WireGuard安装配置教程

大家都知道,最近管家对梯子管理的太严格,准备去浏览一下国外的技术,经常出现梯子折掉的情况,还好有一个朋友LK给我推荐WireGuard,所以准备重新支起梯子。WireGuard是一个通过UDP协议,实现端对端的连接,更加安全的保护梯子,具体的优点大家自己查询吧,我只说一个字“很快”能比正常的速度快上1/3,那我们开始吧。

一、环境介绍

服务器:Ubuntu16.04 x64

客户端:Windows7

虽然写了服务器、客户端,但需要大家知道的是,WireGuard并没有强调服务器与客户端的,只在于是谁连接了谁,我们这里使用Windows7连接Ubuntu,所以这里标明Ubuntu为服务器,Windows7为客户端。

二、Windows7下Tunsafe安装及密钥生成

我们所使用的客户端是Windows7,可以使用Tunsafe客户端,下载地址:“https://tunsafe.com”。软件安装过程就略过,软件打开后界面如下:

可以使用客户端工具来生成公钥与么钥。点击客户端“File”菜单,选择“Generate Key Pair…”项,点击“Randomize”按钮来生成客房端公钥与私钥,如下图所示。

客户端私钥:aL541p6k4ys1jhhWV+dFIK4MSogdMoGWnoJCW40PeW0=

客户端公钥:WWwXgCaptYXGsjRSjRRRiP3zYkkRthECHUPadqh7LTM=

三、Ubuntu下WireGuard安装

1、安装WireGuard

WireGuard官网已经给出了安装教程,大家可以作为参考,网址为:“https://www.wireguard.com/install/”。

add-apt-repository ppa:wireguard/wireguard
apt-get update
apt-get install wireguard-dkms wireguard-tools linux-headers-$(uname -r)

 

2、生成服务器端密钥

在安装成功后,在/etc目录下,就会创建wireguard文件夹。接下来进入到目录下,生成服务器端密钥。

cd /etc/wireguard/
umask 077
wg genkey | tee server_private_key | wg pubkey > server_public_key

 

生成完成后,就可以看到当前路径下有“server_private_key”及“server_public_key”2个文件。

3、创建服务器配置文件

在/etc/wireguard/下创建wg0.conf文件。

vi /etc/wireguard/wg0.conf

 

文件内容为:

[Interface]
Address = 10.200.200.1/24
SaveConfig = true
PrivateKey = 服务器的私钥(在服务器上生成的server_private_key文件)
ListenPort = 51820

[Peer]
PublicKey = 客户端的公钥(这个是上面客户端生成的公钥Public Key)
AllowedIPs = 10.200.200.2/32

 

刚刚建立的wg0.conf主要是为了wg0这个虚拟网卡的配置文件,其中,

[Interface]:服务器端配置开始标志

Address:为服务器本机IP地址

SaveConfig:为true时,有客户端连接时,保存状态信息,自动保存到wg0.conf文件

PrivateKey:为服务器的私钥

ListenPort:为服务器监听的端口号51820

[Peer]:客户端开始标志,(多个客户端,会有多个配置连接)

PublicKey:为客户端的公钥,这个需要客户端生成,客户端生成完成后,需要填写

AllowedIPs:允许客户端连接的地址

服务器配置文件完整截图如下:

4、允许IP转发

在服务器中,要加入IP转发,要不然会出现客户端不能上网,修改/etc/sysctl.conf文件。

vi /etc/sysctl.conf

 

将配置文件中“net.ipv4.ip_forward=1”前面的“#”号去掉。

修改完成后,保存后,重新启动服务器,或者直接用使用如下命令操作。

sysctl -p
echo 1 > /proc/sys/net/ipv4/ip_forward

 

5、修改防火墙规则

设置iptables列表的内容,需要配置接受的协议及端口号,数据转发也需要它的支持。

iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 51820 -m conntrack --ctstate NEW -j ACCEPT
iptables -A INPUT -s 10.200.200.0/24 -p tcp -m tcp --dport 53 -m conntrack --ctstate NEW -j ACCEPT
iptables -A INPUT -s 10.200.200.0/24 -p udp -m udp --dport 53 -m conntrack --ctstate NEW -j ACCEPT
iptables -A FORWARD -i wg0 -o wg0 -m conntrack --ctstate NEW -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.200.200.0/24 -o ens3 -j MASQUERADE

 

这里特别需要说明的是,最后一行中的“ens3”为服务器本地网卡的名称,这个需要根据你自己的网卡名称而定。配置完成后,将其保存起来。

apt-get install iptables-persistent
systemctl enable netfilter-persistent
systemctl start netfilter-persistent
netfilter-persistent save

 

6、DNS服务器配置

这一步可以配置,也可以不用配置,主要是因为使用公共DNS,存在泄漏IP地址的情况,所以我们自己建立DNS,让我们隐藏在VPS后面,从而加强我们的安全,下面的语句要逐条执行。

apt-get install unbound unbound-host
curl -o /var/lib/unbound/root.hints https://www.internic.net/domain/named.cache

 

接下来配置unbound。

vi /etc/unbound/unbound.conf.d/root-auto-trust-anchor-file.conf

 

将原有内容注释后,修改配置文件内容如下:

server:
num-threads: 4

#允许日志
verbosity: 1

#根服务器列表
root-hints: "/var/lib/unbound/root.hints"

#DNSSEC的根密钥文件
auto-trust-anchor-file: "/var/lib/unbound/root.key"

#允许查询任意网站的dns
interface: 0.0.0.0
max-udp-size: 3072

#仅允许本机和10.200.200.0/24段ip访问
access-control: 0.0.0.0/0 refuse
access-control: 127.0.0.1 allow
access-control: 10.200.200.0/24 allow

#不进入公共dns服务器列表
private-address: 10.200.200.0/24

#隐藏信息
hide-identity: yes
hide-version: yes

#强制DNSSEC
harden-glue: yes
harden-dnssec-stripped: yes
harden-referral-path: yes

#Add an unwanted reply threshold to clean the cache and avoid when possible a DNS Poisoning
unwanted-reply-threshold: 10000000

#验证地址,记录dns投毒事件(Have the validator print validation failures to the log.)
val-log-level: 1

#Minimum lifetime of cache entries in seconds
cache-min-ttl: 1800

#Maximum lifetime of cached entries
cache-max-ttl: 14400
prefetch: yes
prefetch-key: yes

 

配置完后,开启服务,并设置为开机自启动。

chown -R unbound:unbound /var/lib/unbound
systemctl enable unbound
systemctl start unbound

 

7、启动虚拟网卡

接下设置一下网卡的配置文件,以及开启网卡,并设置为服务,开机自启动。

chown -v root:root /etc/wireguard/wg0.conf
chmod -v 600 /etc/wireguard/wg0.conf
wg-quick up wg0
systemctl enable wg-quick@wg0.service

 

四、Windows7下客户端的配置

软件打开后界面如下:

接下来点击“File”菜单,选择“Edit Config File”项或界面中的“Edit Config”按钮,在弹出的配置文件,删除所有内容,修改如下:

[Interface]
Address = 10.200.200.2/32
PrivateKey = 客户端的私钥
DNS = 10.200.200.1

[Peer]
PublicKey = 服务器的公钥
Endpoint = 服务器的物理ip地址:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 21

 

接下来,说明一下配置文件各项的内容:

[Interface]:客户端配置开始部分

Address:客户端IP地址(也就是本机地址)

PrivateKey:客户端私钥(服务端生成的client_private_key文件)

DNS:服务器IP地址作为DNS

[Peer]:服务器端的配置信息

PublicKey:服务器的公钥(服务端生成的server_public_key文件)

Endpoint:服务器的IP地址及端口号

AllowedIPs:0.0.0.0/0为允许所有IP地址通讯,如果单个IP地址,可以写多个用逗号隔开,默认写客户端的IP地址

PersistentKeepalive:用来保持连接检查的,每过25s会自动检查连通性,如果IP有变化,也是通过这个自动更新endpoint

我们点击界面上的“Connect”即可以连接到服务器,如下图所示。

此时我们再测试一下是否可以正常访问Google,如下图所示。

特别说明一下,如果我们对服务器配置文件做修改,需要先关闭网卡后,再进行配置文件的修改,修改完成后,开启网卡,以下这两个命令主要是用来关闭或启动网卡的方法。

# 关闭虚拟网卡
wg-quick down wg0

# 启动虚拟网卡
wg-quick up wg0

 

附加说明,如果你还是连接不上,你可以把服务器重新启动一下。

 

转载请附上原文出处链接及本声明
李老师的博客 » WireGuard安装配置教程

14 评论

  1. 在创建密钥时,为什么会提示server_public_key: Permission denied

    1. 应该是你的系统本身权限的问题 sudo一下就行了。或者将文件夹权限修改一下。

  2. 谢谢您的指导

    请问这wg0这块虚拟网卡,实在wireguard安装完成后自动生成,还是需要手动创建?

    我没有去购买VPS,我是在VMware下模拟这个实验,VMware虚拟了一台部署Unbuntu的服务器,并在其上安装了wireguard,可是看不到wg0 这块虚拟网卡

  3. 不好意思,打扰您,对linux真的是一窍不懂,我是从事路由和交换行业的,就是对wireguard这个新型VPN软件好奇,所以研究下,我自己新建了wg0虚拟网卡,可是客户端在连接时,一直是连接不通,能看到ens3有数据转发,但是在wg0上看不到,不知道您能不能再指点下,对linux这个系统真是不懂。
    我重启了服务器,重启后wg0这个虚拟网卡直接就丢失了,我还得使用下面三条命令开启
    ip link add wg0 type wireguard
    ip addr add 10.200.200.1/24 dev wg0
    ip link set wg0 up

    1. 是不是iptable那的网卡名写错了。

    2. 如果有什么问题可以加我QQ:7753041(备注一下你来自这里)我可以帮你一下。

  4. 防火墙那怎么写,是不是我写错了,我是直接将您写好的iptable粘贴到vi /etc/wireguard/wg0.conf下,网卡名字我修改了,这iptable 是不是前面还要写 postup ?

  5. 关闭网卡后,在开启 :sudo wg-quick up wg0
    提示:wg-quick: `wg0′ already exists

  6. 请教一下遇到的问题。
    我都是按着你的配置来的,但是客户端连接的时候卡在握手上,好像服务端没有响应
    Retrying handshake, attempt 2…
    系统也重启了,UDP端口我也确认打开了,走的IP地址。系统环境和你的一样。
    你有什么思路吗?

    1. 内部IP可以与我的一样,但是你得有自己的服务才行的。

  7. 好吧,问题找到了,客户端的私钥填错了。文章中客户端配置文件里面的私钥后面括号里面的说明写的有误。

  8. 终于遇到了高手!网上教程为什么那么简单,俺折腾2台WIN7机子怎么都不行……用TunSafe申请它的配置文件,导入后不能连接,就一直Retrying handshake, attempt 3…非得俺自己挂个VPN才能,关闭VPN后,虽然说可以连接了,但是根本打不开任何网站……
    换wireguard吧,,网上教程“点击 Add Tunnel -> Add empty tunnel…..出现可编辑的界面,将脚本生成的客户端配置 /etc/wireguard/wg0_client 里的内容复制出来”??这个是哪来的?
    后来按照某教程,自己生成配置文件,自己拷贝进去,然后导入,连接服务器绿色了。但是,仍然不能上网!郁闷……

    1. 有问题可以加我QQ:7753041 可以帮你解决。

  9. +不上QQ啊大侠,一直没反应。。。你+我一蛤 1662046497?

发表评论

提供最优质的文章集合

立即查看 了解详情