代码编织梦想

基于树莓派的WireGuard安装配置与使用

关于WireGuard

简介

WireGuard 是新一代的虚拟专用网协议,相比于 IPSec 和 OpenVPN 等软件,特点是简单、安全、高效,源码总共不到四千行代码。由于过于优秀,已经被吸收进了 Linux 5.6+ 的内核中。

工作原理

WireGuard 以 UDP 实现,但是运行在第三层 —— IP 层。每个 Peer 都会生成一个 wg0 虚拟网卡,同时服务端会在物理网卡上监听 UDP 51820 端口。应用程序的包发送到内核以后,如果地址是虚拟专用网内部的,那么就会交给 wg0 设备,WireGuard 就会把这个 IP 包封装成 WireGuard 的包,然后在 UDP 中发送出去,对方的 Peer 的内核收到这个 UDP 包后再反向操作,解包成为 IP 包,然后交给对应的应用程序。

WireGuard 项目官方网站 https://www.wireguard.com/

在服务器端部署WireGuard(本例为基于Oracle Cloud的Ubuntu 20.04)

WireGuard 跨平台参照官方给出的快速安装指南

https://www.wireguard.com/install/

注:如果安装失败请尝试一下升级更新

sudo apt-get update
sudo apt-get upgrade
sudo apt-get install wireguard 


服务器端环境以Ubuntu系统为例

生成公钥、私钥

sudo mkdir -p /etc/wireguard && sudo chmod 0777 /etc/wireguard && cd /etc/wireguard
umask 077
wg genkey | tee privatekey | wg pubkey > publickey | wg genpsk > presharedkey

打印输出私钥

cat privatekey
+Cr59JzbCKz9rESqimHGi5C2QfIRYZ5xVMssiTAEqV4=

打印输出公钥

cat publickey
bco6xIgfp++iFBj6vmDr27tAXfgYsppn/wyUJRcFgUc=

编辑并保存 wg0 配置文件 wg0.conf

sudo vi wg0.conf

wg0.conf 配置文件内容如下:

Address = 10.200.200.1(可根据需要自行设定)

ListenPort = 监听端口 51820(根据自己需求设定)

PrivateKey = 服务器私钥

PublicKey = 连接节点公钥(由客户端生成)

AllowedIPs = VPN 隧道的内网 IP 段(必须与服务器自行设定的Address在同一网络段内)

[Interface]
Address = 10.200.200.1
ListenPort = 51820
PrivateKey = <服务端私钥>
​
[Peer]
PublicKey = <客户端公钥>
AllowedIPs = 10.200.200.2/32
  
#如有多个客户端,则只需要如上填写对应连接节点公钥与VPN隧道的内网IP段即可
[Peer]
……

设置服务器的 NAT 流量转发

sudo vi /etc/sysctl.conf

找到这一行 net.ipv4.ip_forward = 1去掉注释符“#”(如无对应选项,自行添加即可)

net.ipv4.ip_forward = 1

执行sysctl并生效

sudo sysctl -p

在服务器端添加虚拟网卡 wg0,设置隧道 IP 和 iptables 规则

#添加虚拟网卡
sudo ip link add dev wg0 type wireguard
//10.200.200.1为wg0.conf中服务器端自行设定的Address段,根据你的设定对应修改
sudo ip address add dev wg0 10.200.200.1/24
sudo ip link set wg0 up
sudo wg setconf wg0 /etc/wireguard/wg0.conf
//以上四条命令也可直接用'sudo wg-quick up wg0'代替执行
#设置IP和iptables规则
sudo iptables -A FORWARD -i wg0 -j ACCEPT
sudo iptables -A FORWARD -o wg0 -j ACCEPT
sudo iptables -t nat -A POSTROUTING -o wg0 -j MASQUERADE
//'eth0'为服务器本地网卡名称,可用'ifconfig'命令查看
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

注:iptables设置不完全仅包含以上指令,需执行'sudo iptables -L'查看当前防火墙状态,如有对应端口未打开或拒绝icmp报文访问等规则,需要自行打开或删除,否则wireguard将不能正常使用,现将本例使用的服务器防火墙INPUT和FORWARD链粘贴如下

ubuntu@instance-20210821-wg:/etc/wireguard$ sudo iptables -L -n  --line-number 
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         
1    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
2    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
3    ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp spt:123
4    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
5    ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:51820 ctstate NEW
​
Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination         
1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0   

另:服务器使用的端口一般还需在后台打开;阿里云及腾讯云的国内服务器也可能会出现不能正常使用wireguard的情况

配置完毕后,可用以下指令保存防火墙设置

apt-get install iptables-persistent
systemctl enable netfilter-persistent
systemctl start netfilter-persistent
netfilter-persistent save

检查wg设置是否正常

sudo wg show

正常情况下应该输出以下内容

interface: wg0
  public key: <服务端公钥>
  private key: (hidden)
  listening port: 51820
​
peer: <客户端公钥>
  //此为连接节点的IP及端口,不一定与下述情况一致
  endpoint: 12.34.56.78:61353
  allowed ips: 10.200.200.2/32
  //客服端启动完毕后才会出现以下两条信息
  latest handshake: 0 days, 8 minutes, 19 seconds ago
  transfer: 0.60 GiB received, 0.93 GiB sent

服务器端设置完成

另:可执行以下命令,设置为开机自动启动

sudo systemctl enable wg-quick@wg0.service

在客户端部署WireGuard

生成公钥、私钥

sudo mkdir -p /etc/wireguard && sudo chmod 077 /etc/wireguard && cd /etc/wireguard
umask 077
wg genkey | tee privatekey | wg pubkey > publickey

打印输出私钥

cat privatekey
SHBjWA3uAYAZc+TUvr6PcTA5SVQnt+aSVkdlZhlg1Hk=

打印输出公钥

cat publickey
8+9jGlxuwyGUWtUk8/NZMAl1Ax577KAvnXJY0EeuNkQ=

wg0.conf 配置文件内容如下

ListenPort = 监听端口 51820

PrivateKey = 本地客户端私钥

PublicKey = 服务器端公钥(由服务器端生成)

AllowedIPs = VPN 隧道的内网 IP 段

Endpoint = 远程服务器的公网 IP(即ssh连接服务器时用的IP地址) 和端口

PersistentKeepalive = 连接心跳包的唤醒间隔(可不设置)

[Interface]
Address = 10.200.200.2/32
ListenPort = 51820
PrivateKey = <客户端私钥>
​
[Peer]
PublicKey = <服务端公钥>
AllowedIPs = 0.0.0.0/0
Endpoint = 150.136.105.97:51820
PersistentKeepalive = 25

在客户端,添加虚拟网卡 wg0

sudo ip link add dev wg0 type wireguard
//10.200.200.2为wg0.conf中客户端自行设定的Address段,根据你的设定对应修改
sudo ip address add dev wg0 10.200.200.2/32
sudo ip link set wg0 up
sudo wg setconf wg0 /etc/wireguard/wg0.conf
//以上命令也可由sudo wg-quick up wg0代替

设置 IP 和路由

这一部分根据各自路由情况的不同,执行的命令也有所不同,但是一般来说默认的路由表是可以直接使用的,不需要配置;如不能正常使用,则使用'ip route'+'add或del',自行更改至可使用的状态即可,以下粘贴出本例使用到的树莓派(IP为192.168.3.242)的路由情况

pi@raspberrypi:~ $ route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         0.0.0.0         0.0.0.0         U     0      0        0 wg0
150.136.105.97  192.168.3.1     255.255.255.255 UGH   0      0        0 eth0
192.168.3.0     0.0.0.0         255.255.255.0   U     202    0        0 eth0

注:150.136.105.97为服务器的公网IP

客户端设置完成,Ping 测试 VPN 隧道

ping 10.200.200.1

ping输出如下

PING 10.200.200.1 (10.200.200.1) 56(84) bytes of data.
64 bytes from 10.200.200.1: icmp_seq=1 ttl=64 time=253 ms
64 bytes from 10.200.200.1: icmp_seq=2 ttl=64 time=253 ms
64 bytes from 10.200.200.1: icmp_seq=3 ttl=64 time=252 ms
^C
--- 10.200.200.1 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 5ms
rtt min/avg/max/mdev = 251.782/252.699/253.364/0.886 ms

说明 VPN 隧道已通

用 curl 命令测试隧道的流量转发状态

curl ifconfig.me

显示 IP 为服务器的公网 IP

150.136.105.97

curl 获取到了服务器的公网 IP,流量转发成功。


参考在 Ubuntu 部署 VPN 隧道 WireGuard — Steemit

有任何问题欢迎留言,本人看到后会第一时间帮忙解决,非常感谢观看,祝配置顺利。另外转载请注明出处,谢谢。

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/A365_Self/article/details/119852914

树莓派系统安装和环境配置_weixin_43664986的博客-爱代码爱编程

参考:https://blog.csdn.net/weixin_43073852/article/details/82750343 准备工具: 1、树莓派3B+开发板 1块 2、至少8g的存储卡 1张 3、读卡器 1个 4、

Raspberry Pi的新功能,Linux内核中的Wireguard,NSA Python课程以及更多开源新闻-爱代码爱编程

在本期开放源代码新闻摘要中,我们将介绍Raspbian,Wireguard和Linux内核的新功能,以及来自NSA的免费Python课程等等! Raspbian具有一些新功能 Raspberry Pi的新版本的Raspbian软件已经发布。 它可以下载并进行了一些改进,包括改进的文件管理器,增加了Orca for Linux以增加可

运用WireGuard构建下一代内核级虚拟网络-爱代码爱编程

一、现有主流虚拟网特性       目前市场主流的虚拟网有IPSEC 虚拟网、SSL虚拟网、PPTP 虚拟网、L2TP 虚拟网等,它们在安全性、性能等方面都存在明显的缺点,具体见下表1所示。 端口、内核级安全性性能复杂度可续性其它特性推荐指数IPSEC 虚拟网500、4500/UDPESP非100%内核级高一般极高一般端口及协议固定,容易被封;配置复

什么?WireGuard 可以让躲在 NAT 后面的客户端之间直连了??-爱代码爱编程

该文章随时会有校正更新,公众号无法更新,欢迎订阅博客查看最新内容:https://fuckcloudnative.io WireGuard 是由 Jason A. Donenfeld 等人创建的下一代开源 VPN 协议,旨在解决许多困扰 IPSec/IKEv2、OpenVPN 或 L2TP 等其他 VPN 协议的问题。2020 年

Wireguard详细说明-爱代码爱编程

什么是 WireGuard? WireGuard 是一个易于配置、快速且安全的开源组网,它利用了最新的加密技术。目的是提供一种更快、更简单、更精简的通用 VPN,它可以轻松地在树莓派这类低端设备到高端服务器上部署。 IPsec 和 OpenVPN 等大多数其他解决方案是几十年前开发的。安全研究人员和内核开发人员 Jason Donenfeld 意识到它

wireguard的安装与配置-爱代码爱编程

centos7安装epel源 cat << EOF > /etc/yum.repos.d/epel.repo [epel] name=Extra Packages for Enterprise Linux 7 - $basearch baseurl=https://mirrors.bfsu.edu.cn/epel/7/$bas

腾讯云CentOS7 Wireguard 搭建-爱代码爱编程

官方安装wireguard sudo yum update sudo yum install elrepo-release epel-release sudo yum install kmod-wireguard wireguard-tools ip link add dev wg0 type wireguard #添加wg接口 ip addre

WireGuard 全互联模式终极指南(上)!-爱代码爱编程

大家好,我是米开朗基杨。 关注我的读者应该都还记得我之前写过一篇 👉WireGuard 全互联模式 (full mesh) 的配置指南,限于当时还没有成熟的产品来帮助我们简化全互联模式的配置,所以我选择了使用可视化界面 👉wg-gen-web 来达成目的。但 👉wg-gen-web 的缺陷也很明显,它生成的每一个客户端的配置都要手动调整,终究还

贫苦家庭与野生公有云之间的 WireGuard Mesh 组网策略-爱代码爱编程

大家好,我是米开朗基杨。 熟悉我的小伙伴都知道我是一名与时俱进的 WireGuard 舔狗,我早就把所有的跨云组网都换成了 WireGuard。 WireGuard 利用内核空间处理来提升性能(更高吞吐和更低延迟),同时避免了不必要的内核和用户空间频繁上下文切换开销。在 Linux 5.6 将 WireGuard 合并入上游之后, OpenV

WireGuard 中文教程:使用 Netmaker 快速组建 WireGuard 全互联 (Full Mesh) 网络-爱代码爱编程

公众号关注 「奇妙的 Linux 世界」 设为「星标」,每天带你玩转 Linux ! 每日言论 创业者要做两件事:第一件是弄清楚要做什么,第二件就是去做。 但是,大多数创业者不认为第一件事很重要,如果花费一天时间思考,试图更好地理解一个问题,他往往觉得那一天是浪费掉的,没有行动力。 -- 《动作要快,但要先了解问题》

使用 K3s 和 WireGuard 网络快速部署一个多云环境的 Kubernetes 集群-爱代码爱编程

公众号关注 「奇妙的 Linux 世界」 设为「星标」,每天带你玩转 Linux ! 每日言论 SQLite 的应用太广泛,测试量也很惊人。每个版本发布之前,都要进行各种单元测试、参数测试、模糊测试,一共有数十亿次,运行一次完整的自动化测试,需要数天时间。 -- Hacker News 读者 在之前的文章中已经介绍过 ne