Налаштування WireGuard: відмінності між версіями
R (обговорення | внесок) Первинна версія документу |
R (обговорення | внесок) Прибрав шаблон |
||
| (Не показано одну проміжну версію цього користувача) | |||
| Рядок 1: | Рядок 1: | ||
= | AllowedIPs = 192.168.20.0/24, 192.168.21.0/24 | ||
[[index.php?title=Категорія:Адміністрування Windows]] | |||
ping 192.168.20.225 | |||
" | <gallery mode="packed" heights="180"> | ||
ip addr show wg0 | |||
Щоб вимкнути автозапуск і зупинити тунель: | |||
<pre> | |||
=== Коротка реліз === | |||
Address = IPОтриманийВідАдміна | |||
<pre> | |||
</gallery> | |||
=== Детальніше для бізнесу === | |||
PersistentKeepalive = 25 | |||
[[index.php?title=Категорія:VPN]] | |||
Публічний ключ потрібно надіслати адміністратору для додавання користувача до VPN-сервера.; * Вмикаємо маршрути та firewall.;</pre> | |||
# '''Закриття RDP та адміністративних сервісів з Інтернету.''' Доступ відбувається лише через зашифрований тунель, що зменшує ризики брутфорсу та бекдорів.; wg genkey | tee ~/wg_private | wg pubkey > ~/wg_public | |||
== Чому обрали WireGuard == | |||
=== Запуск WireGuard === | |||
<pre> | |||
Address = 10.7.0.ОтриматиВідАдміна/32 | |||
{| class="wikitable" | |||
</pre> | |||
== Windows == | |||
== Linux == | |||
== Див.; додатково == | |||
== Як впроваджуємо == | |||
Щоб увімкнути автозапуск при старті системи: | |||
sudo systemctl enable --now wg-quick@wg0 | sudo systemctl enable --now wg-quick@wg0 | ||
* | AllowedIPs = 0.0.0.0/0 | ||
sudo systemctl disable --now wg-quick@wg0 | |||
Для перевірки роботи VPN можна пропінгувати IP-адресу всередині мережі датацентру.; # замовник автономно згенерує Private Key і Public Key.; * є собою мобільні співробітники або підрядники з різних країн чи мереж.; * Генеруємо ключі.; Дія !!;<pre> | |||
</pre> | |||
cat ~/wg_public | |||
< | === Зупинка === | ||
=== | </pre> | ||
"C:\Program Files\WireGuard\wireguard.exe" /restarttunnelservice "<ім'я_тунелю>" | |||
# ip-адреса надається адміністратором, як ілюстрація: | |||
# Address = 10.7.0.3/32 | |||
=== Генерація ключів === | |||
Після встановлення потрібно згенерувати приватний і публічний ключі клієнта.; * За потреби готуємо QR-коди для мобільних пристроїв.; * Готуємо конфіги для ПК і телефонів.; # PresharedKey = <якщо використовується> | |||
</pre> | |||
[Interface] | [Interface] | ||
=== | # PublicKey = <PUBLIC_KEY_ТВОГО_MIKROTIK> | ||
Для редагування тунелю потрібно натиснути кнопку '''Edit''' і заповнити конфігурацію.;== Перевірка роботи == | |||
__TOC__ | |||
Приклад: | |||
<pre> | |||
<pre> | |||
Якщо VPN функціонує коректно, має бути відповідь з обміном пакетами.; Endpoint = 185.46.151.62:51820 | |||
* '''Split-tunnel''' — доступ лише до внутрішніх ресурсів.; * Якщо застосовується MikroTik — додати peer і маршрут до офісу або сервера.;</pre> | |||
WireGuard_02.png|Ілюстрація WireGuard|посилання=Файл:WireGuard_02.png | |||
* Піднімаємо WireGuard-шлюз.; * Визначаємо підмережі.; # Натиснути '''Add Tunnel'''.; # '''Продуктивність.''' У порівнянні з OpenVPN WireGuard має менші накладні витрати, що покращує роботу з файлами, термінальними сесіями та базами даних.; * '''Full-tunnel''' — весь трафік іде через офіс або сервер.; PublicKey = cx6KJsqfQSBRaG0+Rmy8+0JjbtUf/i/Ri3U+/el2aCY= | |||
# | |||
== | |||
[Interface] | |||
У застосунку WireGuard: | |||
<pre> | |||
[[index.php?title=Категорія:Інструкції]] | |||
<pre> | |||
sudo systemctl restart wg-quick@wg0 | |||
PrivateKey = ВставляєтьсяАвтоматичноПриГенераціїНеМіняти | |||
== | # Натиснути '''Deactivate'''.;=== Перевірка стану === | ||
[Peer] | |||
PersistentKeepalive = 25 | |||
=== | === Встановлення WireGuard === | ||
</pre> | |||
Файл конфігурації створюється за шляхом: | |||
sudo wg-quick up wg0 | |||
|- | |- | ||
| Старт || <code>sudo wg-quick up wg0</code> | | Старт || <code>sudo wg-quick up wg0</code> | ||
| Рядок 73: | Рядок 114: | ||
|} | |} | ||
=== Створення нового тунелю === | |||
= | MTU = 1420 | ||
Endpoint = 185.46.151.62:51820 | |||
* Завантажити WireGuard for Windows: https://www.wireguard.com/install/ | * Завантажити WireGuard for Windows: https://www.wireguard.com/install/ | ||
= | WireGuard_01.png|Ілюстрація WireGuard|посилання=Файл:WireGuard_01.png | ||
# Відкрити WireGuard.; | # Відкрити WireGuard.; * '''Простота''' — один UDP-порт, короткий конфіг, можливість використання QR-коду для телефону.; PublicKey = cx6KJsqfQSBRaG0+Rmy8+0JjbtUf/i/Ri3U+/el2aCY= | ||
</pre> | |||
Вибір режиму залежить від вимог безпеки, комплаєнсу та конкретних задач користувача.;<pre> | |||
< | |||
Приклад конфігурації split-tunnel до мереж датацентру: | |||
=== Перезапуск у Windows === | === Перезапуск у Windows === | ||
!; # '''Легке адміністрування.''' Використовуються ключі замість паролів, статичні peer-конфіги та проста сегментація доступу.; * '''Гнучкість доступу''' — супровід full-tunnel і split-tunnel.; * '''Роумінг без розривів''' — автоматичне перемикання між Wi-Fi, 4G, 5G, NAT і CGNAT.; У вікні клієнта має з’явитися '''Latest Handshake''', а додатково повинні зростати показники '''Transfer RX/TX'''.; За потреби можна додати <code>DNS=</code> до внутрішнього DNS-сервера.; * '''Швидкість і стабільність''' — WireGuard функціонує в ядрі Linux, має низькі затримки та високу пропускну здатність.; # '''Масштабування.''' Підходить для site-to-site, віддаленої роботи співробітників і сервісних підключень.; # Натиснути іконку '''Copy public key'''.; Після збереження конфігурації потрібно натиснути '''Activate'''.; # '''Надійність у польових умовах.''' WireGuard добре функціонує при перемиканні мереж, використанні мобільного інтернету та готельних Wi-Fi.; * Важливі швидкі термінальні сесії, робота з 1С, BAS, ERP, файловий обмін або резервні копії через Інтернет.; * '''Енергоефективність''' — менше навантаження на CPU і батарею.; сучасне VPN-рішення; додатково реалізовано конфігурація.; Команда | |||
У режимі '''full-tunnel''' у параметрі <code>AllowedIPs</code> потрібно вказати: | У режимі '''full-tunnel''' у параметрі <code>AllowedIPs</code> потрібно вказати: | ||
<pre> | |||
< | |||
=== Перезапуск === | === Перезапуск === | ||
=== | === Режими доступу === | ||
sudo wg-quick down wg0 && sudo wg-quick up wg0 | |||
=== | === Ілюстрації з документа === | ||
< | </pre> | ||
=== Наш бік === | |||
=== Встановлення клієнта === | |||
* '''Безпека рівня “сьогодні”''' — сучасна криптографія: Curve25519, ChaCha20-Poly1305, BLAKE2s.; * '''Кросплатформеність''' — Windows, macOS, Linux, iOS, Android, MikroTik v7+.; # Потім натиснути '''Activate'''.; # Обрати '''Add empty tunnel…'''.; * Потрібне просте рішення для бізнесу з мінімумом конфігурацій і швидким онбордингом нових користувачів.; [Peer] | |||
sudo wg-quick down wg0 | |||
MTU = 1420 | |||
<pre> | |||
/etc/wireguard/wg0.conf | |||
</pre> | |||
wg show | wg show | ||
</pre> | |||
sudo apt install wireguard # або пакет для свого дистро | |||
</pre> | |||
PrivateKey = <ВСТАВ ВМІСТ ~/wg_private> | |||
# або 0.0.0.0/0 для full-tunnel | |||
</pre> | |||
Для Windows застосовується офіційно затверджений замовник WireGuard.;[[index.php?title=Категорія:Адміністрування Linux]] | |||
Якщо тунель встановлено як сервіс, його можна перезапустити командою: | |||
* Потрібно вимкнути публічний RDP, VNC або SSH і залишити безпечний доступ усередину мережі.; * Встановити застосунок або драйвер WireGuard для Windows, macOS, Linux, iOS або Android.;<pre> | |||
< | |||
=== Шпаргалка команд Linux === | |||
AllowedIPs = 192.168.20.0/24, 192.168.21.0/24 | |||
== | == Коли WireGuard особливо вигідний == | ||
== | === конфігурація конфігурації === | ||
< | <pre> | ||
</pre> | |||
=== Ваш бік === | |||
Для встановлення WireGuard у Linux застосовують, коли потрібно пакетний менеджер відповідного дистрибутива.; # Надіслати публічний ключ адміністратору.;=== Конфігурація wg0.conf === | |||
Окремо варто відзначити запуск, перевірку і перезапуск WireGuard на Linux і Windows виступає ключовою рисою безпечного підключення користувачів і сервісів до внутрішніх мереж.; У цій інструкції описано встановлення забезпечується через '''WireGuard'''.; М’який перезапуск через <code>wg-quick</code>: | |||
* [[VPN]] | * [[VPN]] | ||
| Рядок 195: | Рядок 195: | ||
* [[K2 ERP]] | * [[K2 ERP]] | ||
</pre> | |||
Перезапуск через systemd, якщо сервіс увімкнений: | |||
[[index.php?title=Категорія:WireGuard]] | |||
< | <pre> | ||
<pre> | |||
Поточна версія на 21:00, 28 квітня 2026
AllowedIPs = 192.168.20.0/24, 192.168.21.0/24
index.php?title=Категорія:Адміністрування Windows
ping 192.168.20.225
Детальніше для бізнесу
PersistentKeepalive = 25 index.php?title=Категорія:VPN
Публічний ключ потрібно надіслати адміністратору для додавання користувача до VPN-сервера.; * Вмикаємо маршрути та firewall.;
- Закриття RDP та адміністративних сервісів з Інтернету. Доступ відбувається лише через зашифрований тунель, що зменшує ризики брутфорсу та бекдорів.; wg genkey | tee ~/wg_private | wg pubkey > ~/wg_public
Чому обрали WireGuard
Запуск WireGuard
Address = 10.7.0.ОтриматиВідАдміна/32
{| class="wikitable"
Windows
Linux
Див.; додатково
Як впроваджуємо
Щоб увімкнути автозапуск при старті системи: sudo systemctl enable --now wg-quick@wg0
AllowedIPs = 0.0.0.0/0
sudo systemctl disable --now wg-quick@wg0
Для перевірки роботи VPN можна пропінгувати IP-адресу всередині мережі датацентру.; # замовник автономно згенерує Private Key і Public Key.; * є собою мобільні співробітники або підрядники з різних країн чи мереж.; * Генеруємо ключі.; Дія !!;
cat ~/wg_public
Зупинка
"C:\Program Files\WireGuard\wireguard.exe" /restarttunnelservice "<ім'я_тунелю>"
- ip-адреса надається адміністратором, як ілюстрація:
- Address = 10.7.0.3/32
Генерація ключів
Після встановлення потрібно згенерувати приватний і публічний ключі клієнта.; * За потреби готуємо QR-коди для мобільних пристроїв.; * Готуємо конфіги для ПК і телефонів.; # PresharedKey = <якщо використовується>
[Interface]
- PublicKey = <PUBLIC_KEY_ТВОГО_MIKROTIK>
Для редагування тунелю потрібно натиснути кнопку Edit і заповнити конфігурацію.;== Перевірка роботи ==
Приклад:
<pre> Якщо VPN функціонує коректно, має бути відповідь з обміном пакетами.; Endpoint = 185.46.151.62:51820 * '''Split-tunnel''' — доступ лише до внутрішніх ресурсів.; * Якщо застосовується MikroTik — додати peer і маршрут до офісу або сервера.;
WireGuard_02.png|Ілюстрація WireGuard|посилання=Файл:WireGuard_02.png
- Піднімаємо WireGuard-шлюз.; * Визначаємо підмережі.; # Натиснути Add Tunnel.; # Продуктивність. У порівнянні з OpenVPN WireGuard має менші накладні витрати, що покращує роботу з файлами, термінальними сесіями та базами даних.; * Full-tunnel — весь трафік іде через офіс або сервер.; PublicKey = cx6KJsqfQSBRaG0+Rmy8+0JjbtUf/i/Ri3U+/el2aCY=
[Interface]
У застосунку WireGuard:
[[index.php?title=Категорія:Інструкції]] <pre> sudo systemctl restart wg-quick@wg0 PrivateKey = ВставляєтьсяАвтоматичноПриГенераціїНеМіняти # Натиснути '''Deactivate'''.;=== Перевірка стану === [Peer] PersistentKeepalive = 25 === Встановлення WireGuard ===
Файл конфігурації створюється за шляхом:
sudo wg-quick up wg0
|-
| Старт || sudo wg-quick up wg0
|-
| Зупинка || sudo wg-quick down wg0
|-
| Перезапуск || sudo wg-quick down wg0 && sudo wg-quick up wg0
|-
| Стан і лічильники || wg show
|-
| Увімкнути автозапуск || sudo systemctl enable --now wg-quick@wg0
|-
| Вимкнути автозапуск || sudo systemctl disable --now wg-quick@wg0
|-
| Перевірити сервіс || systemctl status wg-quick@wg0
|}
Створення нового тунелю
MTU = 1420
Endpoint = 185.46.151.62:51820
- Завантажити WireGuard for Windows: https://www.wireguard.com/install/
WireGuard_01.png|Ілюстрація WireGuard|посилання=Файл:WireGuard_01.png
- Відкрити WireGuard.; * Простота — один UDP-порт, короткий конфіг, можливість використання QR-коду для телефону.; PublicKey = cx6KJsqfQSBRaG0+Rmy8+0JjbtUf/i/Ri3U+/el2aCY=
Вибір режиму залежить від вимог безпеки, комплаєнсу та конкретних задач користувача.;
Приклад конфігурації split-tunnel до мереж датацентру: === Перезапуск у Windows === !; # '''Легке адміністрування.''' Використовуються ключі замість паролів, статичні peer-конфіги та проста сегментація доступу.; * '''Гнучкість доступу''' — супровід full-tunnel і split-tunnel.; * '''Роумінг без розривів''' — автоматичне перемикання між Wi-Fi, 4G, 5G, NAT і CGNAT.; У вікні клієнта має з’явитися '''Latest Handshake''', а додатково повинні зростати показники '''Transfer RX/TX'''.; За потреби можна додати <code>DNS=</code> до внутрішнього DNS-сервера.; * '''Швидкість і стабільність''' — WireGuard функціонує в ядрі Linux, має низькі затримки та високу пропускну здатність.; # '''Масштабування.''' Підходить для site-to-site, віддаленої роботи співробітників і сервісних підключень.; # Натиснути іконку '''Copy public key'''.; Після збереження конфігурації потрібно натиснути '''Activate'''.; # '''Надійність у польових умовах.''' WireGuard добре функціонує при перемиканні мереж, використанні мобільного інтернету та готельних Wi-Fi.; * Важливі швидкі термінальні сесії, робота з 1С, BAS, ERP, файловий обмін або резервні копії через Інтернет.; * '''Енергоефективність''' — менше навантаження на CPU і батарею.; сучасне VPN-рішення; додатково реалізовано конфігурація.; Команда У режимі '''full-tunnel''' у параметрі <code>AllowedIPs</code> потрібно вказати: <pre> === Перезапуск === === Режими доступу === sudo wg-quick down wg0 && sudo wg-quick up wg0 === Ілюстрації з документа ===
Наш бік
Встановлення клієнта
- Безпека рівня “сьогодні” — сучасна криптографія: Curve25519, ChaCha20-Poly1305, BLAKE2s.; * Кросплатформеність — Windows, macOS, Linux, iOS, Android, MikroTik v7+.; # Потім натиснути Activate.; # Обрати Add empty tunnel….; * Потрібне просте рішення для бізнесу з мінімумом конфігурацій і швидким онбордингом нових користувачів.; [Peer]
sudo wg-quick down wg0
MTU = 1420
/etc/wireguard/wg0.conf
wg show
sudo apt install wireguard # або пакет для свого дистро
PrivateKey = <ВСТАВ ВМІСТ ~/wg_private>
- або 0.0.0.0/0 для full-tunnel
Для Windows застосовується офіційно затверджений замовник WireGuard.;index.php?title=Категорія:Адміністрування Linux
Якщо тунель встановлено як сервіс, його можна перезапустити командою:
- Потрібно вимкнути публічний RDP, VNC або SSH і залишити безпечний доступ усередину мережі.; * Встановити застосунок або драйвер WireGuard для Windows, macOS, Linux, iOS або Android.;
=== Шпаргалка команд Linux ===
AllowedIPs = 192.168.20.0/24, 192.168.21.0/24
== Коли WireGuard особливо вигідний == === конфігурація конфігурації === <pre>
Ваш бік
Для встановлення WireGuard у Linux застосовують, коли потрібно пакетний менеджер відповідного дистрибутива.; # Надіслати публічний ключ адміністратору.;=== Конфігурація wg0.conf ===
Окремо варто відзначити запуск, перевірку і перезапуск WireGuard на Linux і Windows виступає ключовою рисою безпечного підключення користувачів і сервісів до внутрішніх мереж.; У цій інструкції описано встановлення забезпечується через WireGuard.; М’який перезапуск через wg-quick:
Перезапуск через systemd, якщо сервіс увімкнений: index.php?title=Категорія:WireGuard