WireGuard-serveri seadistamine Linuxis (wg0, NAT, Peers)

Käivita WireGuard-server, kui soovid privaatset juurdepääsu majutatud infrastruktuurile, ilma et avalikustaksid administraatoriporte avalikule internetile. See kasutab avalik-võtme autentimist, töötab Linuxi tuumas alates versioonist 5.6 ja ei sega tööd, kui on kord käivitatud. Käesolev postitus käsitleb, millal WireGuard-serverit kasutada, kuidas seda käivitada wg0ja kuidas tagada peeride igapäevane toimimine.

Millal kasutada WireGuard-serverit

Enamikku seadistusi hõlmavad kolm mudelit: kaugjuurdepääs, server-server-ühendused ja asukoht-asukoht-marsruutimine.

Kaugjuurdepääsu puhul käivita server VPS-il või pühendatud serveril ja suuna administraatori liiklus tunneli kaudu. Määra AllowedIPs iga peer’i puhul privaatse haldusvõrgu alamvõrgu (nt 10.0.0.0/24), et tunnelit kasutaks ainult sisemiste süsteemide liiklus. Kõik muu jääb kasutaja kohalikule ühendusele. Kui kasutajad ühenduvad kodust või mobiilsidevõrgust, lisage PersistentKeepalive = 25 kliendi poolel, et vältida NAT-seansside katkestamist.

Server-server-ühenduste puhul hoidke AllowedIPs kitsas. Tavaliselt piisab ühest /32 või väikest tagapõhja alamvõrku. See hoiab ära asjassepuutumatu liikluse tunnelisse sattumise ja tagab marsruutimise ettearvatavuse.

Saidi-vahelised ühendused on teistsugused. WireGuard-host toimib alamvõrkude vahelise väravana, seega peab IP-edastus olema lubatud ja NAT-reeglid peavad saatma tagasiliikluse õige liidese kaudu välja.

Serveri seadistamine

Server hoiab privaatset võtit, kuulab vaikimisi UDP-d 51820 ja lõpetab tunneli. Sama põhiseadistus sobib kõigi kolme eespool nimetatud mudeli puhul.

Võtmed ja wg0.conf

Genereerige serveri võtmepaar:

wg genkey | sudo tee /etc/wireguard/server_private.key | wg pubkey | sudo tee /etc/wireguard/server_public.key

Hoidke privaatvõtit turvaliselt:

sudo chmod 600 /etc/wireguard/server_private.key

Privaatvõti jääb serverisse. Avalik võti on see, mille annate teistele osapooltele.

Looge /etc/wireguard/wg0.conf:

[Interface]
Address = 10.8.0.1/24
ListenPort = 51820
PrivateKey = <SERVER_PRIVATE_KEY>
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o <PUBLIC_IFACE> -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o <PUBLIC_IFACE> -j MASQUERADE
 
[Peer]
PublicKey = <CLIENT_PUBLIC_KEY>
AllowedIPs = 10.8.0.2/32

Leia väljaminev liides, kuhu see lisada <PUBLIC_IFACE> järgmiste seadistustega:

ip -o -4 route show to default | awk '{print $5}'

Edastamine, tulemüür ja NAT

Avage kuulamisport:

sudo ufw allow 51820/udp

Luba IP-edastus, lisades selle rea faili /etc/sysctl.conf:

net.ipv4.ip_forward = 1

Rakenda ilma taaskäivitamiseta:

sudo sysctl -p

See PostUp ja PostDown read wg0.conf lisavad ja eemaldavad NAT-maskeerimisreegli, kui liides aktiveeritakse või deaktiveeritakse. Ilma nendeta ei jõua LAN-ist tulev tagasiliiklus kunagi tagasi partnerini.

Tunneli käivitamine

wg-quick haldab liidest, marsruutimist ja PostUp/PostDown hooke ühe käsuga:

sudo wg-quick up wg0

Automaatseks käivitamiseks pärast taaskäivitamist aktiveerige systemd-üksus:

sudo systemctl enable --now wg-quick@wg0

Kontrollige seisundit järgmiselt:

sudo wg show

Hiljutine latest handshake rida kinnitab, et tunnel töötab. Kui see näib aegunud või tühi, kontrollige tulemüüri, mõlema poole võtmeid ja partneri AllowedIPs.

Peeride lisamine ja eemaldamine

Iga peer vajab oma võtmepaari. Genereerige see kliendil, seejärel lisage peeri avalik võti wg0.conf uude [Peer] plokki koos AllowedIPs kandega, mis määrab talle tunneli IP-aadressi.

Kasutage /32 ühe seadme puhul järgmist:

AllowedIPs = 10.8.0.3/32

See takistab ühel peeril teise peerile määratud aadresse endale võtmast. Jagatud tunneli juurdepääsu puhul loetlege ainult need privaatsed alamvõrgud, mis peaksid läbima tunneli, näiteks AllowedIPs = 10.8.0.0/24.

Kohalda konfiguratsiooni muudatusi ilma aktiivseid seansse katkestamata:

sudo wg syncconf wg0 <(wg-quick strip wg0)

Peeri eemaldamine toimib samamoodi. Kustutage selle [Peer] plokk wg0.conf ja käivita syncconf uuesti.

Vigade kõrvaldamine

Kui võrgukaaslane ühendub, kuid ei pääse teisel pool asuvale miski juurde, on põhjuseks tavaliselt üks neljast asjaolust:

• IP-edastus on välja lülitatud
• NAT-maskeerimisreegel puudub
• NAT-reeglis on väljaminev liides vale
• AllowedIPs ei sisalda sihtkohta

Kontrollige edastamist:

cat /proc/sys/net/ipv4/ip_forward

Peaks tagastama 1. Kui tulemuseks on 0, siis sysctl-muudatus ei rakendunud või seda ei salvestatud.

Kontrollige NAT-reeglit ja väljaminevat liidest:

sudo iptables -t nat -L POSTROUTING
ip route get 1.1.1.1

Teine käsk näitab tegelikku väljamineva liidese nime, näiteks ens3, enp1s0või eth0. See peab vastama MASQUERADE-reeglis määratud liidesele.

Kui käepigistus ise puudub, kontrollige, et UDP 51820 on avatud tulemüüris ja kõigi ülesvoolu teenusepakkujate juures ning et mõlemal poolel on teise poole jaoks õige avalik võti.

Peeride puhul, kes asuvad koduse või mobiilse NAT-i taga, mis katkestab tegevuseta UDP-seansid, seadistage PersistentKeepalive = 25 kliendil.

Võtmete vahetamine ja eelnevalt jagatud võtmed

Tunnelite puhul, mis püsivad kuude kaupa, vahetage võtmeid umbes kord aastas. Genereerige uus võtmepaar, uuendage mõlemat otsa ja rakendage seda käsuga wg syncconf. Ärge kasutage sama privaatvõtit kahe võrgupartneri vahel. See tekitab marsruutimiskonflikte ja katkestab andmeedastuse nende vahel.

Avaliku võtme autentimise lisakaitseks lisage iga peer’i jaoks eelnevalt jagatud võti:

wg genpsk

Lisage tulemus järgmiselt PresharedKey = <PSK> mõlema poole [Peer] plokki mõlemal poolel. WireGuard segab eeljaotatud võtme (PSK) käepigistusse, nii et ründaja, kes suudab mingil viisil ühe asümmeetrilise võtme kätte saada, ei suuda selle puudumisel liiklust ikkagi dešifreerida.

Kasulikud igapäevased käsud:

Kui vajate stabiilset, avalikult kättesaadavat hosti WireGuard-tunnelite lõpetamiseks ja privaatse liikluse suunamiseks oma infrastruktuuri, tutvuge FDC piiramatu andmemahtuga VPS-pakettidega.