基于树莓派的WireGuard安装配置与使用
关于WireGuard
简介
WireGuard 是新一代的虚拟专用网协议,相比于 IPSec 和 OpenVPN 等软件,特点是简单、安全、高效,源码总共不到四千行代码。由于过于优秀,已经被吸收进了 Linux 5.6+ 的内核中。
工作原理
WireGuard 以 UDP 实现,但是运行在第三层 —— IP 层。每个 Peer 都会生成一个 wg0 虚拟网卡,同时服务端会在物理网卡上监听 UDP 51820 端口。应用程序的包发送到内核以后,如果地址是虚拟专用网内部的,那么就会交给 wg0 设备,WireGuard 就会把这个 IP 包封装成 WireGuard 的包,然后在 UDP 中发送出去,对方的 Peer 的内核收到这个 UDP 包后再反向操作,解包成为 IP 包,然后交给对应的应用程序。
WireGuard 项目官方网站 https://www.wireguard.com/
在服务器端部署WireGuard(本例为基于Oracle Cloud的Ubuntu 20.04)
WireGuard 跨平台参照官方给出的快速安装指南
https://www.wireguard.com/install/
注:如果安装失败请尝试一下升级更新
sudo apt-get update
sudo apt-get upgrade
sudo apt-get install wireguard
服务器端环境以Ubuntu系统为例
生成公钥、私钥
sudo mkdir -p /etc/wireguard && sudo chmod 0777 /etc/wireguard && cd /etc/wireguard
umask 077
wg genkey | tee privatekey | wg pubkey > publickey | wg genpsk > presharedkey
打印输出私钥
cat privatekey
+Cr59JzbCKz9rESqimHGi5C2QfIRYZ5xVMssiTAEqV4=
打印输出公钥
cat publickey
bco6xIgfp++iFBj6vmDr27tAXfgYsppn/wyUJRcFgUc=
编辑并保存 wg0 配置文件 wg0.conf
sudo vi wg0.conf
wg0.conf 配置文件内容如下:
Address = 10.200.200.1(可根据需要自行设定)
ListenPort = 监听端口 51820(根据自己需求设定)
PrivateKey = 服务器私钥
PublicKey = 连接节点公钥(由客户端生成)
AllowedIPs = VPN 隧道的内网 IP 段(必须与服务器自行设定的Address在同一网络段内)
[Interface]
Address = 10.200.200.1
ListenPort = 51820
PrivateKey = <服务端私钥>
?
[Peer]
PublicKey = <客户端公钥>
AllowedIPs = 10.200.200.2/32
?
#如有多个客户端,则只需要如上填写对应连接节点公钥与VPN隧道的内网IP段即可
[Peer]
……
设置服务器的 NAT 流量转发
sudo vi /etc/sysctl.conf
找到这一行 net.ipv4.ip_forward = 1去掉注释符“#”(如无对应选项,自行添加即可)
net.ipv4.ip_forward = 1
执行sysctl并生效
sudo sysctl -p
在服务器端添加虚拟网卡 wg0,设置隧道 IP 和 iptables 规则
#添加虚拟网卡
sudo ip link add dev wg0 type wireguard
//10.200.200.1为wg0.conf中服务器端自行设定的Address段,根据你的设定对应修改
sudo ip address add dev wg0 10.200.200.1/24
sudo ip link set wg0 up
sudo wg setconf wg0 /etc/wireguard/wg0.conf
//以上四条命令也可直接用'sudo wg-quick up wg0'代替执行
#设置IP和iptables规则
sudo iptables -A FORWARD -i wg0 -j ACCEPT
sudo iptables -A FORWARD -o wg0 -j ACCEPT
sudo iptables -t nat -A POSTROUTING -o wg0 -j MASQUERADE
//'eth0'为服务器本地网卡名称,可用'ifconfig'命令查看
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
注:iptables设置不完全仅包含以上指令,需执行'sudo iptables -L'查看当前防火墙状态,如有对应端口未打开或拒绝icmp报文访问等规则,需要自行打开或删除,否则wireguard将不能正常使用,现将本例使用的服务器防火墙INPUT和FORWARD链粘贴如下
ubuntu@instance-20210821-wg:/etc/wireguard$ sudo iptables -L -n --line-number
Chain INPUT (policy ACCEPT)
num target ? ? prot opt source ? ? ? ? ? ? ? destination ? ? ? ?
1 ? ACCEPT ? ? icmp -- 0.0.0.0/0 ? ? ? ? ? 0.0.0.0/0 ? ? ? ? ?
2 ? ACCEPT ? ? all -- 0.0.0.0/0 ? ? ? ? ? 0.0.0.0/0 ? ? ? ? ?
3 ? ACCEPT ? ? udp -- 0.0.0.0/0 ? ? ? ? ? 0.0.0.0/0 ? ? ? ? ? udp spt:123
4 ? ACCEPT ? ? tcp -- 0.0.0.0/0 ? ? ? ? ? 0.0.0.0/0 ? ? ? ? ? state NEW tcp dpt:22
5 ? ACCEPT ? ? udp -- 0.0.0.0/0 ? ? ? ? ? 0.0.0.0/0 ? ? ? ? ? udp dpt:51820 ctstate NEW
?
Chain FORWARD (policy ACCEPT)
num target ? ? prot opt source ? ? ? ? ? ? ? destination ? ? ? ?
1 ? ACCEPT ? ? all -- 0.0.0.0/0 ? ? ? ? ? 0.0.0.0/0 ?
另:服务器使用的端口一般还需在后台打开;阿里云及腾讯云的国内服务器也可能会出现不能正常使用wireguard的情况
配置完毕后,可用以下指令保存防火墙设置
apt-get install iptables-persistent
systemctl enable netfilter-persistent
systemctl start netfilter-persistent
netfilter-persistent save
检查wg设置是否正常
sudo wg show
正常情况下应该输出以下内容
interface: wg0
?public key: <服务端公钥>
?private key: (hidden)
?listening port: 51820
?
peer: <客户端公钥>
?//此为连接节点的IP及端口,不一定与下述情况一致
?endpoint: 12.34.56.78:61353
?allowed ips: 10.200.200.2/32
?//客服端启动完毕后才会出现以下两条信息
?latest handshake: 0 days, 8 minutes, 19 seconds ago
?transfer: 0.60 GiB received, 0.93 GiB sent
服务器端设置完成
另:可执行以下命令,设置为开机自动启动
sudo systemctl enable wg-quick@wg0.service
在客户端部署WireGuard
生成公钥、私钥
sudo mkdir -p /etc/wireguard && sudo chmod 077 /etc/wireguard && cd /etc/wireguard
umask 077
wg genkey | tee privatekey | wg pubkey > publickey
打印输出私钥
cat privatekey
SHBjWA3uAYAZc+TUvr6PcTA5SVQnt+aSVkdlZhlg1Hk=
打印输出公钥
cat publickey
8+9jGlxuwyGUWtUk8/NZMAl1Ax577KAvnXJY0EeuNkQ=
wg0.conf 配置文件内容如下
ListenPort = 监听端口 51820
PrivateKey = 本地客户端私钥
PublicKey = 服务器端公钥(由服务器端生成)
AllowedIPs = VPN 隧道的内网 IP 段
Endpoint = 远程服务器的公网 IP(即ssh连接服务器时用的IP地址) 和端口
PersistentKeepalive = 连接心跳包的唤醒间隔(可不设置)
[Interface]
Address = 10.200.200.2/32
ListenPort = 51820
PrivateKey = <客户端私钥>
?
[Peer]
PublicKey = <服务端公钥>
AllowedIPs = 0.0.0.0/0
Endpoint = 150.136.105.97:51820
PersistentKeepalive = 25
在客户端,添加虚拟网卡 wg0
sudo ip link add dev wg0 type wireguard
//10.200.200.2为wg0.conf中客户端自行设定的Address段,根据你的设定对应修改
sudo ip address add dev wg0 10.200.200.2/32
sudo ip link set wg0 up
sudo wg setconf wg0 /etc/wireguard/wg0.conf
//以上命令也可由sudo wg-quick up wg0代替
设置 IP 和路由
这一部分根据各自路由情况的不同,执行的命令也有所不同,但是一般来说默认的路由表是可以直接使用的,不需要配置;如不能正常使用,则使用'ip route'+'add或del',自行更改至可使用的状态即可,以下粘贴出本例使用到的树莓派(IP为192.168.3.242)的路由情况
pi@raspberrypi:~ $ route -n
Kernel IP routing table
Destination ? ? Gateway ? ? ? ? Genmask ? ? ? ? Flags Metric Ref ? Use Iface
0.0.0.0 ? ? ? ? 0.0.0.0 ? ? ? ? 0.0.0.0 ? ? ? ? U ? ? 0 ? ? 0 ? ? ? 0 wg0
150.136.105.97 192.168.3.1 ? ? 255.255.255.255 UGH ? 0 ? ? 0 ? ? ? 0 eth0
192.168.3.0 ? ? 0.0.0.0 ? ? ? ? 255.255.255.0 ? U ? ? 202 ? 0 ? ? ? 0 eth0
注:150.136.105.97为服务器的公网IP
客户端设置完成,Ping 测试 VPN 隧道
ping 10.200.200.1
ping输出如下
PING 10.200.200.1 (10.200.200.1) 56(84) bytes of data.
64 bytes from 10.200.200.1: icmp_seq=1 ttl=64 time=253 ms
64 bytes from 10.200.200.1: icmp_seq=2 ttl=64 time=253 ms
64 bytes from 10.200.200.1: icmp_seq=3 ttl=64 time=252 ms
^C
--- 10.200.200.1 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 5ms
rtt min/avg/max/mdev = 251.782/252.699/253.364/0.886 ms
说明 VPN 隧道已通
用 curl 命令测试隧道的流量转发状态
curl ifconfig.me
显示 IP 为服务器的公网 IP
150.136.105.97
curl 获取到了服务器的公网 IP,流量转发成功。
参考在 Ubuntu 部署 VPN 隧道 WireGuard — Steemit
有任何问题欢迎留言,本人看到后会第一时间帮忙解决,非常感谢观看,祝配置顺利。另外转载请注明出处,谢谢。
|