WireGuard ist eine moderne VPN-Technologie (Virtual Private Network) mit modernster Kryptografie. Im Vergleich zu anderen ähnlichen Lösungen wie IPsec und OpenVPN ist WireGuard schneller, einfacher zu konfigurieren und leistungsfähiger. Es ist plattformübergreifend und kann fast überall ausgeführt werden, einschließlich Linux, Windows, Android und macOS. Wireguard ist ein Peer-to-Peer-VPN; es verwendet nicht das Client-Server-Modell. Abhängig von seiner Konfiguration kann ein Peer als traditioneller Server oder Client fungieren.
WireGuard funktioniert, indem es auf jedem Peer-Gerät eine Netzwerkschnittstelle erstellt, die als Tunnel fungiert. Peers authentifizieren sich gegenseitig, indem sie öffentliche Schlüssel austauschen und validieren und das SSH-Modell nachahmen. Öffentliche Schlüssel werden einer Liste von IP-Adressen zugeordnet, die im Tunnel zugelassen sind. Der VPN-Datenverkehr wird in UDP gekapselt.
In diesem Tutorial richten wir WireGuard auf einem Ubuntu 18.04-Rechner ein, der als VPN-Server fungiert. Wir zeigen Ihnen auch, wie Sie WireGuard als Client konfigurieren. Der Datenverkehr des Clients wird über den Ubuntu 18.04-Server geleitet.
Diese Einrichtung kann als Schutz vor Man-in-the-Middle-Angriffen, anonymem Surfen im Internet, Umgehung geografisch eingeschränkter Inhalte oder als Möglichkeit für Ihre Mitarbeiter verwendet werden, sich bei der Remote-Arbeit sicher mit dem Unternehmensnetzwerk zu verbinden.
Voraussetzungen #
Sie benötigen einen Ubuntu 18.04-Server, auf den Sie als Root oder Konto mit sudo-Berechtigungen zugreifen können.
Einrichten des WireGuard-Servers #
In diesem Abschnitt installieren wir WireGuard auf dem Ubuntu-Rechner und richten ihn so ein, dass er als Server fungiert. Wir werden das System auch so konfigurieren, dass es den Datenverkehr der Clients durchleitet.
Installieren von WireGuard auf Ubuntu 18.04 #
WireGuard ist in den Standard-Ubuntu-Repositories enthalten. Um es zu installieren, führen Sie die folgenden Befehle aus:
sudo apt update
sudo apt install wireguard
WireGuard läuft als Kernel-Modul, das als DKMS-Modul kompiliert wird. Bei Erfolg sehen Sie die folgende Ausgabe:
wireguard:
Running module version sanity check.
- Original module
- No original module exists within this kernel
- Installation
- Installing to /lib/modules/4.15.0-88-generic/updates/dkms/
depmod...
DKMS: install completed.
Wenn Sie den Kernel aktualisieren, wird das WireGuard-Modul gegen den neuen Kernel kompiliert.
WireGuard konfigurieren #
WireGuard wird mit zwei Befehlszeilentools namens wg
ausgeliefert und wg-quick
mit denen Sie die WireGuard-Schnittstellen konfigurieren und verwalten können.
Führen Sie den folgenden Befehl aus, um die öffentlichen und privaten Schlüssel zu generieren:
wg genkey | sudo tee /etc/wireguard/privatekey | wg pubkey | sudo tee /etc/wireguard/publickey
Die Dateien werden im Verzeichnis /etc/wireguard
generiert Verzeichnis. Sie können die Dateien mit cat
anzeigen oder less
. Der private Schlüssel sollte niemals an Dritte weitergegeben werden.
Nachdem die Schlüssel generiert wurden, müssen wir das Tunnelgerät konfigurieren, das den VPN-Datenverkehr weiterleitet.
Das Gerät kann entweder über die Kommandozeile mit ip
eingerichtet werden und wg
oder indem Sie die Konfigurationsdatei mit einem Texteditor erstellen.
Erstellen Sie eine neue Datei namens wg0.conf
und fügen Sie den folgenden Inhalt hinzu:
sudo nano /etc/wireguard/wg0.conf
/etc/wireguard/wg0.conf[Interface]
Address = 10.0.0.1/24
SaveConfig = true
ListenPort = 51820
PrivateKey = SERVER_PRIVATE_KEY
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o ens3 -j MASQUERADE
Die Schnittstelle kann beliebig benannt werden, es wird jedoch empfohlen, etwas wie wg0
zu verwenden oder wgvpn0
. Die Einstellungen im Interface-Bereich haben folgende Bedeutung:
-
Adresse – eine durch Kommas getrennte Liste von v4- oder v6-IP-Adressen für
wg0
Schnittstelle. Verwenden Sie IPs aus einem Bereich, der für private Netzwerke reserviert ist (10.0.0.0/8, 172.16.0.0/12 oder 192.168.0.0/16). -
ListenPort - der Port, auf dem WireGuard eingehende Verbindungen akzeptiert.
-
PrivateKey - ein privater Schlüssel, der von
wg genkey
generiert wird Befehl. (Um den Inhalt der Datei anzuzeigen, führen Sie Folgendes aus:sudo cat /etc/wireguard/privatekey
) -
SaveConfig - wenn auf true gesetzt, wird der aktuelle Zustand der Schnittstelle beim Herunterfahren in der Konfigurationsdatei gespeichert.
-
PostUp - Befehl oder Skript, das ausgeführt wird, bevor die Schnittstelle aufgerufen wird. In diesem Beispiel verwenden wir iptables, um Masquerading zu aktivieren. Dadurch kann der Datenverkehr den Server verlassen und den VPN-Clients Zugriff auf das Internet geben.
Achten Sie darauf,
ens3
zu ersetzen nach-A POSTROUTING
um mit dem Namen Ihrer öffentlichen Netzwerkschnittstelle übereinzustimmen. Sie können die Schnittstelle leicht finden, indem Sie den folgenden Befehl ausführen:ip -o -4 route show to default | awk '{print $5}'
-
PostDown - Befehl oder Skript, das ausgeführt wird, bevor die Schnittstelle heruntergefahren wird. Die iptables-Regeln werden entfernt, sobald die Schnittstelle heruntergefahren ist.
Die wg0.conf
und privatekey
Dateien sollten für normale Benutzer nicht lesbar sein. Verwenden Sie chmod
um die Berechtigungen auf 600
zu setzen :
sudo chmod 600 /etc/wireguard/{privatekey,wg0.conf}
Wenn Sie fertig sind, bringen Sie wg0
mit Schnittstelle unter Verwendung der in der Konfigurationsdatei angegebenen Attribute:
sudo wg-quick up wg0
Der Befehl erzeugt eine Ausgabe ähnlich der folgenden:
[#] ip link add wg0 type wireguard
[#] wg setconf wg0 /dev/fd/63
[#] ip -4 address add 10.0.0.1/24 dev wg0
[#] ip link set mtu 1420 up dev wg0
[#] iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE
Führen Sie wg show wg0
aus um den Status und die Konfiguration der Schnittstelle zu überprüfen:
sudo wg show wg0
interface: wg0
public key: r3imyh3MCYggaZACmkx+CxlD6uAmICI8pe/PGq8+qCg=
private key: (hidden)
listening port: 51820
Sie können auch ip a show wg0
ausführen um den Schnittstellenstatus zu überprüfen:
ip a show wg0
4: wg0: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000
link/none
inet 10.0.0.1/24 scope global wg0
valid_lft forever preferred_lft forever
Führen Sie den folgenden Befehl aus, um die WireGuard-Schnittstelle beim Booten anzuzeigen:
sudo systemctl enable wg-quick@wg0
Server-Netzwerk- und Firewall-Konfiguration #
Damit NAT funktioniert, müssen wir die IP-Weiterleitung aktivieren. Öffnen Sie die /etc/sysctl.conf
Datei und fügen Sie die folgende Zeile hinzu oder kommentieren Sie sie aus:
sudo nano /etc/sysctl.conf
/etc/sysctl.confnet.ipv4.ip_forward=1
Speichern Sie die Datei und wenden Sie die Änderung an:
sudo sysctl -p
net.ipv4.ip_forward = 1
Wenn Sie UFW verwenden, um Ihre Firewall zu verwalten, müssen Sie UDP-Datenverkehr auf Port 51820
öffnen :
sudo ufw allow 51820/udp
Das ist es. Der Ubuntu-Peer, der als Server fungiert, wurde eingerichtet.
Linux- und macOS-Client-Setup #
Die Installationsanweisungen für alle unterstützten Plattformen sind unter https://wireguard.com/install/ verfügbar. Auf Linux-Systemen können Sie das Paket mit dem Paketmanager der Distribution und auf macOS mit brew
installieren . Führen Sie nach der Installation von WireGuard die folgenden Schritte aus, um das Client-Gerät zu konfigurieren.
Der Prozess zum Einrichten eines Linux- und MacOS-Clients ist ziemlich gleich wie beim Server. Beginnen Sie mit der Generierung der öffentlichen und privaten Schlüssel:
wg genkey | sudo tee /etc/wireguard/privatekey | wg pubkey | sudo tee /etc/wireguard/publickey
Erstellen Sie die Datei wg0.conf
und fügen Sie den folgenden Inhalt hinzu:
sudo nano /etc/wireguard/wg0.conf
/etc/wireguard/wg0.conf[Interface]
PrivateKey = CLIENT_PRIVATE_KEY
Address = 10.0.0.2/24
[Peer]
PublicKey = SERVER_PUBLIC_KEY
Endpoint = SERVER_IP_ADDRESS:51820
AllowedIPs = 0.0.0.0/0
Die Einstellungen im Interface-Bereich haben die gleiche Bedeutung wie beim Einrichten des Servers:
- Adresse – eine durch Kommas getrennte Liste von v4- oder v6-IP-Adressen für
wg0
Schnittstelle. - PrivateKey - Um den Inhalt der Datei auf dem Client-Rechner anzuzeigen, führen Sie Folgendes aus:
sudo cat /etc/wireguard/privatekey
Der Peer-Abschnitt enthält die folgenden Felder:
- PublicKey – ein öffentlicher Schlüssel des Peers, mit dem Sie sich verbinden möchten. (Der Inhalt der Datei
/etc/wireguard/publickey
des Servers Datei). - Endpunkt – eine IP oder ein Hostname des Peers, mit dem Sie sich verbinden möchten, gefolgt von einem Doppelpunkt und dann einer Portnummer, auf der der entfernte Peer lauscht.
- AllowedIPs – eine durch Kommas getrennte Liste von v4- oder v6-IP-Adressen, von denen eingehender Datenverkehr für den Peer zulässig ist und an die ausgehender Datenverkehr für diesen Peer geleitet wird. Wir verwenden 0.0.0.0/0, weil wir den Datenverkehr leiten und möchten, dass der Server-Peer Pakete mit einer beliebigen Quell-IP sendet.
Wenn Sie weitere Clients konfigurieren müssen, wiederholen Sie einfach dieselben Schritte mit einer anderen privaten IP-Adresse.
Windows-Client-Setup #
Laden Sie das Windows-msi-Paket von der WireGuard-Website herunter und installieren Sie es.
Öffnen Sie nach der Installation die WireGuard-Anwendung und klicken Sie auf „Tunnel hinzufügen“ -> „Leeren Tunnel hinzufügen…“, wie im Bild unten gezeigt:
Ein PublicKey-Paar wird automatisch erstellt und auf dem Bildschirm angezeigt.
Geben Sie einen Namen für den Tunnel ein und bearbeiten Sie die Konfiguration wie folgt:
[Interface]
PrivateKey = CLIENT_PRIVATE_KEY
Address = 10.0.0.2/24
[Peer]
PublicKey = SERVER_PUBLIC_KEY
Endpoint = SERVER_IP_ADDRESS:51820
AllowedIPs = 0.0.0.0/0
Fügen Sie im Interface-Abschnitt eine neue Zeile hinzu, um die Client-Tunnel-Adresse zu definieren.
Fügen Sie im Peer-Abschnitt die folgenden Felder hinzu:
- PublicKey - der öffentliche Schlüssel des Ubuntu-Servers (
/etc/wireguard/publickey
Datei). - Endpunkt – die IP-Adresse des Ubuntu-Servers gefolgt von einem Doppelpunkt und dem WireGuard-Port (51820).
- Erlaubte IPs - 0.0.0.0/0
Wenn Sie fertig sind, klicken Sie auf die Schaltfläche „Speichern“.
Fügen Sie den Client-Peer zum Server # hinzu
Der letzte Schritt besteht darin, den öffentlichen Schlüssel und die IP-Adresse des Clients zum Server hinzuzufügen:
sudo wg set wg0 peer CLIENT_PUBLIC_KEY allowed-ips 10.0.0.2
Achten Sie darauf, den CLIENT_PUBLIC_KEY
zu ändern mit dem öffentlichen Schlüssel, den Sie auf dem Client-Rechner generiert haben (sudo cat /etc/wireguard/publickey
) und passen Sie die Client-IP-Adresse an, falls sie sich unterscheidet. Windows-Benutzer können den öffentlichen Schlüssel aus der WireGuard-Anwendung kopieren.
Wenn Sie fertig sind, gehen Sie zurück zum Client-Rechner und rufen Sie die Tunneling-Schnittstelle auf.
Linux- und macOS-Clients #
Führen Sie auf Linux-Clients den folgenden Befehl aus, um die Schnittstelle aufzurufen:
sudo wg-quick up wg0
Jetzt sollten Sie mit dem Ubuntu-Server verbunden sein und der Datenverkehr von Ihrem Client-Computer sollte darüber geleitet werden. Sie können die Verbindung überprüfen mit:
sudo wg
interface: wg0
public key: sZThYo/0oECwzUsIKTa6LYXLhk+Jb/nqK4kCCP2pyFg=
private key: (hidden)
listening port: 48052
fwmark: 0xca6c
peer: r3imyh3MCYggaZACmkx+CxlD6uAmICI8pe/PGq8+qCg=
endpoint: XXX.XXX.XXX.XXX:51820
allowed ips: 0.0.0.0/0
latest handshake: 1 minute, 22 seconds ago
transfer: 58.43 KiB received, 70.82 KiB sent
Sie können auch Ihren Browser öffnen, „what is my ip“ eingeben und Sie sollten die IP-Adresse Ihres Ubuntu-Servers sehen.
Um das Tunneln zu stoppen, bringen Sie wg0
herunter Schnittstelle:
sudo wg-quick down wg0
Windows-Clients #
Wenn Sie WireGuard unter Windows installiert haben, klicken Sie auf die Schaltfläche „Aktivieren“. Sobald die Peers verbunden sind, ändert sich der Tunnelstatus zu Aktiv: