Как легко запустить свой сервер VPN используя WireGuard

В современном мире использование VPN — это необходимость, потому что большинство электронных устройств, которыми люди во всем мире применяют каждый день (персональные компьютеры, смартфоны, ноутбуки, планшеты) имеют подключение к сети Интернет. Следовательно, огромное количество конфиденциальных данных передаются по открытой сети. Всю эту информацию оказывается очень легко перехватить. Причем, сделать это может не только профессиональный хакер, но и любой, кто обладает минимумом знаний. И именно использование VPN позволяет защитить конфиденциальные данные. Сегодня я расскажу Вам о том, как создать быстрый WireGuard VPN-сервер.

Содержание:

1. Что такое WireGuard
2. Преимущества WireGuard
3. Создаем WireGuard VPN-сервер
   1. Поддерживаемые WireGuard дистрибутивы Linux
   2. Пример используемой системы
   3. Проверяем настройки сети сервера
   4. Устанавливаем WireGuard
   5. Подключаем клиентов к серверу VPN
   6. Устанавливаем WireGuard на ОС Windows
   7. Устанавливаем WireGuard на Android
4. Выводы
   

Что такое WireGuard

Технология VPN использует шифрование при передаче данных по туннелю от устройства к серверу. Но проблема заключается в том, что алгоритмы шифрования безнадежно устарели, так как появились несколько десятков лет назад. Следовательно, они не оптимизированы для современных устройств, которые используют 64-битную архитектуру. Получалось, что если пользователю нужно безопасное и надежное подключение, то ему придется мириться с низкой скоростью передачи данных.

Но в 2020 году канадский специалист Jason A. Donenfeld решил эту проблему, подарив миру WireGuard. Решение оказалось настолько удачным, что Линус Торвальдс включил WireGuard в ядро Linux. Благодаря этому WireGuard получил широкое распространение и стал настоящей находкой для пользователей во всем мире.

Преимущества WireGuard

Среди основных преимуществ WireGuard VPN стоит отметить:

• удобство и простота в использовании;
• современная криптография (Curve25519, SipHash24, Noise protocol framework, HKDF, Poly1305, ChaCha20, BLAKE2);
• высокая производительность;
• проработанная спецификация;
• компактный и легкочитаемый код.

Таким образом в мире появился VPN, который позволяет существенно ускорить работу соединения, благодаря использованию современных методов шифрования. Безусловно, проект еще достаточно молодой и находится в стадии активного развития. Однако уже сейчас он отличается высоким уровнем безопасности, его код легко проверять и выискивать в нем уязвимости. Следовательно, можно с уверенностью говорить о надежности использования WireGuard.

На сегодняшний день наибольшие преимущества в производительности WireGuard заметны на дистрибутивах Linux, поскольку VPN включен в само ядро. Однако уже сейчас WireGuard поддерживает работу на macOS, Windows, Android, iOS, FreeBSD и OpenBSD.

Создаем WireGuard VPN-сервер

Давайте вместе выполним всю последовательность действий, необходимых для создания VPN-сервера с помощью WireGuard.

Поддерживаемые WireGuard дистрибутивы Linux:

• Ubuntu >= 16.04;
• Debian 10;
• Fedora;
• CentOS;
• Arch Linux.

Пример используемой системы

В качестве примера мы будем использовать следующую операционную систему GNU / Linux:

root@ubuntu-s-2vcpu-4gb-fra1-01:~# cat /etc/lsb-release
DISTRIB_ID=Ubuntu
DISTRIB_RELEASE=20.04
DISTRIB_CODENAME=focal
DISTRIB_DESCRIPTION="Ubuntu 20.04.4 LTS"

Проверяем настройки сети сервера

Проверяем настройки сети нашего сервера. Сделать это можно следующим образом:

root@ubuntu-s-2vcpu-4gb-fra1-01:~# ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1 000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group defaul t qlen 1000
link/ether 86:82:f1:a1:36:b7 brd ff:ff:ff:ff:ff:ff
inet 157.230.118.100/20 brd 157.230.127.255 scope global eth0
valid_lft forever preferred_lft forever
inet 10.19.0.5/16 brd 10.19.255.255 scope global eth0
valid_lft forever preferred_lft forever
inet6 2a03:b0c0:3:d0::1744:4001/64 scope global
valid_lft forever preferred_lft forever
inet6 fe80::8482:f1ff:fea1:36b7/64 scope link
valid_lft forever preferred_lft forever
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group defaul t qlen 1000
link/ether 92:d5:5f:a3:11:0e brd ff:ff:ff:ff:ff:ff
inet 10.135.0.2/16 brd 10.135.255.255 scope global eth1
valid_lft forever preferred_lft forever
inet6 fe80::90d5:5fff:fea3:110e/64 scope link
valid_lft forever preferred_lft forever

Устанавливаем WireGuard

Загрузите WireGuard, дайте скрипту права на выполнение и запустите его. Все действия следует выполнять от имени администратора — root (например, используя команду sudo).

curl -O https://raw.githubusercontent.com/angristan/wireguard-install/master/wireguard-install.sh
chmod +x wireguard-install.sh
./wireguard-install.sh

При установке необходимо выполнить первичную нам настройку:

1. Введите свой публичный (белый / внешний) IP-адрес (его можно узнать по методу из предыдущего шага, где мы проверяли настройки сети нашего сервера).
2. Настройте публичный интерфейс сети, который подключен к провайдеру.
3. Укажите имя нового интерфейса для WireGuard.
4. Впишите ipv4-адрес WireGuard сервера во внутренней сети.
5. Задайте ipv6-адрес WireGuard сервера во внутренней сети.
6. Выберите порт WireGuard сервера (по умолчанию используется любой свободный UDP-порт в диапазоне от 1 до 65535).
7. Задайте два DNS-сервера для клиентов.

Пример вывода:

Welcome to the WireGuard installer!
The git repository is available at: https://github.com/angristan/wireguard-install

I need to ask you a few questions before starting the setup.
You can leave the default options and just press enter if you are ok with them.

IPv4 or IPv6 public address: 157.230.118.100
Public interface: eth0
WireGuard interface name: wg0
Server's WireGuard IPv4: 10.66.66.1
Server's WireGuard IPv6: fd42:42:42::1
Server's WireGuard port [1-65535]: 63495
First DNS resolver to use for the clients: 1.1.1.1
Second DNS resolver to use for the clients (optional): 8.8.8.8

Okay, that was all I needed. We are ready to setup your WireGuard server now.
You will be able to generate a client at the end of the installation.
Press any key to continue...

Также после установки необходимо указать настройки клиента:

1. Имя клиента.
2. Адрес ipv4 клиента во внутренней сети.
3. Адрес ipv6 клиента во внутренней сети.

Пример вывода

Tell me a name for the client.
The name must consist of alphanumeric character. It may also include an underscore or a dash and can't exceed 15 chars.
Client name: client-01
Client's WireGuard IPv4: 10.66.66.2
Client's WireGuard IPv6: fd42:42:42::2

Скрипт сгенерирует файл конфигурации и QR-код для автоматической настройки клиента.

Для создания новых клиентов или удаления старых достаточно еще раз запустить скрипт.

Подключаем клиентов к серверу VPN

Самый простой способ подключиться к серверу — отсканировать QR-код приложением WireGuard.

Версии клиента для разных операционных систем можно скачать здесь:

• Windows;
• Mac;
• Linux;
• Android.

Кроме того, можно скопировать файл настройки созданного нами клиента.

Устанавливаем WireGuard на ОС Windows

Давайте попробуем установить клиент WireGuard на популярную ОС Windows. Скачивам клиент из официального источника: https://www.wireguard.com/install/. Устанавливаем его. При установке все настройки оставляем по умолчанию, запускаем.

Добавляем пустой туннель.

Все стандартные настройки вытираем.

Настройки клиента берем из файла конфигурации клиента. Для этого вводим следующую команду:

less wg0-client-client-01.conf

Выделяем содержимое, при этом оно скопируется в буфер обмена

Вставляем настройки в клиент WireGuard для Windows.

Нажимаем на кнопку «Подключить» — и в результате туннель должен заработать.

Его статус должен измениться на «Подключен». В противном случае Вы допустили ошибку на одном из предыдущих этапов.

Устанавливаем WireGuard на Android

Также Вам может показаться полезным использовать клиент WireGuard на устройстве под управлением Android. Прежде всего, скачиваем из Google Play официальное приложение: https://play.google.com/store/apps/details?id=com.wireguard.android.

Запускаем его, нажимаем на синий плюсик в правом нижнем углу.

Выбираем вариант подключения через сканирование QR-кода.

Еще раз запускаем скрипт для создания конфигурации нового клиента.

root@ubuntu-s-2vcpu-4gb-fra1-01:~# ./wireguard-install.sh
Welcome to WireGuard-install!
The git repository is available at: https://github.com/angristan/wireguard-install

It looks like WireGuard is already installed.

What do you want to do?
1) Add a new user
2) Revoke existing user
3) Uninstall WireGuard
4) Exit
Select an option [1-4]: 1

Tell me a name for the client.
The name must consist of alphanumeric character. It may also include an underscore or a dash and can't exceed 15 chars.
Client name: client-02
Client's WireGuard IPv4: 10.66.66.3
Client's WireGuard IPv6: fd42:42:42::3

Here is your client config file as a QR Code:

Сканируем QR-код, указываем имя туннеля. В результате должна добавиться конфигурация.

Выводы

Как видите, установить и настроить свой WireGuard VPN сервер, а также подключить к нему клиенты для разных устройств под управлением различных операционных систем — довольно просто. С данным руководством этот процесс не займет у Вас много времени и сил. Тогда как в результате Вы сможете получить быстрый и надежный VPN.

Спасибо за время, которое Вы уделили прочтению статьи!

Если у Вас возникли вопросы — задавайте их в комментариях!

Чтобы знать больше и выделяться знаниями среди толпы IT-шников, записывайтесь на курсы Cisco, курсы по кибербезопасности, полный курс по кибербезопасности, курсы DevNet / DevOps (программируемые системы) от Академии Cisco, курсы Linux от Linux Professional Institute на платформе SEDICOMM University (Университет СЭДИКОММ).