Налаштування WireGuard: відмінності між версіями
R (обговорення | внесок) Первинна версія документу |
R (обговорення | внесок) Немає опису редагування |
||
| Рядок 1: | Рядок 1: | ||
<pre> | |||
Перезапуск через systemd, якщо сервіс увімкнений: | |||
!; __TOC__ | |||
== Windows == | |||
< | Вибір режиму залежить від вимог безпеки, комплаєнсу та конкретних задач користувача.; * За потреби готуємо QR-коди для мобільних пристроїв.; * Вмикаємо маршрути та firewall.; * Визначаємо підмережі.;<pre> | ||
=== Шпаргалка команд Linux === | === Шпаргалка команд Linux === | ||
[Interface] | [Interface] | ||
=== Наш бік === | === Наш бік === | ||
PublicKey = cx6KJsqfQSBRaG0+Rmy8+0JjbtUf/i/Ri3U+/el2aCY= | |||
AllowedIPs = 0.0.0.0/0 | AllowedIPs = 0.0.0.0/0 | ||
<pre> | |||
# або 0.0.0.0/0 для full-tunnel | |||
{| class="wikitable" | |||
=== Ілюстрації з документа === | |||
=== Зупинка === | === Зупинка === | ||
=== Детальніше для бізнесу === | |||
<pre> | |||
ip addr show wg0 | ip addr show wg0 | ||
</pre> | |||
== Чому обрали WireGuard == | |||
wg genkey | tee ~/wg_private | wg pubkey > ~/wg_public | |||
MTU = 1420 | |||
# Натиснути '''Deactivate'''.; # '''Масштабування.''' Підходить для site-to-site, віддаленої роботи співробітників і сервісних підключень.; ping 192.168.20.225 | |||
< | * '''Split-tunnel''' — доступ лише до внутрішніх ресурсів.;</pre> | ||
PublicKey = cx6KJsqfQSBRaG0+Rmy8+0JjbtUf/i/Ri3U+/el2aCY= | PublicKey = cx6KJsqfQSBRaG0+Rmy8+0JjbtUf/i/Ri3U+/el2aCY= | ||
Endpoint = 185.46.151.62:51820 | |||
Файл конфігурації створюється за шляхом: | |||
<pre> | |||
== Коли WireGuard особливо вигідний == | |||
Якщо VPN функціонує коректно, має бути відповідь з обміном пакетами.;[[Категорія:VPN]] | |||
sudo systemctl enable --now wg-quick@wg0 | |||
* Піднімаємо WireGuard-шлюз.; * Важливі швидкі термінальні сесії, робота з 1С, BAS, ERP, файловий обмін або резервні копії через Інтернет.; |- | |||
|- | |||
| Старт || <code>sudo wg-quick up wg0</code> | | Старт || <code>sudo wg-quick up wg0</code> | ||
|- | |- | ||
| Рядок 73: | Рядок 63: | ||
|} | |} | ||
</ | </pre> | ||
Address = 10.7.0.ОтриматиВідАдміна/32 | |||
</pre> | |||
* Завантажити WireGuard for Windows: https://www.wireguard.com/install/ | |||
=== Встановлення клієнта === | === Встановлення клієнта === | ||
# Відкрити WireGuard.; sudo systemctl disable --now wg-quick@wg0 | |||
sudo systemctl restart wg-quick@wg0 | |||
[[Категорія:Адміністрування Windows]] | |||
</pre> | |||
AllowedIPs = 192.168.20.0/24, 192.168.21.0/24 | |||
<pre> | |||
<pre> | |||
Приклад конфігурації split-tunnel до мереж датацентру: | |||
PersistentKeepalive = 25 | |||
{{Картка документації | |||
| назва = Налаштування WireGuard | |||
| тип = Інструкція | |||
| платформи = Linux, Windows | |||
| призначення = VPN-доступ до мереж датацентру | |||
}} | |||
М’який перезапуск через <code>wg-quick</code>: | М’який перезапуск через <code>wg-quick</code>: | ||
MTU = 1420 | |||
=== | </pre> | ||
</pre> | |||
<pre> | |||
== Linux == | |||
Приклад: | |||
=== Коротка реліз === | |||
Щоб увімкнути автозапуск при старті системи: | |||
=== Перезапуск у Windows === | === Перезапуск у Windows === | ||
</pre> | |||
</pre> | |||
Публічний ключ потрібно надіслати адміністратору для додавання користувача до VPN-сервера.; Команда | |||
</pre> | |||
У застосунку WireGuard: | |||
<pre> | |||
=== Перевірка стану === | |||
</pre> | |||
Після встановлення потрібно згенерувати приватний і публічний ключі клієнта.; * '''Full-tunnel''' — весь трафік іде через офіс або сервер.; # Потім натиснути '''Activate'''.; * '''Швидкість і стабільність''' — WireGuard функціонує в ядрі Linux, має низькі затримки та високу пропускну здатність.; Дія !!; * Готуємо конфіги для ПК і телефонів.; * '''Роумінг без розривів''' — автоматичне перемикання між Wi-Fi, 4G, 5G, NAT і CGNAT.; * '''Гнучкість доступу''' — супровід full-tunnel і split-tunnel.; * '''Простота''' — один UDP-порт, короткий конфіг, можливість використання QR-коду для телефону.; * '''Енергоефективність''' — менше навантаження на CPU і батарею.; Окремо варто відзначити запуск, перевірку і перезапуск WireGuard на Linux і Windows.; # '''Надійність у польових умовах.''' WireGuard добре функціонує при перемиканні мереж, використанні мобільного інтернету та готельних Wi-Fi.; * є собою мобільні співробітники або підрядники з різних країн чи мереж.;</gallery> | |||
=== конфігурація конфігурації === | |||
/ | AllowedIPs = 192.168.20.0/24, 192.168.21.0/24 | ||
</pre> | |||
=== Ваш бік === | |||
</pre> | |||
У режимі '''full-tunnel''' у параметрі <code>AllowedIPs</code> потрібно вказати: | У режимі '''full-tunnel''' у параметрі <code>AllowedIPs</code> потрібно вказати: | ||
PrivateKey = <ВСТАВ ВМІСТ ~/wg_private> | |||
<pre> | |||
"C:\Program Files\WireGuard\wireguard.exe" /restarttunnelservice "<ім'я_тунелю>" | |||
=== Створення нового тунелю === | |||
[[Категорія:WireGuard]] | |||
== Див.; додатково == | |||
[Peer] | |||
=== Перезапуск === | |||
/etc/wireguard/wg0.conf | |||
# ip-адреса надається адміністратором, як ілюстрація: | # ip-адреса надається адміністратором, як ілюстрація: | ||
# Address = 10.7.0.3/32 | # Address = 10.7.0.3/32 | ||
cat ~/wg_public | |||
sudo wg-quick down wg0 | |||
# PresharedKey = <якщо використовується> | # PresharedKey = <якщо використовується> | ||
Endpoint = 185.46.151.62:51820 | |||
[[Категорія:Інструкції]] | |||
# PublicKey = <PUBLIC_KEY_ТВОГО_MIKROTIK> | # PublicKey = <PUBLIC_KEY_ТВОГО_MIKROTIK> | ||
Address = IPОтриманийВідАдміна | Address = IPОтриманийВідАдміна | ||
</ | </pre> | ||
PrivateKey = ВставляєтьсяАвтоматичноПриГенераціїНеМіняти | |||
Для редагування тунелю потрібно натиснути кнопку '''Edit''' і заповнити конфігурацію.;<pre> | |||
<pre> | |||
Щоб вимкнути автозапуск і зупинити тунель: | |||
sudo wg-quick down wg0 && sudo wg-quick up wg0 | |||
=== Запуск WireGuard === | === Запуск WireGuard === | ||
< | <gallery mode="packed" heights="180"> | ||
=== Режими доступу === | |||
За потреби можна додати <code>DNS=</code> до внутрішнього DNS-сервера.;=== Конфігурація wg0.conf === | |||
== Перевірка роботи == | |||
* Потрібно вимкнути публічний RDP, VNC або SSH і залишити безпечний доступ усередину мережі.;=== Генерація ключів === | |||
< | * Встановити застосунок або драйвер WireGuard для Windows, macOS, Linux, iOS або Android.; # '''Продуктивність.''' У порівнянні з OpenVPN WireGuard має менші накладні витрати, що покращує роботу з файлами, термінальними сесіями та базами даних.;<pre> | ||
# '''Закриття RDP та адміністративних сервісів з Інтернету.''' Доступ відбувається лише через зашифрований тунель, що зменшує ризики брутфорсу та бекдорів.; У вікні клієнта має з’явитися '''Latest Handshake''', а додатково повинні зростати показники '''Transfer RX/TX'''.; # замовник автономно згенерує Private Key і Public Key.; # Натиснути іконку '''Copy public key'''.; * Генеруємо ключі.; * Якщо застосовується MikroTik — додати peer і маршрут до офісу або сервера.; # Натиснути '''Add Tunnel'''.; # Обрати '''Add empty tunnel…'''.; Після збереження конфігурації потрібно натиснути '''Activate'''.; # Надіслати публічний ключ адміністратору.; * Потрібне просте рішення для бізнесу з мінімумом конфігурацій і швидким онбордингом нових користувачів.; # '''Легке адміністрування.''' Використовуються ключі замість паролів, статичні peer-конфіги та проста сегментація доступу.; У цій інструкції описано встановлення забезпечується через '''WireGuard''' — сучасне VPN-рішення; додатково реалізовано конфігурація.; [Interface] | |||
sudo wg-quick up wg0 | |||
Якщо тунель встановлено як сервіс, його можна перезапустити командою: | |||
WireGuard_01.png|Ілюстрація WireGuard | |||
=== Встановлення WireGuard === | === Встановлення WireGuard === | ||
wg show | wg show | ||
Для перевірки роботи VPN можна пропінгувати IP-адресу всередині мережі датацентру.; Для Windows застосовується офіційно затверджений замовник WireGuard.;[[Категорія:Адміністрування Linux]] | |||
Для перевірки роботи VPN можна пропінгувати IP-адресу всередині мережі датацентру | |||
* | * '''Безпека рівня “сьогодні”''' — сучасна криптографія: Curve25519, ChaCha20-Poly1305, BLAKE2s.; * '''Кросплатформеність''' — Windows, macOS, Linux, iOS, Android, MikroTik v7+.;== Як впроваджуємо == | ||
<pre> | |||
безпечного підключення користувачів і сервісів до внутрішніх мереж.; Для встановлення WireGuard у Linux застосовують, коли потрібно пакетний менеджер відповідного дистрибутива.; WireGuard_02.png|Ілюстрація WireGuard | |||
* [[VPN]] | * [[VPN]] | ||
| Рядок 195: | Рядок 201: | ||
* [[K2 ERP]] | * [[K2 ERP]] | ||
<pre> | |||
sudo apt install wireguard # або пакет для свого дистро | sudo apt install wireguard # або пакет для свого дистро | ||
PersistentKeepalive = 25 | PersistentKeepalive = 25 | ||
</ | </pre> | ||
[Peer] | [Peer] | ||
Версія за 21:00, 28 квітня 2026
Перезапуск через systemd, якщо сервіс увімкнений:
!; __TOC__
== Windows ==
Вибір режиму залежить від вимог безпеки, комплаєнсу та конкретних задач користувача.; * За потреби готуємо QR-коди для мобільних пристроїв.; * Вмикаємо маршрути та firewall.; * Визначаємо підмережі.;<pre>
=== Шпаргалка команд Linux ===
[Interface]
=== Наш бік ===
PublicKey = cx6KJsqfQSBRaG0+Rmy8+0JjbtUf/i/Ri3U+/el2aCY=
AllowedIPs = 0.0.0.0/0
<pre>
# або 0.0.0.0/0 для full-tunnel
{| class="wikitable"
=== Ілюстрації з документа ===
=== Зупинка ===
=== Детальніше для бізнесу ===
<pre>
ip addr show wg0
Чому обрали WireGuard
wg genkey | tee ~/wg_private | wg pubkey > ~/wg_public
MTU = 1420
- Натиснути Deactivate.; # Масштабування. Підходить для site-to-site, віддаленої роботи співробітників і сервісних підключень.; ping 192.168.20.225
- Split-tunnel — доступ лише до внутрішніх ресурсів.;
PublicKey = cx6KJsqfQSBRaG0+Rmy8+0JjbtUf/i/Ri3U+/el2aCY= Endpoint = 185.46.151.62:51820 Файл конфігурації створюється за шляхом:
== Коли WireGuard особливо вигідний == Якщо VPN функціонує коректно, має бути відповідь з обміном пакетами.;[[Категорія:VPN]] sudo systemctl enable --now wg-quick@wg0 * Піднімаємо WireGuard-шлюз.; * Важливі швидкі термінальні сесії, робота з 1С, BAS, ERP, файловий обмін або резервні копії через Інтернет.; |- | Старт || <code>sudo wg-quick up wg0</code> |- | Зупинка || <code>sudo wg-quick down wg0</code> |- | Перезапуск || <code>sudo wg-quick down wg0 && sudo wg-quick up wg0</code> |- | Стан і лічильники || <code>wg show</code> |- | Увімкнути автозапуск || <code>sudo systemctl enable --now wg-quick@wg0</code> |- | Вимкнути автозапуск || <code>sudo systemctl disable --now wg-quick@wg0</code> |- | Перевірити сервіс || <code>systemctl status wg-quick@wg0</code> |}
Address = 10.7.0.ОтриматиВідАдміна/32
- Завантажити WireGuard for Windows: https://www.wireguard.com/install/
Встановлення клієнта
- Відкрити WireGuard.; sudo systemctl disable --now wg-quick@wg0
sudo systemctl restart wg-quick@wg0
AllowedIPs = 192.168.20.0/24, 192.168.21.0/24
<pre>
Приклад конфігурації split-tunnel до мереж датацентру:
PersistentKeepalive = 25
{{Картка документації
| назва = Налаштування WireGuard
| тип = Інструкція
| платформи = Linux, Windows
| призначення = VPN-доступ до мереж датацентру
}}
М’який перезапуск через <code>wg-quick</code>:
MTU = 1420
== Linux == Приклад: === Коротка реліз === Щоб увімкнути автозапуск при старті системи: === Перезапуск у Windows ===
Публічний ключ потрібно надіслати адміністратору для додавання користувача до VPN-сервера.; Команда
У застосунку WireGuard:
=== Перевірка стану ===
Після встановлення потрібно згенерувати приватний і публічний ключі клієнта.; * Full-tunnel — весь трафік іде через офіс або сервер.; # Потім натиснути Activate.; * Швидкість і стабільність — WireGuard функціонує в ядрі Linux, має низькі затримки та високу пропускну здатність.; Дія !!; * Готуємо конфіги для ПК і телефонів.; * Роумінг без розривів — автоматичне перемикання між Wi-Fi, 4G, 5G, NAT і CGNAT.; * Гнучкість доступу — супровід full-tunnel і split-tunnel.; * Простота — один UDP-порт, короткий конфіг, можливість використання QR-коду для телефону.; * Енергоефективність — менше навантаження на CPU і батарею.; Окремо варто відзначити запуск, перевірку і перезапуск WireGuard на Linux і Windows.; # Надійність у польових умовах. WireGuard добре функціонує при перемиканні мереж, використанні мобільного інтернету та готельних Wi-Fi.; * є собою мобільні співробітники або підрядники з різних країн чи мереж.;</gallery>
конфігурація конфігурації
AllowedIPs = 192.168.20.0/24, 192.168.21.0/24
Ваш бік
У режимі full-tunnel у параметрі AllowedIPs потрібно вказати:
PrivateKey = <ВСТАВ ВМІСТ ~/wg_private>
"C:\Program Files\WireGuard\wireguard.exe" /restarttunnelservice "<ім'я_тунелю>" === Створення нового тунелю === [[Категорія:WireGuard]] == Див.; додатково == [Peer] === Перезапуск === /etc/wireguard/wg0.conf # ip-адреса надається адміністратором, як ілюстрація: # Address = 10.7.0.3/32 cat ~/wg_public sudo wg-quick down wg0 # PresharedKey = <якщо використовується> Endpoint = 185.46.151.62:51820 [[Категорія:Інструкції]] # PublicKey = <PUBLIC_KEY_ТВОГО_MIKROTIK> Address = IPОтриманийВідАдміна
PrivateKey = ВставляєтьсяАвтоматичноПриГенераціїНеМіняти
Для редагування тунелю потрібно натиснути кнопку Edit і заповнити конфігурацію.;
<pre> Щоб вимкнути автозапуск і зупинити тунель: sudo wg-quick down wg0 && sudo wg-quick up wg0 === Запуск WireGuard === <gallery mode="packed" heights="180"> === Режими доступу === За потреби можна додати <code>DNS=</code> до внутрішнього DNS-сервера.;=== Конфігурація wg0.conf === == Перевірка роботи == * Потрібно вимкнути публічний RDP, VNC або SSH і залишити безпечний доступ усередину мережі.;=== Генерація ключів === * Встановити застосунок або драйвер WireGuard для Windows, macOS, Linux, iOS або Android.; # '''Продуктивність.''' У порівнянні з OpenVPN WireGuard має менші накладні витрати, що покращує роботу з файлами, термінальними сесіями та базами даних.;<pre> # '''Закриття RDP та адміністративних сервісів з Інтернету.''' Доступ відбувається лише через зашифрований тунель, що зменшує ризики брутфорсу та бекдорів.; У вікні клієнта має з’явитися '''Latest Handshake''', а додатково повинні зростати показники '''Transfer RX/TX'''.; # замовник автономно згенерує Private Key і Public Key.; # Натиснути іконку '''Copy public key'''.; * Генеруємо ключі.; * Якщо застосовується MikroTik — додати peer і маршрут до офісу або сервера.; # Натиснути '''Add Tunnel'''.; # Обрати '''Add empty tunnel…'''.; Після збереження конфігурації потрібно натиснути '''Activate'''.; # Надіслати публічний ключ адміністратору.; * Потрібне просте рішення для бізнесу з мінімумом конфігурацій і швидким онбордингом нових користувачів.; # '''Легке адміністрування.''' Використовуються ключі замість паролів, статичні peer-конфіги та проста сегментація доступу.; У цій інструкції описано встановлення забезпечується через '''WireGuard''' — сучасне VPN-рішення; додатково реалізовано конфігурація.; [Interface] sudo wg-quick up wg0 Якщо тунель встановлено як сервіс, його можна перезапустити командою: WireGuard_01.png|Ілюстрація WireGuard === Встановлення WireGuard === wg show Для перевірки роботи VPN можна пропінгувати IP-адресу всередині мережі датацентру.; Для Windows застосовується офіційно затверджений замовник WireGuard.;[[Категорія:Адміністрування Linux]] * '''Безпека рівня “сьогодні”''' — сучасна криптографія: Curve25519, ChaCha20-Poly1305, BLAKE2s.; * '''Кросплатформеність''' — Windows, macOS, Linux, iOS, Android, MikroTik v7+.;== Як впроваджуємо == <pre> безпечного підключення користувачів і сервісів до внутрішніх мереж.; Для встановлення WireGuard у Linux застосовують, коли потрібно пакетний менеджер відповідного дистрибутива.; WireGuard_02.png|Ілюстрація WireGuard * [[VPN]] * [[Linux]] * [[Windows]] * [[MikroTik]] * [[RDP]] * [[SSH]] * [[K2 ERP]] <pre> sudo apt install wireguard # або пакет для свого дистро PersistentKeepalive = 25
[Peer]