Configurarea serverului WireGuard pe Linux (wg0, NAT, Peers)

Rulați un server WireGuard atunci când doriți acces privat la infrastructura găzduită, fără a expune porturile de administrare către internetul public. Acesta utilizează autentificarea cu cheie publică, rulează în interiorul kernel-ului Linux începând cu versiunea 5.6 și nu interferează cu activitatea sistemului odată ce este pornit. Acest articol prezintă când să utilizați un server WireGuard, cum să îl porniți wg0și cum să mențineți funcționarea zilnică a nodurilor.

Când se utilizează un server WireGuard

Cele mai multe configurații se încadrează în trei tipuri: acces la distanță, legături între servere și rutare între site-uri.

Pentru accesul la distanță, rulați serverul pe un VPS sau pe un server dedicat și direcționați traficul de administrare prin tunel. Configurați AllowedIPs pe fiecare nod de conectare la subrețeaua privată de administrare (ceva de genul 10.0.0.0/24) astfel încât doar traficul destinat sistemelor interne să utilizeze tunelul. Tot restul traficului rămâne pe conexiunea locală a utilizatorului. Dacă utilizatorii se conectează de acasă sau prin rețele mobile, adăugați PersistentKeepalive = 25 pe partea clientului pentru a împiedica întreruperea sesiunilor NAT.

Pentru legăturile de la server la server, mențineți AllowedIPs îngust. De obicei, o singură /32 sau o subrețea de backend mică. Astfel se evită atragerea traficului neasociat în tunel și se menține rutarea previzibilă.

Sit-la-sit este diferit. Gazda WireGuard acționează ca o poartă între subrețele, așa că redirecționarea IP trebuie activată, iar regulile NAT trebuie să trimită traficul de retur prin interfața corectă.

Configurarea serverului

Serverul deține cheia privată, ascultă pe UDP 51820 și închide tunelul. Aceeași configurare de bază funcționează pentru toate cele trei tipuri de configurare de mai sus.

Cheile și wg0.conf

Generați perechea de chei pentru server:

wg genkey | sudo tee /etc/wireguard/server_private.key | wg pubkey | sudo tee /etc/wireguard/server_public.key

Păstrați cheia privată în siguranță:

sudo chmod 600 /etc/wireguard/server_private.key

Cheia privată rămâne pe server. Cheia publică este cea pe care o transmiteți partenerilor.

Creați /etc/wireguard/wg0.conf:

[Interface]
Address = 10.8.0.1/24
ListenPort = 51820
PrivateKey = <SERVER_PRIVATE_KEY>
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o <PUBLIC_IFACE> -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o <PUBLIC_IFACE> -j MASQUERADE
 
[Peer]
PublicKey = <CLIENT_PUBLIC_KEY>
AllowedIPs = 10.8.0.2/32

Găsiți interfața de ieșire în care să o plasați <PUBLIC_IFACE> :

ip -o -4 route show to default | awk '{print $5}'

Redirecționare, firewall și NAT

Deschideți portul de ascultare:

sudo ufw allow 51820/udp

Activați redirecționarea IP adăugând această linie la /etc/sysctl.conf:

net.ipv4.ip_forward = 1

Aplicați fără a reporni:

sudo sysctl -p

The PostUp și PostDown liniile din wg0.conf adaugă și elimină regula de mascare NAT atunci când interfața este activată sau dezactivată. Fără ele, traficul de retur din LAN nu ajunge niciodată înapoi la omolog.

Activarea tunelului

wg-quick gestionează interfața, rutarea și PostUp/PostDown hook-uri într-o singură comandă:

sudo wg-quick up wg0

Pentru pornirea automată după repornire, activați unitatea systemd:

sudo systemctl enable --now wg-quick@wg0

Verificați starea cu:

sudo wg show

O linie recentă latest handshake linia confirmă că tunelul funcționează. Dacă pare învechită sau goală, verificați firewall-ul, cheile de pe ambele părți și AllowedIPs.

Adăugarea și eliminarea partenerilor

Fiecare partener are nevoie de propria pereche de chei. Generați-o pe client, apoi adăugați cheia publică a partenerului wg0.conf într-un nou [Peer] bloc cu o AllowedIPs intrare care îi atribuie adresa IP a tunelului.

Utilizați /32 pentru un singur dispozitiv:

AllowedIPs = 10.8.0.3/32

Astfel se împiedică un nod să revendice adresele alocate altui nod. Pentru accesul cu tunel parțial, enumerați doar subrețelele private care trebuie să treacă prin tunel, de exemplu AllowedIPs = 10.8.0.0/24.

Aplicați modificările de configurare fără a întrerupe sesiunile active:

sudo wg syncconf wg0 <(wg-quick strip wg0)

Eliminarea unui peer se face în același mod. Ștergeți [Peer] bloc din wg0.conf și rulați syncconf din nou.

Depanare

Dacă un utilizator se conectează, dar nu poate accesa nimic de cealaltă parte, cauza este, de obicei, una dintre următoarele patru:

• Redirecționarea IP este dezactivată
• Lipsește regula de mascare NAT
• Interfața de ieșire din regula NAT este greșită
• AllowedIPs nu include destinația

Verificați redirecționarea:

cat /proc/sys/net/ipv4/ip_forward

Ar trebui să returneze 1. Dacă returnează 0, modificarea sysctl nu s-a aplicat sau nu a fost salvată.

Verificați regula NAT și interfața de ieșire:

sudo iptables -t nat -L POSTROUTING
ip route get 1.1.1.1

A doua comandă afișează numele real al interfeței de ieșire, cum ar fi ens3, enp1s0, sau eth0. Aceasta trebuie să corespundă cu interfața din regula MASQUERADE.

Dacă lipsește chiar handshake-ul, verificați dacă UDP 51820 este deschis la nivelul firewall-ului și la orice furnizor din amonte și că ambele părți dispun de cheia publică corespunzătoare pentru cealaltă parte.

Pentru peerii aflați în spatele unui NAT rezidențial sau mobil care întrerupe sesiunile UDP inactive, setați PersistentKeepalive = 25 pe client.

Rotirea cheilor și cheile pre-partajate

Pentru tunelurile care rămân active luni de zile, rotiți cheile o dată pe an sau cam așa. Generați o nouă pereche de chei, actualizați ambele capete și aplicați cu wg syncconf. Nu reutilizați o cheie privată între doi parteneri. Acest lucru creează conflicte de rutare și întrerupe livrarea între aceștia.

Pentru un strat suplimentar deasupra autentificării cu cheie publică, adăugați o cheie pre-partajată pentru fiecare nod:

wg genpsk

Adăugați rezultatul ca PresharedKey = <PSK> în [Peer] bloc de ambele părți. WireGuard integrează PSK-ul în procesul de handshake, astfel încât un atacator care compromite cumva una dintre cheile asimetrice tot nu va putea decripta traficul fără aceasta.

Comenzi utile în utilizarea de zi cu zi:

Dacă aveți nevoie de un host stabil și accesibil publicului pentru a termina tunelurile WireGuard și a redirecționa traficul privat către infrastructura dvs., aruncați o privire la planurile VPS nelimitate ale FDC.