WireGuard je open-source, rychlá, na bezpečnost zaměřená virtuální privátní síťová aplikace, kterou lze použít k vytvoření bezpečných dvoubodových spojení ve směrovaných konfiguracích. Je to jednoduché, rychlejší než OpenVPN a k ochraně dat používá osvědčené kryptografické protokoly a algoritmy. Lze jej nainstalovat do mnoha operačních systémů včetně Windows, MacOS, BSD, iOS, Linux a Android. WireGuard je peer-to-peer VPN a nepoužívá model klient-server. Klientům VPN přiděluje statické IP adresy a ověřování uživatelů se provádí výměnou veřejných klíčů.
V tomto tutoriálu vám ukážeme, jak nastavit WireGuard VPN na CentOS 8.
Předpoklady
- Dvě nové CentOS 8 VPS na cloudové platformě Atlantic.net
- Heslo uživatele root nakonfigurované na vašem serveru
Krok 1 – Vytvořte cloudový server Atlantic.Net
Nejprve se přihlaste ke svému cloudovému serveru Atlantic.Net. Vytvořte nový server a jako operační systém vyberte CentOS 8 s alespoň 1 GB RAM. Připojte se ke svému cloudovému serveru přes SSH a přihlaste se pomocí přihlašovacích údajů zvýrazněných v horní části stránky.
Jakmile se přihlásíte k serveru CentOS 8, spusťte následující příkaz a aktualizujte svůj základní systém nejnovějšími dostupnými balíčky.
aktualizace dnf -y
Krok 2 – Povolte přesměrování IP
Než začnete, budete muset ve svém systému povolit předávání IP. Můžete to povolit vytvořením nového souboru /etc/sysctl.d/99-custom.conf:
nano /etc/sysctl.d/99-custom.conf
Přidejte následující řádek:
net.ipv4.ip_forward=1
Uložte a zavřete soubor a poté spusťte následující příkaz pro použití změn:
sysctl -p /etc/sysctl.d/99-custom.conf
Krok 3 – Instalace Wireguard
Nejprve budete muset do svého systému nainstalovat úložiště Epel a Elrepo. Můžete je nainstalovat pomocí následujícího příkazu:
dnf install epel-release elrepo-release -y
Po instalaci nainstalujte WireGuard spuštěním následujícího příkazu:
dnf install kmod-wireguard wireguard-tools -y
Po dokončení instalace restartujte systém, aby se načetl modul jádra.
Krok 4 – Konfigurace WireGuard
Nejprve budete muset vygenerovat veřejný a soukromý klíč v adresáři /etc/wireguard. Spusťte následující příkaz a vygenerujte je:
wg genkey | tee /etc/wireguard/privatekey | wg pubkey | tee /etc/wireguard/publickey
Vygenerovaný klíč byste měli vidět v následujícím výstupu:
Nnid+rqJBnsZ+SN68dILbmxMreKyFTlSjBI8bh4sbzU=
Můžete je také vypsat pomocí následujícího příkazu:
ls /etc/wireguard/
Měli byste vidět následující výstup:
privatekey publickey
Dále budete muset nakonfigurovat tunelové zařízení, které bude směrovat provoz VPN. Můžete to udělat vytvořením nového konfiguračního souboru s názvem wp0.conf:
nano /etc/wireguard/wg0.conf
Přidejte následující řádky:
[Rozhraní]
Adresa =10.0.0.1/24
SaveConfig =true
ListenPort =51820
PrivateKey =Nnid+rqJBnsZ+SN68dILbmxMreKyFTlSjBI8bh4sbzU=
PostUp =firewall-cmd --zone=public --add-port 51820/udp &&firewall-cmd --zone=public --add-masquerade
PostDown =firewall-cmd --zone=public --remove-port 51820/udp &&firewall-cmd --zone=public --remove-masquerade
Po dokončení uložte a zavřete soubor.
Zde jsou relevantní definice pro výše uvedené řádky:
- Adresa :Zadejte soukromou IP adresu serveru VPN.
- ListenPort :Určete naslouchací port WireGuard.
- Soukromý klíč :Zadejte soukromý klíč serveru VPN, který lze nalézt v /etc/wireguard/privatekey.
- PostUp :Určete všechny akce, které se mají provést při vyvolání rozhraní WireGuard.
- PostDown :Určete všechny akce, které se mají provést v době vypnutí rozhraní WireGuard.
Dále vyvolejte rozhraní WireGuard pomocí příkazu wg-quick:
wg-quick up wg0
Měli byste získat následující výstup:
[#] ip link add wg0 type wireguard
[#] wg setconf wg0 /dev/fd/63
[#] přidání adresy IP -4 10.0.0.1/24 dev wg0
[#] ip link set mtu 1420 up dev wg0
[#] firewall-cmd --zone=public --add-port 51820/udp &&firewall-cmd --zone=public --add-masquerade
úspěch
Nyní můžete zkontrolovat stav rozhraní wg0 pomocí následujícího příkazu:
wg show wg0
Měli byste vidět následující výstup:
rozhraní:wg0 veřejný klíč:6hxSg1eZR9n4oPYckJbzXcNbVwcjF5vNsSzUREsoBEY=privátní klíč:(skrytý) naslouchací port:51820ip a show wg05:wg0:dis020404 m204 linka LOWER_02 LOWTU10 Rozsah 10.0.0.1/24 global wg0 valid_lft navždy preferovaný_lft navždy
Dále povolte rozhraní wg0, aby se spustilo při restartu systému pomocí následujícího příkazu:
systemctl enable [email protected]
Krok 5 – Instalace a konfigurace klienta Wireguard VPN Client
Nejprve nainstalujte úložiště Epel a Elrepo na klientský počítač pomocí následujícího příkazu:
dnf install epel-release elrepo-release -y
Po instalaci nainstalujte WireGuard spuštěním následujícího příkazu:
dnf install kmod-wireguard wireguard-tools
Po dokončení instalace restartujte systém, aby se načetl modul jádra.
Dále vygenerujte veřejný a soukromý klíč pomocí následujícího příkazu:
wg genkey | tee /etc/wireguard/privatekey | wg pubkey | tee /etc/wireguard/publickey
Měli byste získat následující výstup:
NvzqF7ilT01OD3uTAmNME1rHFnCcTdGSXo+f8tkRElQ=
Dále vytvořte nový konfigurační soubor wg0.conf pomocí následujícího příkazu:
nano /etc/wireguard/wg0.conf
Přidejte následující řádky:
[Interface]PrivateKey =NvzqF7ilT01OD3uTAmNME1rHFnCcTdGSXo+f8tkRElQ=Adresa =10.0.0.2/24[Peer]Veřejný klíč =Nnid+rqJBnsZ+SN68dILb2low=SN68dILbm1Enh-points.0 =yourbILbm1EndxMre.Po dokončení uložte a zavřete soubor.
Zde jsou relevantní definice pro výše uvedené řádky:
- Soukromý klíč :Zadejte soukromý klíč klienta.
- Adresa :Zadejte soukromou IP adresu pro rozhraní wg0.
- PublicKey :Zadejte veřejný klíč serveru.
- Koncový bod :Zadejte IP adresu serveru.
- Povolené adresy IP :Zadejte povolené adresy IP.
Krok 6 – Přidejte klienta Peer na server
Dále budete muset přidat veřejný klíč a IP adresu klienta WireGuard na váš server WireGuard VPN.
Na počítači serveru spusťte následující příkaz pro přidání veřejného klíče klienta a adresy IP na server:
wg set wg0 peer NvzqF7ilT01OD3uTAmNME1rHFnCcTdGSXo+f8tkRElQ=povoleno-ips 10.0.0.2
Veřejný klíč klienta naleznete v /etc/wireguard/publickey na klientském počítači.
Na klientském počítači vyvolejte rozhraní wg0 pomocí následujícího příkazu:
wg-quick up wg0
Měli byste vidět následující výstup:
[#] ip link add wg0 type wireguard
[#] wg setconf wg0 /dev/fd/63
[#] přidání adresy IP -4 10.0.0.2/24 dev wg0
[#] ip link set mtu 1420 up dev wg0
Na serveru můžete zkontrolovat stav serveru WireGuard pomocí následujícího příkazu:
wg
Měli byste získat následující výstup:
Závěr
Gratulujeme, úspěšně jste nastavili WireGuard VPN server na CentOS 8 a vytvořili VPN tunel mezi dvěma stroji CentOS 8. Nyní můžete surfovat po webu anonymně a uchovávat své údaje o provozu v soukromí. Začněte ještě dnes s virtuálním soukromým serverem od Atlantic.Net!