WireGuard是一种现代VPN虚拟私有网络技术,它利用最新的加密技术。 与其他流行的VPN解决方案,例如IPsec和OpenVPN相比,WireGuard更快,更易于配置并且占用空间更小。 它是跨平台的,几乎可以在任何操作系统运行,包括Linux,Windows,Android和macOS。

Wireguard是对等VPN,它不使用C/S客户端/服务器模型。 根据配置,对等方可以充当传统的服务器或客户端。 它充当隧道,在每个对等设备上创建虚拟网络接口(即网卡)来工作。 对等方通过交换和验证公钥,类似于使用SSH模模式来相互认证。 公钥与隧道中允许的IP地址列表进行映射。 VPN流量封装在UDP中。

在本教程中,所有"接口"都表示为网卡,网卡是中国术语,接口是通用的名词。

在教程中,我们将说明如何在CentOS 8上配置部署WireGuard VPN。 我们还将向您展示如何配置WireGuard客户端。包括安装WireGuard在CentOS 8,配置WireGuard生成私钥和公钥,配置wireguard接口wg0,启用Wireguard接口,配置iptables/FirewallD防火墙,配置Linux和macOS/Windows客户端。

此设置可用于防御中间人攻击,匿名浏览网络,绕过受地域限制的内容或允许在家工作的同事安全地连接到公司网络。

先决条件

要遵循本指南,您需要一台具有sudo访问权限的CentOS 8服务器。我们将首先在CentOS计算机上安装WireGuard,然后将其设置为服务器。 我们还将配置该系统以通过它路由客户端的流量。

安装WireGuard

WireGuard工具和内核模块可从Epel和Elrepo存储库使用dnf命令或者yum命令安装。 要将Epel和Elrepo存储库添加到您的系统,请运行以下命令:

sudo dnf install epel-release elrepo-release

完成后,安装WireGuard软件包:

sudo dnf install kmod-wireguard wireguard-tools

系统可能会要求您导入存储库GPG密钥。 出现提示时,键入y

配置WireGuard

wgwg-quick命令行工具可帮助您配置和管理WireGuard接口,WireGuard接口是虚拟网卡。WireGuard VPN网络中的每个设备都需要具有私钥和公钥。我们可以使用wiregurad的工具wg genkeywg pubkey/etc/wireguard/目录中生成私钥/etc/wireguard/privatekey和公钥/etc/wireguard/publickey

以下命令将使用wg genkeywg pubkeytee命令以及管道同时生成私钥和公钥在/etc/wireguard/中:

wg genkey | sudo tee /etc/wireguard/privatekey | wg pubkey | sudo tee /etc/wireguard/publickey

您可以使用cat命令less命令查看私钥和公钥文件的内容。请不要把私钥与任何人共享,并且应始终保证私钥的安全。Wireguard还支持预共享密钥,这增加了对称密钥加密的附加层。 预共享密钥是可选的,并且对于每个对等设备都必须是唯一的。

下一步是配置流量路由的虚拟接口。可以使用ip命令wg命令配置接口,使用你喜欢的文本编辑器创建配置文件/etc/wireguard/wg0.conf,在本教程中我们将使用vim创建文件

sudo vim /etc/wireguard/wg0.conf

复制黏贴以下内容到/etc/wireguard/wg0.conf文件中,然后保存并退出vim编辑器

[Interface]
Address = 10.0.0.1/24
SaveConfig = true
ListenPort = 51820
PrivateKey = SERVER_PRIVATE_KEY
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o ens3 -j MASQUERADE
/etc/wireguard/wg0.conf

接口的命名可以为任何名称,但是建议使用诸如wg0wgvpn0之类的名称。可以让我们能快速分清是物理接口还是虚拟接口即可。

这里说明一下/etc/wireguard/wg0.conf配置文件定义接口的每个字段含义。Address-wg0接口的IP v4或IP v6的地址的地址。请使用保留给私有网络范围内的IP地址,比如10.0.0.0/8、172.16.0.0/12或192.168.0.0/16。

ListenPort-是接口监听的端口。PrivateKey-由wg genkey命令生成的私钥。 你可以使用sudo cat /etc/wireguard/privatekey命令要查看文件的内容。

SaveConfig-设置为true时,关闭接口时将当前配置将保存到配置文件中。PostUp-在启动接口之前执行的命令或脚本。在此示例中,我们使用iptables启用伪装。这允许流量离开服务器,使VPN客户端可以访问互联网。

请记得使用您可访问网络的接口名称替换-A POSTROUTING后面的ens3。您可以通过以下方式轻松找到可访问网络的接口:

ip -o -4 route show to default | awk '{print $5}'

PostDown-在关闭接口之前执行的命令或脚本。一旦接口关闭,iptables规则将被删除。

为了保证私钥的安全,请将wg0.confprivatekey文件对普通用户不可读。可使用chmod命令设置权限600

sudo chmod 600 /etc/wireguard/{privatekey,wg0.conf}

启用Wireguard接口

完成以上步骤后,我们可以通过wg-quick启动wireguard服务器。这在wireguard中就是将接口状态设置开启,以下命令将启用wg0接口:

sudo wg-quick up wg0

该命令将产生类似于以下内容的输出:

[#] ip link add wg0 type wireguard
[#] wg setconf wg0 /dev/fd/63
[#] ip -4 address add 10.0.0.1/24 dev wg0
[#] ip link set mtu 1420 up dev wg0
[#] iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE

要检查接口状态和配置,请使用wg show命令:

sudo wg show wg0

该命令将产生类似于以下内容的输出:

interface: wg0
  public key: r3imyh3MCYggaZACmkx+CxlD6uAmICI8pe/PGq8+qCg=
  private key: (hidden)
  listening port: 51820

因为wg0是一个虚拟网卡,因此您也可以运行ip a show wg0来验证wg0接口状态:

ip a show wg0

该命令将产生类似于以下内容的输出:

4: wg0: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000
    link/none 
    inet 10.0.0.1/24 scope global wg0
       valid_lft forever preferred_lft forever

wireguard作为内核模块运行,默认情况wireguard会自动启动,但接口wg0虚拟网卡不会自动启动。但你可以通过Systemd进行设置为自动启动。要在启动时启用WireGuard的wg0接口。请运行以下命令:

sudo systemctl enable [email protected]

配置防火墙

在之前的步骤中我们在启动wg0接口postup前配置了一条iptables的NAT路由。为使NAT路由可正常工作,必须启用IP转发。 使用你喜欢的编辑器打开文件/etc/sysctl.conf。在本教程中我们将使用vim打开文件

sudo vim /etc/sysctl.conf

然后添加或取消注释以下行:

net.ipv4.ip_forward=1
/etc/sysctl.conf

退出vim并保存文件。修改完成后,使用sysctl命令启用新的内核属性配置:

sudo sysctl -p

输出将如下所示:

net.ipv4.ip_forward = 1

如果您正在使用Firewalld管理防火墙,则需要允许端口51820上的UDP流量。由于CentOS在Firewalld防火墙中默认使用的是public区域zone,因此我们默认更改public区域。

如你不知道Firewalld防火墙的默认区域zone,你可查看我们的教程如何配置和管理防火墙在CentOS 8。以下firewall-cmd命令将在Firewalld的public区域zone打开端口51820,协议是udp

sudo firewall-cmd --zone=public --add-port=51820/udp

至此,你已部署并配置wireguard CentOS服务器的对等方。

配置Linux和macOS客户端

你可在wireguard官网上找到所有受支持的平台安装说明。 在Linux系统上,您可以使用Apt/Yum软件包管理器来安装软件wireguard,macOS用户可以使用brew安装wireguard。安装完成后,请按照以下步骤配置客户端设备。

设置Linux和macOS客户端的过程几乎与服务器相同,这是因为两端之间是对等。 首先使用wiregurad的工具wg genkeywg pubkey生成公钥和私钥并保存在/etc/wireguard/目录中:

wg genkey | sudo tee /etc/wireguard/privatekey | wg pubkey | sudo tee /etc/wireguard/publickey

使用vim编辑器创建文件/etc/wireguard/wg0.conf

sudo vim /etc/wireguard/wg0.conf

添加以下内容:

[Interface]
PrivateKey = CLIENT_PRIVATE_KEY #客户端生成的私钥
Address = 10.0.0.2/24


[Peer]
PublicKey = SERVER_PUBLIC_KEY  #服务器端生成的公钥
Endpoint = SERVER_IP_ADDRESS:51820
AllowedIPs = 0.0.0.0/0
/etc/wireguard/wg0.conf

Interface

接口某些字段的设置与服务器接口字段相同。Address-wg0接口的IPv4或IP v6地址。PrivateKey-你可以使用cat命令查看客户端计算机上的私有密钥文件的内容。

sudo cat /etc/wireguard/privatekey

Peer

PublicKey-您要连接的对等方的公钥。 服务器端的/etc/wireguard/publickey文件内容。

Endpoint-您要连接的对等方的IP或主机名,后跟冒号,然后是远程对等方监听的端口号,默认是51820。

AllowedIPs-是使用逗号分隔的IPv4或IP v6地址列表,如果数据包与IP列表匹配,这些数据包将走wireguard通道。 我们使用0.0.0.0/0表示将所有流量都转发到wireguard服务器端。如果您需要配置其他客户端,只需重复相同的步骤即可。

配置Windows客户端

WireGuard网站下载并安装Windows msi软件包。安装后,打开WireGuard应用程序,然后单击添加隧道。将自动创建公钥与私钥,并将其显示在屏幕上。输入接口的名称,该接口的名称,可以使用你喜欢的任何名称。并按如下方式编辑配置:

[Interface]
PrivateKey = CLIENT_PRIVATE_KEY #客户端生成的私钥
Address = 10.0.0.2/24


[Peer]
PublicKey = SERVER_PUBLIC_KEY  #服务器端生成的公钥
Endpoint = SERVER_IP_ADDRESS:51820
AllowedIPs = 0.0.0.0/0

Interface

在接口部分,PrivateKey是你在该计算机生成的私钥。Address必须要与服务器端wg0 接口部分定义Address在同一网段中。

Peer

在对等部分中,PublicKey是CentOS服务器的公钥即/etc/wireguard/publickey文件的内容。可以使用cat查看该文件的内容:

sudo cat /etc/wireguard/publickey

Endpoint是CentOS服务器的IP地址,后跟冒号和WireGuard端口51820。AllowedIP-0.0.0.0/0表示允许所有IP地址。完成后,单击保存按钮。

将客户端添加到服务器

最后一步是将客户端的公钥和IP地址添加到服务器。 为此,请在CentOS服务器上运行以下wg命令:

sudo wg set wg0 peer CLIENT_PUBLIC_KEY allowed-ips 10.0.0.2

请使用在客户端计算机上生成的公钥替换CLIENT_PUBLIC_KEY,可以通过sudo cat /etc/wireguard/publickey命令查看客户端的公钥。 Windows用户可以从WireGuard应用程序复制公钥。完成后,返回客户端计算机并打开wireguard接口。

Linux/macOS客户端

Linux和macOS客户端运行以下命令以打开客户端wg0接口:

sudo wg-quick up wg0

现在,您应该已连接到CentOS服务器,并且来自客户端计算机的流量应通过该服务器进行路由。 您可以使用以下方法检查连接:

sudo wg
interface: wg0
  public key: gFeK6A16ncnT1FG6fJhOCMPMeY4hZa97cZCNWis7cSo=
  private key: (hidden)
  listening port: 53527
  fwmark: 0xca6c

peer: r3imyh3MCYggaZACmkx+CxlD6uAmICI8pe/PGq8+qCg=
  endpoint: XXX.XXX.XXX.XXX:51820
  allowed ips: 0.0.0.0/0
  latest handshake: 53 seconds ago
  transfer: 3.23 KiB received, 3.50 KiB sent

您也可以打开浏览器,键入what is my ip,然后您应该会看到您的CentOS服务器IP地址。要停止wiregurad,请关闭wg0接口:

sudo wg-quick down wg0

Windows客户端

如果您在Windows上安装了WireGuard,请单击激活按钮。 连接到对等方后,隧道状态将更改为活动

结论

我们已向您展示了如何在CentOS 8计算机上安装WireGuard并将其配置为VPN服务器。 通过此设置,您可以通过保持交通数据不公开来匿名浏览网络。如果您遇到任何问题,请随时发表评论。