Ρύθμιση διακομιστή WireGuard σε Linux (wg0, NAT, Peers)

Εκτελέστε έναν διακομιστή WireGuard όταν θέλετε ιδιωτική πρόσβαση σε φιλοξενούμενη υποδομή χωρίς να εκθέτετε τις θύρες διαχειριστή στο δημόσιο διαδίκτυο. Χρησιμοποιεί έλεγχο ταυτότητας δημόσιου κλειδιού, λειτουργεί εντός του πυρήνα Linux από την έκδοση 5.6 και δεν παρεμβαίνει στη λειτουργία του συστήματος μόλις τεθεί σε λειτουργία. Αυτή η ανάρτηση καλύπτει πότε να χρησιμοποιήσετε έναν διακομιστή WireGuard, πώς να τον θέσετε σε λειτουργία wg0και πώς να διατηρείτε τους ομότιμους σε λειτουργία καθημερινά.

Πότε να χρησιμοποιήσετε έναν διακομιστή WireGuard

Τρεις περιπτώσεις καλύπτουν τις περισσότερες ρυθμίσεις: απομακρυσμένη πρόσβαση, συνδέσεις διακομιστή-διακομιστή και δρομολόγηση από τοποθεσία σε τοποθεσία.

Για απομακρυσμένη πρόσβαση, εκτελέστε τον διακομιστή σε VPS ή αποκλειστικό διακομιστή και δρομολογήστε την κίνηση διαχειριστή μέσω της σήραγγας. Ρυθμίστε AllowedIPs σε κάθε κόμβο το ιδιωτικό υποδίκτυο διαχείρισης (κάτι σαν 10.0.0.0/24), ώστε μόνο η κίνηση για τα εσωτερικά συστήματα να χρησιμοποιεί τη σήραγγα. Όλα τα υπόλοιπα παραμένουν στην τοπική σύνδεση του χρήστη. Εάν οι χρήστες συνδέονται από οικιακά ή κινητά δίκτυα, προσθέστε PersistentKeepalive = 25 στην πλευρά του πελάτη για να αποτρέψετε τη διακοπή των συνεδριών NAT.

Για συνδέσεις διακομιστή-προς-διακομιστή, διατηρήστε το AllowedIPs στενό. Συνήθως αρκεί ένα μόνο /32 ή ένα μικρό υποδίκτυο backend. Αυτό αποτρέπει την εισροή άσχετης κίνησης στη σήραγγα και διατηρεί τη δρομολόγηση προβλέψιμη.

Η σύνδεση site-to-site είναι διαφορετική. Ο κεντρικός υπολογιστής του WireGuard λειτουργεί ως πύλη μεταξύ υποδικτύων, οπότε πρέπει να ενεργοποιηθεί η προώθηση IP και οι κανόνες NAT πρέπει να στέλνουν την επιστρεφόμενη κίνηση μέσω της σωστής διεπαφής.

Ρύθμιση διακομιστή

Ο διακομιστής διατηρεί το ιδιωτικό κλειδί, ακούει στο UDP 51820 και τερματίζει τη σήραγγα. Η ίδια βασική ρύθμιση ισχύει και για τα τρία παραπάνω μοντέλα.

Κλειδιά και wg0.conf

Δημιουργήστε το ζεύγος κλειδιών του διακομιστή:

wg genkey | sudo tee /etc/wireguard/server_private.key | wg pubkey | sudo tee /etc/wireguard/server_public.key

Ασφαλίστε το ιδιωτικό κλειδί:

sudo chmod 600 /etc/wireguard/server_private.key

Το ιδιωτικό κλειδί παραμένει στον διακομιστή. Το δημόσιο κλειδί είναι αυτό που δίνετε στους ομοτίμους.

Δημιουργήστε /etc/wireguard/wg0.conf:

[Interface]
Address = 10.8.0.1/24
ListenPort = 51820
PrivateKey = <SERVER_PRIVATE_KEY>
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o <PUBLIC_IFACE> -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o <PUBLIC_IFACE> -j MASQUERADE
 
[Peer]
PublicKey = <CLIENT_PUBLIC_KEY>
AllowedIPs = 10.8.0.2/32

Βρείτε τη διεπαφή εξερχόμενης κίνησης στην οποία θα το τοποθετήσετε <PUBLIC_IFACE> με:

ip -o -4 route show to default | awk '{print $5}'

Προώθηση, τείχος προστασίας και NAT

Ανοίξτε τη θύρα ακρόασης:

sudo ufw allow 51820/udp

Ενεργοποιήστε την προώθηση IP προσθέτοντας αυτή τη γραμμή στο /etc/sysctl.conf:

net.ipv4.ip_forward = 1

Εφαρμόστε χωρίς επανεκκίνηση:

sudo sysctl -p

Το PostUp και PostDown γραμμές στο wg0.conf προσθέτουν και αφαιρούν τον κανόνα NAT masquerade όταν η διεπαφή ενεργοποιείται ή απενεργοποιείται. Χωρίς αυτές, η επιστροφή της κυκλοφορίας από το LAN δεν φτάνει ποτέ πίσω στον ομότιμο.

Η ενεργοποίηση της σήραγγας

wg-quick διαχειρίζεται τη διεπαφή, τη δρομολόγηση και τα PostUp/PostDown hooks με μία μόνο εντολή:

sudo wg-quick up wg0

Για αυτόματη εκκίνηση μετά την επανεκκίνηση, ενεργοποιήστε τη μονάδα systemd:

sudo systemctl enable --now wg-quick@wg0

Ελέγξτε την κατάσταση με:

sudo wg show

Μια πρόσφατη latest handshake γραμμή επιβεβαιώνει ότι η σήραγγα λειτουργεί. Αν φαίνεται παλιά ή κενή, ελέγξτε το τείχος προστασίας, τα κλειδιά και στις δύο πλευρές, καθώς και τον ομότιμο AllowedIPs.

Προσθήκη και αφαίρεση ομότιμων κόμβων

Κάθε ομότιμος χρειάζεται το δικό του ζεύγος κλειδιών. Δημιουργήστε το στον πελάτη και, στη συνέχεια, προσθέστε το δημόσιο κλειδί του ομότιμου wg0.conf σε ένα νέο [Peer] μπλοκ με μια AllowedIPs καταχώριση που του εκχωρεί τη διεύθυνση IP της σήραγγας.

Χρησιμοποιήστε /32 για μία μόνο συσκευή:

AllowedIPs = 10.8.0.3/32

Αυτό εμποδίζει έναν ομότιμο να διεκδικήσει διευθύνσεις που έχουν εκχωρηθεί σε άλλον. Για πρόσβαση με διαχωρισμένη σήραγγα, αναγράψτε μόνο τα ιδιωτικά υποδίκτυα που πρέπει να περάσουν μέσω της σήραγγας, για παράδειγμα AllowedIPs = 10.8.0.0/24.

Εφαρμόστε τις αλλαγές στη διαμόρφωση χωρίς να διακόψετε τις ενεργές συνεδρίες:

sudo wg syncconf wg0 <(wg-quick strip wg0)

Η αφαίρεση ενός ομότιμου λειτουργεί με τον ίδιο τρόπο. Διαγράψτε το [Peer] μπλοκ από wg0.conf και εκτελέστε syncconf ξανά.

Αντιμετώπιση προβλημάτων

Εάν ένας ομότιμος συνδέεται αλλά δεν μπορεί να έχει πρόσβαση σε τίποτα από την άλλη πλευρά, η αιτία είναι συνήθως μία από τις τέσσερις παρακάτω:

• Η προώθηση IP είναι απενεργοποιημένη
• Λείπει ο κανόνας NAT masquerade
• Η διεπαφή εξερχόμενης κίνησης στον κανόνα NAT είναι λανθασμένη
• AllowedIPs δεν περιλαμβάνει τον προορισμό

Ελέγξτε την προώθηση:

cat /proc/sys/net/ipv4/ip_forward

Θα πρέπει να επιστρέψει 1. Εάν επιστρέψει 0, η αλλαγή στο sysctl δεν εφαρμόστηκε ή δεν αποθηκεύτηκε.

Ελέγξτε τον κανόνα NAT και τη διεπαφή εξερχόμενης κίνησης:

sudo iptables -t nat -L POSTROUTING
ip route get 1.1.1.1

Η δεύτερη εντολή εμφανίζει το πραγματικό όνομα της διεπαφής εξερχόμενης κυκλοφορίας, όπως ens3, enp1s0, ή eth0. Αυτό πρέπει να ταιριάζει με τη διεπαφή στον κανόνα MASQUERADE.

Εάν λείπει η ίδια η διαδικασία handshake, ελέγξτε ότι η θύρα UDP 51820 είναι ανοιχτό στο τείχος προστασίας και σε οποιονδήποτε πάροχο ανάντη, και ότι και οι δύο πλευρές διαθέτουν το σωστό δημόσιο κλειδί για την άλλη.

Για ομότιμους πίσω από οικιακό ή κινητό NAT που τερματίζει αδρανείς συνεδρίες UDP, ορίστε PersistentKeepalive = 25 στον πελάτη.

Εναλλαγή κλειδιών και προ-κοινόχρηστα κλειδιά

Για σήραγγες που παραμένουν ενεργές για μήνες, εναλλάξτε τα κλειδιά περίπου μία φορά το χρόνο. Δημιουργήστε ένα νέο ζεύγος κλειδιών, ενημερώστε και τα δύο άκρα και εφαρμόστε το με wg syncconf. Μην επαναχρησιμοποιείτε ένα ιδιωτικό κλειδί σε δύο ομότιμους κόμβους. Αυτό δημιουργεί συγκρούσεις δρομολόγησης και διακόπτει τη διαβίβαση μεταξύ τους.

Για ένα επιπλέον επίπεδο ασφάλειας πέρα από την πιστοποίηση δημόσιου κλειδιού, προσθέστε ένα προ-κοινόχρηστο κλειδί για κάθε ομότιμο:

wg genpsk

Προσθέστε το αποτέλεσμα ως PresharedKey = <PSK> στο [Peer] μπλοκ και στις δύο πλευρές. Το WireGuard ενσωματώνει το PSK στη διαδικασία χειραψίας, οπότε ένας εισβολέας που κατά κάποιον τρόπο παραβιάσει ένα από τα ασύμμετρα κλειδιά, εξακολουθεί να μην μπορεί να αποκρυπτογραφήσει την κίνηση χωρίς αυτό.

Χρήσιμες εντολές καθημερινής χρήσης:

Αν χρειάζεστε έναν σταθερό, δημόσια προσβάσιμο κεντρικό υπολογιστή για τον τερματισμό των σηράγγων WireGuard και τη δρομολόγηση της ιδιωτικής κυκλοφορίας στην υποδομή σας, ρίξτε μια ματιά στα πακέτα VPS χωρίς περιορισμούς της FDC.