/etc/sysctl.conf
保存文件并应用更改:
sudo sysctl -p
net.ipv4.ip_forward = 1
如果您使用 UFW 来管理您的firewall 您需要在端口上打开 UDP 流量51820
:
sudo ufw allow 51820/udp
就是这样。充当服务器的 Debian 对等体已设置完毕。
Linux 和 macOS 客户端设置#
所有受支持平台的安装说明可在以下位置找到:https://wireguard.com/install/ 。在 Linux 系统上,您可以使用分发包管理器安装该包,在 macOS 上,可以使用brew
.
安装后,请按照以下步骤配置客户端设备。
设置 Linux 和 macOS 客户端的过程与设置服务器的过程几乎相同。首先,生成公钥和私钥:
wg genkey | sudo tee /etc/wireguard/privatekey | wg pubkey | sudo tee /etc/wireguard/publickey
创建文件wg0.conf
并添加以下内容:
sudo nano /etc/wireguard/wg0.conf
/etc/wireguard/wg0.conf
[Interface]
PrivateKey = CLIENT_PRIVATE_KEY
Address = 10.0.0.2/24
[Peer]
PublicKey = SERVER_PUBLIC_KEY
Endpoint = SERVER_IP_ADDRESS:51820
AllowedIPs = 0.0.0.0/0
界面部分的设置与设置服务器时的含义相同:
地址 - 以逗号分隔的 v4 或 v6 IP 地址列表wg0
界面。
PrivateKey - 要查看客户端计算机上文件的内容,请运行:sudo cat /etc/wireguard/privatekey
对等部分包含以下字段:
PublicKey - 您想要连接的对等方的公钥。 (服务器的内容/etc/wireguard/publickey
file).
端点 - 您要连接的对等点的 IP 或主机名,后跟冒号,然后是远程对等点侦听的端口号。
AllowedIPs - 以逗号分隔的 v4 或 v6 IP 地址列表,允许对等方的传入流量以及该对等方的传出流量定向到该地址。我们使用 0.0.0.0/0 是因为我们正在路由流量并希望服务器对等方发送具有任何源 IP 的数据包。
如果您需要配置其他客户端,只需使用不同的私有 IP 地址重复相同的步骤即可。
Windows 客户端设置#
从以下位置下载并安装 Windows msi 软件包WireGuard 网站
.
安装后,打开 WireGuard 应用程序并单击“添加隧道”->“添加空隧道...”,如下图所示:
公钥对将自动创建并显示在屏幕上。
输入隧道名称并编辑配置,如下所示:
[Interface]
PrivateKey = CLIENT_PRIVATE_KEY
Address = 10.0.0.2/24
[Peer]
PublicKey = SERVER_PUBLIC_KEY
Endpoint = SERVER_IP_ADDRESS:51820
AllowedIPs = 0.0.0.0/0
在接口部分中,添加新行来定义客户端隧道地址。
在对等部分中,添加以下字段:
PublicKey - Debian 服务器的公钥 (/etc/wireguard/publickey
file).
端点 - Debian 服务器的 IP 地址,后跟冒号和 WireGuard 端口 (51820)。
允许的IP - 0.0.0.0/0
完成后,单击“保存”按钮。
将客户端对等点添加到服务器#
最后一步是将客户端的公钥和 IP 地址添加到服务器。为此,请在 Debian 服务器上运行以下命令:
sudo wg set wg0 peer CLIENT_PUBLIC_KEY allowed-ips 10.0.0.2
确保更改CLIENT_PUBLIC_KEY
使用您在客户端计算机上生成的公钥(sudo cat /etc/wireguard/publickey
)并调整客户端IP地址(如果不同)。 Windows 用户可以从 WireGuard 应用程序复制公钥。
完成后,返回客户端计算机并打开隧道界面。
Linux 和 macOS 客户端#
运行以下命令打开界面:
sudo wg-quick up wg0
现在您应该连接到 Debian 服务器,并且来自客户端计算机的流量应该通过它进行路由。您可以通过以下方式检查连接:
sudo wg
interface: wg0
public key: gFeK6A16ncnT1FG6fJhOCMPMeY4hZa97cZCNWis7cSo=
private key: (hidden)
listening port: 53527
fwmark: 0xca6c
peer: r3imyh3MCYggaZACmkx+CxlD6uAmICI8pe/PGq8+qCg=
endpoint: XXX.XXX.XXX.XXX:51820
allowed ips: 0.0.0.0/0
latest handshake: 53 seconds ago
transfer: 3.23 KiB received, 3.50 KiB sent
您还可以打开浏览器,输入“what is my ip”,您应该会看到您的 Debian 服务器 IP 地址。
要停止隧道挖掘,请关闭wg0
界面:
sudo wg-quick down wg0
Windows客户端#
如果您在 Windows 上安装了 WireGuard,请单击“激活”按钮。一旦对等点连接,隧道状态将更改为 Active:
结论#
我们已经向您展示了如何在 Debian 10 上安装 WireGuard 并将其配置为 VPN 服务器。此设置允许您通过保持流量数据的私密性来匿名上网。
如果您遇到任何问题,请随时发表评论。