IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 网络协议 -> 基于树莓派的WireGuard安装配置与使用 -> 正文阅读

[网络协议]基于树莓派的WireGuard安装配置与使用

基于树莓派的WireGuard安装配置与使用

关于WireGuard

简介

WireGuard 是新一代的虚拟专用网协议,相比于 IPSec 和 OpenVPN 等软件,特点是简单、安全、高效,源码总共不到四千行代码。由于过于优秀,已经被吸收进了 Linux 5.6+ 的内核中。

工作原理

WireGuard 以 UDP 实现,但是运行在第三层 —— IP 层。每个 Peer 都会生成一个 wg0 虚拟网卡,同时服务端会在物理网卡上监听 UDP 51820 端口。应用程序的包发送到内核以后,如果地址是虚拟专用网内部的,那么就会交给 wg0 设备,WireGuard 就会把这个 IP 包封装成 WireGuard 的包,然后在 UDP 中发送出去,对方的 Peer 的内核收到这个 UDP 包后再反向操作,解包成为 IP 包,然后交给对应的应用程序。

WireGuard 项目官方网站 https://www.wireguard.com/

在服务器端部署WireGuard(本例为基于Oracle Cloud的Ubuntu 20.04)

WireGuard 跨平台参照官方给出的快速安装指南

https://www.wireguard.com/install/

注:如果安装失败请尝试一下升级更新

sudo apt-get update
sudo apt-get upgrade
sudo apt-get install wireguard 


服务器端环境以Ubuntu系统为例

生成公钥、私钥

sudo mkdir -p /etc/wireguard && sudo chmod 0777 /etc/wireguard && cd /etc/wireguard
umask 077
wg genkey | tee privatekey | wg pubkey > publickey | wg genpsk > presharedkey

打印输出私钥

cat privatekey
+Cr59JzbCKz9rESqimHGi5C2QfIRYZ5xVMssiTAEqV4=

打印输出公钥

cat publickey
bco6xIgfp++iFBj6vmDr27tAXfgYsppn/wyUJRcFgUc=

编辑并保存 wg0 配置文件 wg0.conf

sudo vi wg0.conf

wg0.conf 配置文件内容如下:

Address = 10.200.200.1(可根据需要自行设定)

ListenPort = 监听端口 51820(根据自己需求设定)

PrivateKey = 服务器私钥

PublicKey = 连接节点公钥(由客户端生成)

AllowedIPs = VPN 隧道的内网 IP 段(必须与服务器自行设定的Address在同一网络段内)

[Interface]
Address = 10.200.200.1
ListenPort = 51820
PrivateKey = <服务端私钥>
?
[Peer]
PublicKey = <客户端公钥>
AllowedIPs = 10.200.200.2/32
 ?
#如有多个客户端,则只需要如上填写对应连接节点公钥与VPN隧道的内网IP段即可
[Peer]
……

设置服务器的 NAT 流量转发

sudo vi /etc/sysctl.conf

找到这一行 net.ipv4.ip_forward = 1去掉注释符“#”(如无对应选项,自行添加即可)

net.ipv4.ip_forward = 1

执行sysctl并生效

sudo sysctl -p

在服务器端添加虚拟网卡 wg0,设置隧道 IP 和 iptables 规则

#添加虚拟网卡
sudo ip link add dev wg0 type wireguard
//10.200.200.1为wg0.conf中服务器端自行设定的Address段,根据你的设定对应修改
sudo ip address add dev wg0 10.200.200.1/24
sudo ip link set wg0 up
sudo wg setconf wg0 /etc/wireguard/wg0.conf
//以上四条命令也可直接用'sudo wg-quick up wg0'代替执行
#设置IP和iptables规则
sudo iptables -A FORWARD -i wg0 -j ACCEPT
sudo iptables -A FORWARD -o wg0 -j ACCEPT
sudo iptables -t nat -A POSTROUTING -o wg0 -j MASQUERADE
//'eth0'为服务器本地网卡名称,可用'ifconfig'命令查看
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

注:iptables设置不完全仅包含以上指令,需执行'sudo iptables -L'查看当前防火墙状态,如有对应端口未打开或拒绝icmp报文访问等规则,需要自行打开或删除,否则wireguard将不能正常使用,现将本例使用的服务器防火墙INPUT和FORWARD链粘贴如下

ubuntu@instance-20210821-wg:/etc/wireguard$ sudo iptables -L -n  --line-number 
Chain INPUT (policy ACCEPT)
num  target ? ? prot opt source ? ? ? ? ? ? ? destination ? ? ? ? 
1 ?  ACCEPT ? ? icmp --  0.0.0.0/0 ? ? ? ? ?  0.0.0.0/0 ? ? ? ? ? 
2 ?  ACCEPT ? ? all  --  0.0.0.0/0 ? ? ? ? ?  0.0.0.0/0 ? ? ? ? ? 
3 ?  ACCEPT ? ? udp  --  0.0.0.0/0 ? ? ? ? ?  0.0.0.0/0 ? ? ? ? ?  udp spt:123
4 ?  ACCEPT ? ? tcp  --  0.0.0.0/0 ? ? ? ? ?  0.0.0.0/0 ? ? ? ? ?  state NEW tcp dpt:22
5 ?  ACCEPT ? ? udp  --  0.0.0.0/0 ? ? ? ? ?  0.0.0.0/0 ? ? ? ? ?  udp dpt:51820 ctstate NEW
?
Chain FORWARD (policy ACCEPT)
num  target ? ? prot opt source ? ? ? ? ? ? ? destination ? ? ? ? 
1 ?  ACCEPT ? ? all  --  0.0.0.0/0 ? ? ? ? ?  0.0.0.0/0 ? 

另:服务器使用的端口一般还需在后台打开;阿里云及腾讯云的国内服务器也可能会出现不能正常使用wireguard的情况

配置完毕后,可用以下指令保存防火墙设置

apt-get install iptables-persistent
systemctl enable netfilter-persistent
systemctl start netfilter-persistent
netfilter-persistent save

检查wg设置是否正常

sudo wg show

正常情况下应该输出以下内容

interface: wg0
 ?public key: <服务端公钥>
 ?private key: (hidden)
 ?listening port: 51820
?
peer: <客户端公钥>
 ?//此为连接节点的IP及端口,不一定与下述情况一致
 ?endpoint: 12.34.56.78:61353
 ?allowed ips: 10.200.200.2/32
 ?//客服端启动完毕后才会出现以下两条信息
 ?latest handshake: 0 days, 8 minutes, 19 seconds ago
 ?transfer: 0.60 GiB received, 0.93 GiB sent

服务器端设置完成

另:可执行以下命令,设置为开机自动启动

sudo systemctl enable wg-quick@wg0.service

在客户端部署WireGuard

生成公钥、私钥

sudo mkdir -p /etc/wireguard && sudo chmod 077 /etc/wireguard && cd /etc/wireguard
umask 077
wg genkey | tee privatekey | wg pubkey > publickey

打印输出私钥

cat privatekey
SHBjWA3uAYAZc+TUvr6PcTA5SVQnt+aSVkdlZhlg1Hk=

打印输出公钥

cat publickey
8+9jGlxuwyGUWtUk8/NZMAl1Ax577KAvnXJY0EeuNkQ=

wg0.conf 配置文件内容如下

ListenPort = 监听端口 51820

PrivateKey = 本地客户端私钥

PublicKey = 服务器端公钥(由服务器端生成)

AllowedIPs = VPN 隧道的内网 IP 段

Endpoint = 远程服务器的公网 IP(即ssh连接服务器时用的IP地址) 和端口

PersistentKeepalive = 连接心跳包的唤醒间隔(可不设置)

[Interface]
Address = 10.200.200.2/32
ListenPort = 51820
PrivateKey = <客户端私钥>
?
[Peer]
PublicKey = <服务端公钥>
AllowedIPs = 0.0.0.0/0
Endpoint = 150.136.105.97:51820
PersistentKeepalive = 25

在客户端,添加虚拟网卡 wg0

sudo ip link add dev wg0 type wireguard
//10.200.200.2为wg0.conf中客户端自行设定的Address段,根据你的设定对应修改
sudo ip address add dev wg0 10.200.200.2/32
sudo ip link set wg0 up
sudo wg setconf wg0 /etc/wireguard/wg0.conf
//以上命令也可由sudo wg-quick up wg0代替

设置 IP 和路由

这一部分根据各自路由情况的不同,执行的命令也有所不同,但是一般来说默认的路由表是可以直接使用的,不需要配置;如不能正常使用,则使用'ip route'+'add或del',自行更改至可使用的状态即可,以下粘贴出本例使用到的树莓派(IP为192.168.3.242)的路由情况

pi@raspberrypi:~ $ route -n
Kernel IP routing table
Destination ? ? Gateway ? ? ? ? Genmask ? ? ? ? Flags Metric Ref ?  Use Iface
0.0.0.0 ? ? ? ? 0.0.0.0 ? ? ? ? 0.0.0.0 ? ? ? ? U ? ? 0 ? ?  0 ? ? ?  0 wg0
150.136.105.97  192.168.3.1 ? ? 255.255.255.255 UGH ? 0 ? ?  0 ? ? ?  0 eth0
192.168.3.0 ? ? 0.0.0.0 ? ? ? ? 255.255.255.0 ? U ? ? 202 ?  0 ? ? ?  0 eth0

注:150.136.105.97为服务器的公网IP

客户端设置完成,Ping 测试 VPN 隧道

ping 10.200.200.1

ping输出如下

PING 10.200.200.1 (10.200.200.1) 56(84) bytes of data.
64 bytes from 10.200.200.1: icmp_seq=1 ttl=64 time=253 ms
64 bytes from 10.200.200.1: icmp_seq=2 ttl=64 time=253 ms
64 bytes from 10.200.200.1: icmp_seq=3 ttl=64 time=252 ms
^C
--- 10.200.200.1 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 5ms
rtt min/avg/max/mdev = 251.782/252.699/253.364/0.886 ms

说明 VPN 隧道已通

用 curl 命令测试隧道的流量转发状态

curl ifconfig.me

显示 IP 为服务器的公网 IP

150.136.105.97

curl 获取到了服务器的公网 IP,流量转发成功。


参考在 Ubuntu 部署 VPN 隧道 WireGuard — Steemit

有任何问题欢迎留言,本人看到后会第一时间帮忙解决,非常感谢观看,祝配置顺利。另外转载请注明出处,谢谢。

  网络协议 最新文章
使用Easyswoole 搭建简单的Websoket服务
常见的数据通信方式有哪些?
Openssl 1024bit RSA算法---公私钥获取和处
HTTPS协议的密钥交换流程
《小白WEB安全入门》03. 漏洞篇
HttpRunner4.x 安装与使用
2021-07-04
手写RPC学习笔记
K8S高可用版本部署
mySQL计算IP地址范围
上一篇文章      下一篇文章      查看所有文章
加:2021-08-23 17:02:36  更:2021-08-23 17:03:33 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/28 20:55:49-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计