Jei namuose įrengėte nedidelę technikos sistemą su NAS, „Linux“ serveris arba perdirbtas kompiuteris, pilnas paslaugųEsu tikras, kad susidūrėte su ta pačia problema: viskas veikia puikiai, kol esate prisijungę prie „Wi-Fi“, bet vos išėję iš namų, apie tai pamirštate. Negalite pasiekti savo programų, failų ar IP kamerų neįklimpę į prievadų konfigūracijos problemas, DDNS problemas ir saugumo rizikas arba nereikės griebtis... Rekomenduojami VPN, skirti „Android“.
Lengviausias ir saugiausias būdas tai išspręsti – sukurti VPN su „WireGuard“ ir prisijungimas iš „Android“ (ir iš bet kurio kito įrenginio). Tokiu būdu galite naudoti savo namų tinklą taip, lyg būtumėte fiziškai ten, net jei jūsų interneto paslaugų teikėjas naudoja CGNAT arba turite šiek tiek sudėtingą tinklo topologiją. Pažvelkime žingsnis po žingsnio: kas yra „WireGuard“, kaip jį nustatyti „Linux“ sistemoje (arba naudojant „Docker“ ir tokias paneles kaip „EasyPanel“ / „WireGuard Easy“) ir kaip jį tiksliai suderinti, kad galėtumėte pasiekti savo LAN ir... Įjunkite VPN „Android“ sistemoje ir naršykite saugiai savo mobiliajame įrenginyje.
Kas yra „WireGuard“ ir kodėl jis idealiai tinka namų VPN?
„WireGuard“ yra modernus, minimalistinis ir labai greitas VPN protokolas. kuris visiškai pakeitė virtualių privačių tinklų kūrimo būdą. Kitaip nei tokie dinozaurai kaip „OpenVPN“ ar „IPsec“, jis buvo sukurtas nuo nulio taip, kad būtų lengvai konfigūruojamas, lengvai audituojamas ir itin efektyvus.
Jo kodų bazė yra labai maža (maždaug keli tūkstančiai eilučiųTai leidžia lengviau rasti pažeidžiamumus ir atnaujinti duomenis. Šifravimui naudojami tik modernūs ir gerai įvertinti algoritmai, tokie kaip Curve25519, ChaCha20, Poly1305, BLAKE2s ir kompanija. Jokių begalinių pasenusių šifrų sąrašų, kurių niekas nebeturėtų naudoti.
Be to, jis veikia išskirtinai tik su UDP ir gali būti integruotas į „Linux“ branduolįTaigi, delsa maža, našumas labai geras, o procesoriaus apkrovimas nereikšmingas. Tai ypač pastebima jungiantis iš „Android“ per 4G/5G arba įprastą „Wi-Fi“: pakartotinis prisijungimas greitas, o tunelis gana gerai susidoroja su tinklo pakeitimais.
Sąranka taip pat yra daug patogesnė vartotojui: kiekvienas įrenginys turi viešojo / privačiojo raktų poraJam priskiriamas vidinis VPN IP adresas, o tuneliu siunčiamas srautas apibrėžiamas politika. Leidžiami IPTurėdami UDP prievadą ir dar keturis nustatymus, galite jį paleisti be dešimčių paslaptingų parametrų ar begalės failų.
Dar vienas didelis privalumas yra tas, kad „WireGuard“ yra kelių platformų: yra Oficialūs „Android“ klientaiJis suderinamas su „iOS“, „Windows“, „macOS“ ir „Linux“, taip pat gali veikti maršrutizatoriuose, „Docker“ konteineriuose arba įterptuosiuose įrenginiuose. Mobiliuosiuose įrenginiuose galite importuoti .conf failą arba tiesiog nuskaityti QR kodas sugeneruotas serveryje ir pasiruošę.
Pagrindiniai reikalavimai prieš nustatant „WireGuard“ serverį
Prieš įklijuojant komandas, pvz., „rytojaus nėra“, verta patikrinti, ar atitinkate tam tikrus reikalavimus. Minimalūs „WireGuard“ serverio, pasiekiamo iš „Android“, reikalavimaiTai sutaupys jums daug galvos skausmo.
Dažniausiai tai yra naudoti Linux serverisTai galėtų būti debesijos pagrindu veikiantis VPS („Ubuntu 22.04“ yra labai patogus pasirinkimas) arba namų kompiuteris („Raspberry Pi“, miniPC, NAS su palaikymu ir kt.“). Tiks bet koks modernus distribucija su „WireGuard“ palaikymu, tačiau „Ubuntu“ / „Debian“ siūlo daugiau dokumentacijos ir pavyzdžių.
Jums reikia vartotojo su administravimo leidimai (root arba vartotojas su sudo teisėmis), nes diegsite paketus, keisite tinklo nustatymus, įjungsite IP peradresavimą ir galbūt modifikuosite užkardos taisykles. Taip pat labai svarbu turėti SSH prieigą prie serverio ir bent jau žinoti, kaip prisijungti iš savo kompiuterio.
Kliento pusėje daugiausia naudosite savo „Android“ išmanusis telefonas su oficialia „WireGuard“ programėleNors ta pati konfigūracijos schema veikia „Windows“, „macOS“, „Linux“ ar „iOS“, konfigūracijos failas mažai kuo skiriasi tarp platformų, todėl tai, ką sužinosite čia, bus naudinga visoms joms.
Didžiausias priešas: CGNAT ir kaip jis veikia jūsų namų VPN
Vienas iš svarbiausių dalykų, ypač jei serveris yra namuose, yra žinoti, ar jūsų paslaugų teikėjas jus prijungia prie tinklo. CGNAT (vežėjo lygio NAT)Pagal CGNAT jūs dalijatės viešuoju IP adresu su kitais klientais ir Negalite atidaryti prievadų į savo namų tinklątodėl VPN serverio atidengimas jūsų namų tinkle yra labai sudėtingas.
Aptikti tai paprasta: pirmiausia užsirašykite savo Vieša IP Iš tokios svetainės kaip „whatismyip“ savo naršyklėje. Tada eikite į savo maršrutizatoriaus valdymo skydelį (paprastai 192.168.1.1 arba 192.168.0.1) ir WAN arba interneto skiltyje ieškokite IP adreso, kurį maršrutizatorius mano turintis. Jei tas IP adresas prasideda 10.xxx arba yra diapazone 100.64.0.0–100.127.255.255 Jei tai nesutampa su informacija interneto svetainėse, jums taikoma CGNAT programa. Kitas tiesioginis variantas – paskambinti operatoriui ir paklausti.
Naudodamas CGNAT, jūsų maršrutizatorius negauna tiesioginio viešojo IP adreso, todėl Negalite atlikti klasikinio prievadų peradresavimoKai kurios bendrovės leidžia atsisakyti CGNAT sumokant papildomai arba aktyvuojant parinktį, kitos reikalauja pakeisti planą, o kartais kaina staiga išauga. Jei nenorite viso to patirti, protingas sprendimas – pereiti prie... VPS kaip tiltasJūsų namų serveris sukuria „WireGuard“ tunelį į VPS, o jūs jungiatės prie VPS iš „Android“, kad pasiektumėte savo namų LAN tinklą.
„Linux“ serverio paruošimas: „WireGuard“ atnaujinimas ir diegimas
Serveryje su „Ubuntu 22.04“ (arba panašia) versija pirmiausia reikia atlikti atnaujinti paketus kad išvengtumėte pažeidžiamumų ar senų versijų perkėlimo:
apt update && apt upgrade -y
Tada įdiekite „WireGuard“ iš oficialių saugyklų naudodami:
apt install -y wireguard
Šiame pakete yra šie įrankiai wg ir wg-quick ir įkelia reikiamą branduolio modulį. Jei norite priverstinai įkelti rankiniu būdu neįprastoje aplinkoje, galite naudoti:
modprobe wireguard
Raktų generavimas ir serverio konfigūracijos struktūra
„WireGuard“ pagrindas yra sistema viešieji ir privatūs raktaiPaprastai darbas atliekamas standartiniame kataloge. /etc/wireguard/kur saugosite raktus ir konfigūracijos failus.
Prieš kurdami ką nors, pereikite prie to katalogo ir sustiprinkite numatytąsias teises:
cd /etc/wireguard/
umask 077
Tai užtikrina, kad nauji failai gali būti neskaitomi kitų naudotojųTai labai svarbu generuojant privačius raktus. Sugeneruokite serverio raktų porą, pavyzdžiui:
wg genkey > privatekey
wg pubkey < privatekey > publickey
La privatus raktas Jis visada turi likti serveryje ir niekada iš jo nepalikti; viešas raktas Taip, galite ja dalytis su klientais. Taip pat venkite trečiųjų šalių programų, kurios galėtų atskleisti paslaptis; peržiūrėkite straipsnius tema [trūksta temos]. nesaugios VPN programos Jei turite kokių nors abejonių dėl klientų.
chmod 600 privatekey
Jei norite matyti klavišus ekrane, kad galėtumėte juos vėliau nukopijuoti, galite naudoti:
tail privatekey publickey
Sukurkite ir redaguokite serverio wg0.conf failą
„WireGuard“ organizuoja savo tunelius virtualios sąsajos Iškvietimai pagal susitarimą wg0, wg1 ir kt. Kiekviena sąsaja turi savo konfigūracijos failą /etc/wireguard/Mes ketiname kurti wg0.conf kaip pagrindinė sąsaja.
Jei jums patinka „Nano“ ir jo neturite įdiegę, galite jį įdiegti naudodami:
apt install -y nano
Atidarykite konfigūracijos failą:
nano /etc/wireguard/wg0.conf
Prieš ką nors rašydami, nustatykite tinklo sąsajos, kuri jungiasi prie interneto, pavadinimą (tą, kurios IP adresas yra viešas, arba tą, kurį naudojate prisijungdami per SSH). Jį galite rasti naudodami:
ip a
Daugelyje VPS tai vadinama eth0, ens3, enp0s3 arba kažkas panašaus. Jums to reikės NAT taisyklėms. Pilno bloko pavyzdys galėtų būti:
Address = 10.30.0.1/24
PrivateKey = <clave_privada_servidor>
ListenPort = 51820
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
Čia jūs nurodote serverio IP adresą 10.30.0.1 VPN tinkle, nurodote jam klausytis UDP prievado 51820 ir apibrėžiate „iptables“ taisykles, kurios taikomos, kai atidaroma wg0 sąsaja (Iškabinti) ir pašalinami, kai leidžiatės žemyn (PostDown). Keisdami būkite atsargūs eth0 pagal tikrąjį jūsų išvesties sąsajos pavadinimą.
„Nano“ sistemoje sutaupote su Ctrl + O ir jūs uždarote su Ctrl + XŠis wg0.conf failas bus branduolys, kuriame pridėsite skirtingus klientus (peerus).
Įjunkite IP peradresavimą ir paleiskite „WireGuard“ paslaugą
Kad jūsų klientai galėtų prisijungti prie interneto arba LAN tinklo, esančio už VPN serverio, sistema turi leisti IPv4 ir IPv6 paketų persiuntimasTai valdoma naudojant sysctl.
Greitas būdas yra pridėti atitinkamas eilutes prie /etc/sysctl.conf arba į failą, esantį /etc/sysctl.d/ ir įkrauti:
echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
echo "net.ipv6.conf.all.forwarding=1" >> /etc/sysctl.conf
sysctl -p
Jei tos eilutės jau egzistavo, bet buvo užkomentuotos (su #), pakanka pašalinti #išsaugoti ir paleisti iš naujo sysctl -pBe šio žingsnio tunelis bus atidarytas, bet prarasite prieigą prie LAN arba interneto iš klientų.
Dabar galite pakelti „WireGuard“ naudodami wg-quick ir sisteminis:
systemctl start wg-quick@wg0
Kad sistema paleistų jį automatiškai:
systemctl enable wg-quick@wg0
Patikrinkite, ar viskas žalia:
systemctl status wg-quick@wg0
Norėdami pamatyti sąsajos, raktų, bendraamžių ir srauto informaciją realiuoju laiku, naudokite:
wg
Pridėti klientus: asmeninius kompiuterius, „Android“ mobiliuosius įrenginius ir kitus įrenginius
Kiekvienas įrenginys, prisijungiantis prie jūsų VPN, apibrėžiamas kaip tarpusavio ryšys su savo raktu ir tunelio IPRaktus galite generuoti pačiame serveryje (patogiau) arba kiekviename kliente (saugiau, nes privatus raktas niekada iš jo nepalieka).
Staliniam kompiuteriui galite atlikti, pavyzdžiui, /etc/wireguard/:
wg genkey > mypc_privatekey
wg pubkey < mypc_privatekey > mypc_publickey
Ir jūsų „Android“ mobiliajam telefonui:
wg genkey > myphone_privatekey
wg pubkey < myphone_privatekey > myphone_publickey
Patikrinkite failus naudodami:
ls
Ir tai rodo viešuosius raktus:
tail mypc_publickey myphone_publickey
Tie viešieji raktai yra tie, kuriuos įvesite wg0.conf blokuose Atidarykite serverio failą dar kartą:
nano /etc/wireguard/wg0.conf
Ir jis priduria, pavyzdžiui:
PublicKey = <clave_publica_mypc>
AllowedIPs = 10.30.0.2/32
Viešas raktas =
Leistini IP = 10.30.0.3/32
Taip darydami rezervuojate IP adresą 10.30.0.2, skirta asmeniniams kompiuteriams ir 10.30.0.3, skirta „Android“ mobiliesiems telefonams/32 rodo, kad tai yra individualus IP adresas. Kiekvienas mazgas VPN potinklyje naudoja savo unikalų IP adresą.
Išsaugokite ir iš naujo įkelkite paslaugą, kad pritaikytumėte pakeitimus:
systemctl restart wg-quick@wg0
Sukurkite kliento konfigūracijos failus
Dabar pats laikas pasiruošti, .conf failai, kuriuos naudos klientaiJie apima jūsų privatų raktą, vidinį IP adresą, DNS ir serverio duomenis (viešąjį raktą, IP adresą / domeną ir prievadą).
Kompiuteriui galite sukurti mypc.conf /etc/wireguard/ (arba bet kur kitur, kur jums patogiau):
nano mypc.conf
Turinio tipas:
PrivateKey = <clave_privada_mypc>
Address = 10.30.0.2/24
DNS = 1.1.1.1
Viešas raktas =
Galutinis taškas = :51820
Leistini IP = 0.0.0.0/0
PersistentKeepalive = 20
Pirmame bloke apibrėžiate kliento vietinį „veidą“: jo privatųjį raktą, VPN IP adresą ir kurį DNS jis naudos. Antrame bloke aprašote serverį: jo viešąjį raktą, adresą ir prievadą. Eilutė Leistini IP = 0.0.0.0/0 daro Visas klientų srautas praeina per VPN (pilnas tunelis). Jei norite pasiekti tik nuotolinį LAN tinklą, galite jį apriboti iki 10.30.0.0/24 ir (arba) 192.168.x.0/24, priklausomai nuo jūsų tinklo.
NuolatinisKeepalive Klientams, esantiems už NAT arba mobiliųjų tinklų, labai rekomenduojama tai daryti kas 20–25 sekundes, nes tai apsaugo tunelį nuo neaktyvaus vaizdo ir užkardos uždarymo sesijos.
„Android“ klientui skirta konfigūracija
„Android“ sistemoje procesas yra toks pat. Telefonui reikia jo privatus raktas, jūsų tunelio IP ir serverio duomenis. Galite pakartotinai naudoti serveryje sugeneruotus raktus arba sugeneruoti juos tiesiogiai programoje.
Sekdami pavyzdžiu, sukūrėte mano telefono_privatusis_raktas ir mano telefono_viešasis_raktasJums trūksta telefono myphone.conf failo:
nano myphone.conf
Kažkas panašaus:
PrivateKey = <clave_privada_myphone>
Address = 10.30.0.3/24
DNS = 1.1.1.1
Viešas raktas =
Galutinis taškas = :51820
Leistini IP = 0.0.0.0/0
PersistentKeepalive = 20
Sudėtinga dalis čia yra Kaip saugiai nusiųsti failą į mobilųjį telefonąLaboratorinėje aplinkoje galite įkelti jį į žiniatinklio serverį ir atsisiųsti, tačiau gamybinėje aplinkoje geriausia vengti siųsti jį el. paštu arba saugoti nešifruotose paslaugose.
Švariausias būdas paprastai yra naudoti qrencode Norėdami sugeneruoti QR kodą, kurį „WireGuard“ programa „Android“ sistemoje gali nuskaityti:
apt install -y qrencode
qrencode -t ansiutf8 -r myphone.conf
Terminale matysite QR kodą ASCII simboliais. Mobiliajame įrenginyje atidarykite programėlę „WireGuard“ ir pasirinkite „Nuskaityti iš QR kodo"(Nuskaitykite iš QR kodo) ir nukreipkite į ekraną. Tokiu būdu jums nereikės bendrinti .conf failo abejotinais kanalais."
Prieiga prie namų LAN, DNS ir vietinių pavadinimų
Be tunelio statybos, kas dar įdomaus apie... VPN su „WireGuard“ sistemoje „Android“ saugiam namų ryšiui Kalbama apie galimybę pasiekti visus savo namų įrenginius taip, lyg būtumėte ten: NAS, IP kameras, maršrutizatorius, medijos serverius ir kt., idealiu atveju naudojant vietiniai domenų vardai, o ne IP.
Daugelyje maršrutizatorių, kuriuose integruotas „WireGuard“ serveris arba vidinis DNS, yra toks skyrius TINKLAS → DNS → Redaguoti pagrindinius kompiuterius kur galite kurti įrašus, pvz. 192.168.1.50 nas-casa.localJei nukreipsite savo VPN klientų DNS į maršrutizatorių arba serverį, kuris identifikuoja šiuos vardus, galėsite pasiekti savo įrenginius pagal pagrindinio kompiuterio pavadinimą.
Kai kuriose maršrutizatorių programinės įrangos programose su „WireGuard“ yra žymimieji langeliai, pvz. „Leisti nuotolinę prieigą prie LAN“„Nuotolinės prieigos LAN potinklis“ arba panašus. Turite juos įjungti, kad nuotoliniai klientai galėtų pasiekti vietinis potinklis (192.168.xx) už paties maršrutizatoriaus ribų.
Tais atvejais, kai „WireGuard“ serveris veikia integruotas į maršrutizatorių, jis dažnai leidžia eksportuoti iš anksto paruoštus .conf profilius mobiliesiems įrenginiams ar kitiems klientų maršrutizatoriams. Šie profiliai paprastai apima tunelio IP adresą, teisingą DNS adresą (paprastai tai yra paties maršrutizatoriaus IP adresas VPN tinkle) ir tinkamai sukonfigūruotus leidžiamus IP adresus.
Patvirtinimas, trikčių šalinimas ir saugumas
Kai konfigūracija importuojama į „Android“ ir tunelis aktyvuojamas, pirmiausia reikia patikrinti, ar Rankos paspaudimas įvyksta teisingai.Pati „WireGuard“ programa rodo būseną, išsiųstus / gautus baitus ir paskutinio rankos paspaudimo laiko žymą.
Serveryje paleiskite:
wg
Ten matysite kiekvieno mazgo viešąjį raktą, nuotolinį IP adresą, iš kurio jis jungiasi, paskutinį pasisveikinimą ir apsikeistą srautą. Jei laukas „Paskutinis pasisveikinimas“ yra tuščias arba labai senas, klientas neprisijungia arba kažkas jį blokuoja.
Jei ryšio nėra, patikrinkite, ar UDP prievadas (51820 arba bet kuris kitas naudojamas) yra atidarytas serverio užkardoje (UFW, iptables, nftables) ir visuose tarpiniuose maršrutizatoriuose. Jei serveris yra už namų maršrutizatoriaus, sukonfigūruokite UDP prievado peradresavimas iš to prievado į serverio vidinį IP adresąProblema gali paveikti konkrečias programas; žr. mūsų vadovą apie Ką daryti, jei programos neveikia įjungus VPN.
Jei tunelis atsidaro, bet neturite mobiliojo interneto, patikrinkite, ar paketų persiuntimas (net.ipv4.ip_forward ir pasirinktinai net.ipv6.conf.all.forwarding) yra aktyvus ir kad NAT taisyklės nurodo teisingą išeinančią sąsają (eth0, ens3 ir kt.).
DNS problemos paprastai aptinkamos, kai galite patikrinti konkretaus IP adreso (pvz., 1.1.1.1) užklausą, bet negalite nustatyti domenų. Tokiu atveju patikrinkite eilutę DNS = Kliento .conf faile: galite naudoti viešąjį DNS (8.8.8.8, 1.1.1.1) arba serverio tunelio IP adresą, jei jis veikia kaip vidinis adresų resolveris.
Kalbant apie saugumą, be „WireGuard“ kriptografijos, yra ir nemažai kitų esminės gerosios praktikos:
- Apsaugokite savo privačius raktusNekopijuokite jų į nesaugias svetaines ir nesidalinkite jais su niekuo.
- Apriboja leidžiamus IP adresus vienam mazgui: kiekvienam klientui suteikia prieigą tik prie tų tinklų, kurių jam reikia, be jokios laisvės.
- Naudokite ne trivialius UDP prievadusPakeitus 51820 didesne verte, sumažėja automatinio nuskaitymo triukšmas.
- Nuolat atnaujinkite savo sistemą ir „WireGuard“: pleistrai kiekvieną dieną.
- Filtruoja prieigą prie „WireGuard“ prievado užkardoje, kad būtų apriboti, kas gali bandyti prisijungti (pagal šaltinio IP adresą, kai tai prasminga).
Jei turite CGNAT arba norite kažko pažangesnio: tuneliuokite per VPS
Jei jūsų operatorius jus prijungė prie CGNAT arba tiesiog norite atskirti savo namų viešosios prieigos sluoksnį, galite nustatyti kiek sudėtingesnį, bet labai galingą sprendimą: Naudokite VPS kaip centrinį tašką, o savo namų serverį – kaip klientą.Tada prisijungiate prie VPS iš „Android“ ir per jį pasiekiate savo LAN.
Pagrindinė schema yra tokia: debesyje nustatote „WireGuard“ serveris (pavyzdžiui, naudodami „Docker“ ir steko, pvz., „linuxserver“ / „wireguard“ arba iš anksto sukurtą saugyklą), įjungiate peradresavimą ir NAT, o namuose turite „Raspberry Pi“ arba kompiuteris visada įjungtas kuris prie to VPS prisijungia kaip lygiavertis įrenginys. VPS turi viešą IP adresą ir nėra veikiamas CGNAT, todėl galite be jokių problemų atidaryti ten esančius prievadus.
Tipinis darbo eiga naudojant „Docker“ gali būti tokia:
- VPS diegiate „Docker“ ir „Docker Compose“, klonuojate „WireGuard“ konfigūracijos saugyklą ir Konteinerį pakeliate naudodami komandą `docker-compose up -d`.
- Konteineris automatiškai sugeneruoja serverio ir kelių lygiaverčių įrenginių (peer1, peer2…) raktus, išsaugodamas jų .conf failus konfigūracijos aplanke.
- Jūs pakoreguojate serverio failą, kad įtrauktumėte savo namų potinklis (pvz., 192.168.1.0/24) leidžiamame IP adresuose mazgo, kurį naudos jūsų „Raspberry Pi“, ir sukonfigūruokite „iptables“ arba lygiavertes taisykles pagrindiniame kompiuteryje, kad būtų galima nukreipti srautą tarp VPN ir jūsų namų tinklo.
- „Raspberry Pi“ įrenginyje klonuokite tą pačią saugyklą (arba paruoštą), sukurkite wg0.conf failą su „peer1“ sugeneruotais duomenimis, įjunkite vietinį NAT (kad galėtumėte siųsti srautą atgal į LAN) ir paleiskite „WireGuard“ klientą „Docker“ arba natively.
Iš ten bet kuris kitas įrenginys (įskaitant jūsų) „Android“ su „WireGuard“ programėlePrisijungimui galite naudoti vieną iš papildomų VPS mazgų („peer2“, „peer3“ ir kt.). Praktiškai visada jungiatės prie VPS IP adreso, bet galiausiai pasiekiate savo namų tinklo paslaugas, net ir per CGNAT.
„WireGuard“ su tinklinėmis panelėmis: „WireGuard Easy“, „EasyPanel“ ir kita įmonė
Jei visa tai jums skamba kaip per daug sudėtinga konsolė, yra labai patogių sprendimų, kurie gali sukurti Žiniatinklio skydelis, skirtas valdyti „WireGuard“ vienu spustelėjimuPavyzdžiui, serveryje su „EasyPanel“ galite diegti tokią programėlę kaip „WireGuard Easy“ per šabloną ir pamirškite apie failų rašymą ranka.
Šių skydelių darbo eiga paprastai yra tokia:
- Prie skydelio („EasyPanel“ ar kito) prisijungiate naudodami savo naudotojo sąsają.
- Jūs įdiegiate šabloną „WireGuard Easy“, apibrėždami tokius parametrus kaip domeno/viešasis IP adresas (WG_HOST), UDP prievadas, VPN potinklis ir DNS.
- Sistema paleidžia konteinerį, kuriame pateikiama slaptažodžiu apsaugota žiniatinklio sąsaja, kurioje matote lygiaverčių programų sąrašas, statistika ir konfigūravimo parinktys.
- Norėdami pridėti klientą, tiesiog užpildykite formą su jo vardu; valdymo skydelis sugeneruoja raktus, priskiria jam IP adresą ir parodo QR kodas paruoštas nuskaityti naudojant „Android“, be to, leidžia atsisiųsti .conf failą.
Tai itin patogu aplinkoje, kurioje VPN naudojasi daugiau žmonių (šeima, darbo komanda ir pan.), nes galite Aktyvuokite arba atšaukite prieigą per kelias sekundes nereikės aiškinti jokių techninių detalių. Be to, jei diegiate „WireGuard Easy“ VPS serveryje, centralizuosite visą nuotolinę prieigą prie savo namų tinklo ir kitų vietų.
„WireGuard“ kitose sistemose: „Windows“, „macOS“, „Linux“, „iOS“
Nors čia daugiausia dėmesio skiriame „Android“, „WireGuard“ veikia taip pat gerai su staliniai ir kiti mobilieji kompiuteriaiPavyzdžiui, sistemoje „Windows“ atsisiunčiate oficialų klientą, jį įdiegiate ir paspaudžiate „Pridėti tunelį“, pasirenkate „Pridėti tuščią tunelį“ arba „Importuoti iš failo“, o programa pati gali sugeneruoti jums raktų porą.
Konfigūracijos formatas yra tas pats: blokuokite su savo Privatus raktas, adresas ir DNSir blokuokite su Serverio, galinio taško ir leidžiamų IP adresų viešasis raktasIšsaugoję tiesiog paspauskite „Aktyvuoti“, kad paleistumėte sąsają ir pradėtumėte srautą.
„iOS“ sistemoje procesas labai panašus į „Android“: įdiegiate „WireGuard“ programėlę iš „App Store“, sukuriate naują tunelį ir galite Importuokite .conf failą arba nuskaitykite QR kodą kurį sugeneravote naudodami „qrencode“ arba iš tokios valdymo skydelio kaip „WireGuard Easy“. Tada tunelį aktyvuojate jungikliu ir jau esate savo namų tinkle.
Darbalaukio „Linux“ versijoje galite naudoti patį komandinės eilutės įrankį (wg-up up wg0arba integruoti jį su „NetworkManager“ importuojant .conf failą iš grafinės sąsajos. Taip pat yra oficialus „macOS“ klientas, kurio patirtis labai panaši į „Windows“ versijos.
Galų gale, turi tas pats protokolas ir konfigūracijos schema visose platformose Tai labai supaprastina gyvenimą: logiką atkartojate iš vieno kliento į kitą, keisdami tik raktus ir tunelio IP adresą.
Turėdami šį derinį – gerai sukonfigūruotą „Linux“ arba „Docker“ serverį, galimą VPS palaikymą, jei turite CGNAT, žiniatinklio skydelius valdymui supaprastinti ir „WireGuard“ programėlę „Android“ sistemoje – galite nustatyti Tvirtas, greitas ir saugus namų VPN kuri leidžia jums pasiekti savo namų tinklą, failus ir paslaugas bei saugiai naršyti viešajame „Wi-Fi“ tinkle, nepasikliaujant trečiosiomis šalimis ar neskaidriais komerciniais sprendimais. Pasidalinkite šia informacija, kad kiti žinotų apie naują funkciją.