Налаштування WireGuard
Перевірка роботи
</syntaxhighlight>
"C:\Program Files\WireGuard\wireguard.exe" /restarttunnelservice "<ім'я_тунелю>"
PrivateKey = ВставляєтьсяАвтоматичноПриГенераціїНеМіняти
PublicKey = cx6KJsqfQSBRaG0+Rmy8+0JjbtUf/i/Ri3U+/el2aCY=
Публічний ключ потрібно надіслати адміністратору для додавання користувача до VPN-сервера.; # Натиснути '''Add Tunnel'''.;[[index.php?title=Категорія:WireGuard]]
За потреби можна додати <code>DNS=</code> до внутрішнього DNS-сервера.; # '''Продуктивність.''' У порівнянні з OpenVPN WireGuard має менші накладні витрати, що покращує роботу з файлами, термінальними сесіями та базами даних.; # '''Масштабування.''' Підходить для site-to-site, віддаленої роботи співробітників і сервісних підключень.; wg genkey | tee ~/wg_private | wg pubkey > ~/wg_public
MTU = 1420
безпечного підключення користувачів і сервісів до внутрішніх мереж.; * Вмикаємо маршрути та firewall.; # '''Надійність у польових умовах.''' WireGuard добре функціонує при перемиканні мереж, використанні мобільного інтернету та готельних Wi-Fi.; * Якщо застосовується MikroTik — додати peer і маршрут до офісу або сервера.; * Важливі швидкі термінальні сесії, робота з 1С, BAS, ERP, файловий обмін або резервні копії через Інтернет.; Після встановлення потрібно згенерувати приватний і публічний ключі клієнта.; * '''Простота''' — один UDP-порт, короткий конфіг, можливість використання QR-коду для телефону.; * За потреби готуємо QR-коди для мобільних пристроїв.;[[index.php?title=Категорія:VPN]]
sudo systemctl enable --now wg-quick@wg0
* Піднімаємо WireGuard-шлюз.; У застосунку WireGuard:
!; # Надіслати публічний ключ адміністратору.; * Генеруємо ключі.; Для встановлення WireGuard у Linux застосовують, коли потрібно пакетний менеджер відповідного дистрибутива.; * Визначаємо підмережі.; * Готуємо конфіги для ПК і телефонів.; Дія !!; * '''Роумінг без розривів''' — автоматичне перемикання між Wi-Fi, 4G, 5G, NAT і CGNAT.; # замовник автономно згенерує Private Key і Public Key.; AllowedIPs = 192.168.20.0/24, 192.168.21.0/24
<syntaxhighlight lang="bash">
=== Шпаргалка команд Linux ===
[Interface]
=== Наш бік ===
AllowedIPs = 0.0.0.0/0
<syntaxhighlight lang="bash">
{| class="wikitable"
PersistentKeepalive = 25
=== Зупинка ===
# або 0.0.0.0/0 для full-tunnel
=== Режими доступу ===
<syntaxhighlight lang="ini">
ip addr show wg0
== Коли WireGuard особливо вигідний ==
<syntaxhighlight lang="bash">
# Натиснути '''Deactivate'''.;
PublicKey = cx6KJsqfQSBRaG0+Rmy8+0JjbtUf/i/Ri3U+/el2aCY=
Див.; додатково
Файл конфігурації створюється за шляхом:
=== Створення нового тунелю ===
== Чому обрали WireGuard ==
Address = 10.7.0.ОтриматиВідАдміна/32
|-
| Старт || sudo wg-quick up wg0
|-
| Зупинка || sudo wg-quick down wg0
|-
| Перезапуск || sudo wg-quick down wg0 && sudo wg-quick up wg0
|-
| Стан і лічильники || wg show
|-
| Увімкнути автозапуск || sudo systemctl enable --now wg-quick@wg0
|-
| Вимкнути автозапуск || sudo systemctl disable --now wg-quick@wg0
|-
| Перевірити сервіс || systemctl status wg-quick@wg0
|}
</syntaxhighlight>
Встановлення клієнта
- Завантажити WireGuard for Windows: https://www.wireguard.com/install/
Windows
- Відкрити WireGuard.;
# '''Закриття RDP та адміністративних сервісів з Інтернету.''' Доступ відбувається лише через зашифрований тунель, що зменшує ризики брутфорсу та бекдорів.; * Потрібне просте рішення для бізнесу з мінімумом конфігурацій і швидким онбордингом нових користувачів.; * '''Гнучкість доступу''' — супровід full-tunnel і split-tunnel.; # Обрати '''Add empty tunnel…'''.; * '''Енергоефективність''' — менше навантаження на CPU і батарею.; Команда М’який перезапуск через <code>wg-quick</code>: sudo systemctl restart wg-quick@wg0 Endpoint = 185.46.151.62:51820 === Ваш бік === <syntaxhighlight lang="bash"> === Перезапуск у Windows === sudo wg-quick down wg0 && sudo wg-quick up wg0 /etc/wireguard/wg0.conf cat ~/wg_public У режимі '''full-tunnel''' у параметрі <code>AllowedIPs</code> потрібно вказати: <syntaxhighlight lang="ini"> sudo systemctl disable --now wg-quick@wg0 AllowedIPs = 192.168.20.0/24, 192.168.21.0/24 <syntaxhighlight lang="bash">
- ip-адреса надається адміністратором, як ілюстрація:
- Address = 10.7.0.3/32
PrivateKey = <ВСТАВ ВМІСТ ~/wg_private> Endpoint = 185.46.151.62:51820
- PresharedKey = <якщо використовується>
</syntaxhighlight> </syntaxhighlight>
- PublicKey = <PUBLIC_KEY_ТВОГО_MIKROTIK>
[Peer] index.php?title=Категорія:Інструкції Address = IPОтриманийВідАдміна </syntaxhighlight>
Перезапуск
Запуск WireGuard
конфігурація конфігурації
Перевірка стану
Щоб вимкнути автозапуск і зупинити тунель:
</syntaxhighlight> </syntaxhighlight>
index.php?title=Категорія:Адміністрування Windows
Перезапуск через systemd, якщо сервіс увімкнений:
Приклад конфігурації split-tunnel до мереж датацентру:
=== Коротка реліз ===
{{Картка документації
| назва = Налаштування WireGuard
| тип = Інструкція
| платформи = Linux, Windows
| призначення = VPN-доступ до мереж датацентру
}}
Після збереження конфігурації потрібно натиснути '''Activate'''.; У вікні клієнта має з’явитися '''Latest Handshake''', а додатково повинні зростати показники '''Transfer RX/TX'''.; Вибір режиму залежить від вимог безпеки, комплаєнсу та конкретних задач користувача.; # Натиснути іконку '''Copy public key'''.;=== Конфігурація wg0.conf ===
- Потрібно вимкнути публічний RDP, VNC або SSH і залишити безпечний доступ усередину мережі.; # Легке адміністрування. Використовуються ключі замість паролів, статичні peer-конфіги та проста сегментація доступу.; Окремо варто відзначити запуск, перевірку і перезапуск WireGuard на Linux і Windows.; Якщо тунель встановлено як сервіс, його можна перезапустити командою:
Встановлення WireGuard
wg show
Якщо VPN функціонує коректно, має бути відповідь з обміном пакетами.; [Interface]
sudo wg-quick up wg0
Для перевірки роботи VPN можна пропінгувати IP-адресу всередині мережі датацентру.; * Full-tunnel — весь трафік іде через офіс або сервер.; * Кросплатформеність — Windows, macOS, Linux, iOS, Android, MikroTik v7+.; У цій інструкції описано встановлення забезпечується через WireGuard — сучасне VPN-рішення; додатково реалізовано конфігурація.; Для Windows застосовується офіційно затверджений замовник WireGuard.; * є собою мобільні співробітники або підрядники з різних країн чи мереж.; MTU = 1420 </syntaxhighlight>
</syntaxhighlight>
== Linux ==
== Як впроваджуємо ==
<syntaxhighlight lang="bash">
Щоб увімкнути автозапуск при старті системи:
ping 192.168.20.225
sudo wg-quick down wg0
Для редагування тунелю потрібно натиснути кнопку '''Edit''' і заповнити конфігурацію.;[[index.php?title=Категорія:Адміністрування Linux]]
* '''Безпека рівня “сьогодні”''' — сучасна криптографія: Curve25519, ChaCha20-Poly1305, BLAKE2s.;=== Генерація ключів ===
* Встановити застосунок або драйвер WireGuard для Windows, macOS, Linux, iOS або Android.; # Потім натиснути '''Activate'''.; * '''Швидкість і стабільність''' — WireGuard функціонує в ядрі Linux, має низькі затримки та високу пропускну здатність.;=== Детальніше для бізнесу ===
* '''Split-tunnel''' — доступ лише до внутрішніх ресурсів.;<syntaxhighlight lang="powershell">
* [[VPN]]
* [[Linux]]
* [[Windows]]
* [[MikroTik]]
* [[RDP]]
* [[SSH]]
* [[K2 ERP]]
Приклад:
sudo apt install wireguard # або пакет для свого дистро
PersistentKeepalive = 25
[Peer]