WireGuard-kiszolgáló beállítása Linuxon (wg0, NAT, Peers)

Indítson el egy WireGuard-kiszolgálót, ha privát hozzáférést szeretne a tárolt infrastruktúrához anélkül, hogy az adminisztrátori portokat a nyilvános internetnek kitenne. A rendszer nyilvános kulcsú hitelesítést használ, a 5.6-os verziótól kezdve a Linux kernelben fut, és ha egyszer elindult, nem zavarja a rendszer működését. Ez a bejegyzés bemutatja, mikor érdemes WireGuard-kiszolgálót használni, hogyan kell elindítani wg0, valamint a peer-ek napi szintű működésének fenntartásáról.

Mikor érdemes WireGuard-kiszolgálót használni

A legtöbb konfigurációt három esetfogás fedi le: távoli hozzáférés, szerver-szerver kapcsolatok és helyszín-helyszín útválasztás.

Távoli hozzáférés esetén futtassa a szervert egy VPS-en vagy dedikált szerveren, és irányítsa az adminisztrátori forgalmat az alagúton keresztül. Állítsa be AllowedIPs minden peer-en a privát menedzsment alhálózatra (például 10.0.0.0/24), így csak a belső rendszerekhez tartozó forgalom használja az alagutat. Minden egyéb forgalom a felhasználó helyi kapcsolatán marad. Ha a felhasználók otthoni vagy mobil hálózatokról csatlakoznak, adja hozzá PersistentKeepalive = 25 a kliens oldalon, hogy a NAT-munkamenetek ne szakadjanak meg.

Szerver-szerver kapcsolatok esetén a AllowedIPs szűknek. Általában elegendő egy /32 vagy egy kis háttér-alhálózatot. Ezzel elkerülhető, hogy a csatornába nem kapcsolódó forgalom kerüljön, és az útválasztás kiszámítható marad.

A helyszín-helyszín közötti kapcsolat más. A WireGuard-gazdagép átjáróként működik az alhálózatok között, ezért engedélyezni kell az IP-továbbítást, és a NAT-szabályoknak a visszatérő forgalmat a megfelelő interfészen keresztül kell továbbítaniuk.

Szerverbeállítás

A szerver tárolja a titkos kulcsot, alapértelmezés szerint az UDP-n 51820 porton, és lezárja az alagutat. Ugyanez az alapbeállítás érvényes a fenti három mintára is.

Kulcsok és a wg0.conf fájl

A szerver kulcspárjának generálása:

wg genkey | sudo tee /etc/wireguard/server_private.key | wg pubkey | sudo tee /etc/wireguard/server_public.key

A titkos kulcs biztonságos tárolása:

sudo chmod 600 /etc/wireguard/server_private.key

A titkos kulcs a szerveren marad. A nyilvános kulcsot adja át a partnereknek.

Hozzon létre /etc/wireguard/wg0.conf:

[Interface]
Address = 10.8.0.1/24
ListenPort = 51820
PrivateKey = <SERVER_PRIVATE_KEY>
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o <PUBLIC_IFACE> -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o <PUBLIC_IFACE> -j MASQUERADE
 
[Peer]
PublicKey = <CLIENT_PUBLIC_KEY>
AllowedIPs = 10.8.0.2/32

Keresse meg azt a kimenő interfészt, amelybe be kell illeszteni <PUBLIC_IFACE> a következő beállításokkal:

ip -o -4 route show to default | awk '{print $5}'

Továbbítás, tűzfal és NAT

Nyisd meg a figyelő portot:

sudo ufw allow 51820/udp

Engedélyezze az IP-átirányítást az alábbi sor hozzáadásával a /etc/sysctl.conf:

net.ipv4.ip_forward = 1

Alkalmazás újraindítás nélkül:

sudo sysctl -p

A PostUp és PostDown sorokat a wg0.conf hozzáadják, illetve eltávolítják a NAT-maszkírozási szabályt, amikor az interfész feláll vagy leáll. Ezek nélkül a LAN-ból érkező visszatérő forgalom soha nem jut vissza a partnerhez.

Az alagút felállítása

wg-quick kezelés az interfészt, az útválasztást és a PostUp/PostDown hookok kezelését egyetlen parancsban:

sudo wg-quick up wg0

Az újraindítás utáni automatikus indításhoz engedélyezze a systemd egységet:

sudo systemctl enable --now wg-quick@wg0

Az állapot ellenőrzése a következő paranccsal:

sudo wg show

Egy friss latest handshake sor megerősíti, hogy az alagút működik. Ha elavultnak vagy üresnek tűnik, ellenőrizze a tűzfalat, a kulcsokat mindkét oldalon, valamint a partner AllowedIPs.

Peerek hozzáadása és eltávolítása

Minden partnernek saját kulcspárra van szüksége. Generálja azt az ügyfél oldalon, majd adja hozzá a partner nyilvános kulcsát wg0.conf egy új [Peer] blokkba egy AllowedIPs bejegyzéssel, amely hozzárendeli az alagút IP-címét.

Használja /32 egyetlen eszköz esetén:

AllowedIPs = 10.8.0.3/32

Ez megakadályozza, hogy az egyik peer a másiknak kiosztott címeket igényelje. Osztott alagútesés esetén csak azokat a magánhálózatokat sorolja fel, amelyeknek az alagúton keresztül kell haladniuk, például AllowedIPs = 10.8.0.0/24.

A konfigurációs változtatások alkalmazása az aktív munkamenetek megszakítása nélkül:

sudo wg syncconf wg0 <(wg-quick strip wg0)

A peer eltávolítása ugyanúgy történik. Törölje annak [Peer] blokkját a wg0.conf , majd futtassa syncconf parancsot újra.

Hibaelhárítás

Ha egy peer csatlakozik, de nem éri el a másik oldalon lévő eszközöket, ennek általában négy lehetséges oka lehet:

• Az IP-továbbítás ki van kapcsolva
• Hiányzik a NAT-masquerade szabály
• A NAT-szabályban szereplő kimenő interfész helytelen
• AllowedIPs nem tartalmazza a célállomást

Ellenőrizze az átirányítást:

cat /proc/sys/net/ipv4/ip_forward

A következő eredményt kell kapnia 1. Ha 0, akkor a sysctl módosítás nem lépett életbe, vagy nem lett elmentve.

Ellenőrizze a NAT-szabályt és a kimenő interfészt:

sudo iptables -t nat -L POSTROUTING
ip route get 1.1.1.1

A második parancs megmutatja a tényleges kimenő interfész nevét, például ens3, enp1s0, vagy eth0. Ennek meg kell egyeznie a MASQUERADE-szabályban szereplő interfésszel.

Ha maga a kézfogás hiányzik, ellenőrizze, hogy az UDP 51820 nyitva van-e a tűzfalon és az esetleges upstream szolgáltatónál, valamint hogy mindkét fél rendelkezik-e a másik félhez tartozó megfelelő nyilvános kulccsal.

Azoknál a partnereknél, akik otthoni vagy mobil NAT mögött vannak, amely leállítja az inaktív UDP-munkameneteket, állítsa be PersistentKeepalive = 25 a kliensen.

Kulcsváltás és előre megosztott kulcsok

A hónapokig fennálló alagutak esetében a kulcsokat körülbelül évente egyszer cserélje ki. Hozzon létre egy új kulcspárt, frissítse mindkét végét, és alkalmazza a wg syncconf. Ne használja újra ugyanazt a titkos kulcsot két peer között. Ez útválasztási konfliktusokat okoz, és megszakítja az adatátvitelt közöttük.

A nyilvános kulcsos hitelesítésre épülő további biztonsági rétegként adjon hozzá egy előre megosztott kulcsot minden partnerhez:

wg genpsk

Adja hozzá az eredményt PresharedKey = <PSK> a [Peer] blokkba mindkét oldalon. A WireGuard beépíti a PSK-t a kézfogásba, így egy támadó, aki valamilyen módon megszerez az egyik aszimmetrikus kulcsot, a PSK nélkül mégsem tudja visszafejteni a forgalmat.

Hasznos mindennapi parancsok:

Ha stabil, nyilvánosan elérhető hostra van szüksége a WireGuard-alagutak lezárásához és a magánforgalom infrastruktúrájába történő továbbításához, tekintse meg az FDC korlátlan forgalmú VPS-csomagjait.