Настройка Wireguard на своем сервере

В данной статье будет подробно описано, как настроить защищенный зашифрованный туннель Wireguard на своем сервере. Это может быть виртуальный или выделенный сервер - не имеет большого значения.

Эта инструкция по настройке Wireguard рассчитана на пользователей которые не имеют большого опыта, поэтому все шаги будут достаточно подробными и сопровождаются скриншотами.

Трафик, проходя по нашему тоннелю, будет шифроваться, и в интернете будет отображаться не адрес провайдера, через который мы выходим в сеть, а IP-адрес нашего сервера.

Предполагаю что у вас уже есть VPS. Если нет, то вы можете его заказать у нас.

На нашем сервере мы установим операционную систему Ubuntu 22.04. Если у вас имеется сервер с другой ОС, то вы можете легко переустановить ее по инструкции.

И так, у нас готов сервер с ОС Ubuntu 22.04, теперь подключаемся к нему по SSH. Если вдруг вы до этого не сталкивались с этим протоколом, то у нас есть статья в которой этот процесс подробно описан. Для ОС Linux второй пункт, для ОС Windows третий пункт в статье.

Настройка серверной части

После успешного подключения я напишу несколько команд и описание того что они производят для понимания процесса:

Обновляем список пакетов в репозиториях

apt update

Обновим сами пакеты

apt upgrade -y

Установим пакет wireguard

apt install -y wireguard

Наша конфигурация будет хранится в каталоге /etc/wireguard/ перейдем в каталог:

cd /etc/wireguard/

Нам потребуется открытый и закрытый ключ для нашего сервера. Сгенерируем их, предварительно выставив правильные права при создании файлов и каталогов командами:

umask 077 wg genkey > privatekey wg pubkey < privatekey > publickey

Выставим права на приватный ключ:

chmod 600 privatekey

Перед созданием конфигурационного файла нам потребуется наименование нашего сетевого интерфейса. Для того что бы его узнать используем команду:

ip a

Нас интересует интерфейс с IP-адресом, Который используется для текущего подключения. Вероятно, у вас он будет называться ens3, но может быть и другое название.

Также нам понадобятся открытый и закрытый ключи. Для их вывода я использую tail

tail privatekey publickey

Выглядит это так:

Для редактирования вы можете использовать любой текстовый редактор Linux. В примере мы будем использовать nano. Чтобы установить его нужно выполнить команду:

apt install -y nano

Редактируем конфигурационный файл:

nano /etc/wireguard/wg0.conf

Примечание:

что бы сохранить файл используем комбинацию клавиш ctrl+o

для выхода ctrl+x

Он должен выглядеть следующим образом:

[Interface] PrivateKey = [ ваш приватный ключ ] Address = 10.30.0.1/24 ListenPort = 51928 PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o [ имя интерфейса ] -j MASQUERADE PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o [ имя интерфейса ] -j MASQUERADE

В моем случае он выглядит вот так:

Включаем ip forwarding

echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf sysctl -p

Запускаем wireguard службу:

systemctl start [email protected]

Если возникла ошибка, скорее всего формата: iptables: command not found , то просто устанавливаем недостающий компонент и заново запускаем службу:

apt install iptables

Если мы хотим чтобы служба запускалась после перезагрузки сервера то выполняем:

systemctl enable [email protected]

Для того чтобы посмотреть состояние службы:

systemctl status [email protected]

Статус должен быть active как на скриншоте:

Если Вы внимательно следовали нашей инструкции, то на данном этапе, у Вас создано все необходимое для того, чтобы серверная часть Wireguard работала.

Настройка Wireguard-клиента

Осталось настроить клиентскую часть Wireguard. Для примера и простоты я сгенерирую ключи для клиентской части так же на сервере. Но в целях безопасности было бы правильнее генерировать ключи на стороне клиента.

Использую команды для генерации:

wg genkey > mypc_privatekey wg pubkey < mypc_privatekey > mypc_publickey

Также сгенерирую ключи чтобы использовать VPN и на телефоне:

wg genkey > myphone_privatekey wg pubkey < myphone_privatekey > myphone_publickey

Следует заметить что все это требуется производить находясь в каталоге /etc/wireguard/

Можно выполнять и в другом каталоге. Но для простоты инструкции выполняем в /etc/wireguard/

Командой ls выводим список файлов в каталоге. У меня получилось вот так:

Выведем открытые ключи на экран. Они понадобятся нам для того, чтобы добавить узлы в нашу сеть:

tail mypc_publickey myphone_publickey

У меня это выглядит так:

Отредактируем наш конфигурационный файл:

nano wg0.conf

Добавим строки:

[Peer] PublicKey = [ mypc_publickey ] AllowedIPs = 10.30.0.2/32 [Peer] PublicKey = [ myphone_publickey ] AllowedIPs = 10.30.0.3/32

Теперь конфиг файл выглядит следующим образом:

Сохраним файл и перезапустим нашу службу:

systemctl restart wg-quick@wg0

Проверим что все прошло успешно:

systemctl status wg-quick@wg0

Статус должен быть active

Перезагрузку службы требуется делать каждый раз после редактирования файла конфигурации сервера (wg0.conf)

Далее создадим конфигурации для клиентов (в моем случае мой пк и телефон). Я сделаю это также на сервере.

nano mypc.conf

[Interface] PrivateKey = [ приватный ключ mypc_privatekey ] Address = 10.30.0.2/32 DNS = 8.8.8.8 [Peer] PublicKey = [ публичный ключ сервера publickey ] Endpoint =[ ip адрес сервера ]:51928 AllowedIPs = 0.0.0.0/0 PersistentKeepalive = 20

В поле Endpoint можно увидеть IP- адрес сервера - это IP-адрес, по которому мы подключались по SSH. Чтобы увидеть интерфейсы и адреса можно использовать команду ip a

Настройка Wireguard для телефона

Аналогичную конфигурацию создаем для нашего телефона. Только требуется изменить адрес. Для ПК был 10.30.0.2/32, а в конфигурации для телефона сделаем 10.30.0.3/32. Так же если захотим использовать зашифрованный туннель на других устройствах то при создании конфигураций следует добавлять другие адреса в поле Address в конфигурационных файлах и файле конфигурации сервера wg0.conf поле AllowedIPs.

У меня файлы выглядят вот так:

mypc.conf

myphone.conf

Для подключения устанавливаем клиент Wireguard https://www.wireguard.com/install/

В приложении на Windows добавляем новый тоннель и вписываем конфигурацию которую создали в файле mypc.conf

Запускаем туннель и переходим в браузер на сайт который отображает наш адрес

Чтобы удобно добавить VPN на телефон, на сервере установим программу для генерации qr кодов:

apt install -y qrencode

Находясь в каталоге с конфигурацией выполним:

qrencode -t ansiutf8 -r myphone.conf

Перейдем в приложение Wireguard на телефоне, нажмем + для создания нового тоннеля, выберем сканировать QR-код, отсканируем его, включим защищенный туннель. Далее проверим с помощью любого ресурса, отображающего выходной IP-адрес, что у нас отображается адрес нашего сервера.

Готово! Настройка Wireguard выполнена!