Настройка Wireguard
В статье приведены инструкции по настройке серверной и клиентской часть WireGuard. Рассмотрен варианты настройки функционала как на роутерах под управлением Wive-NG-HQ, так и на произвольной ОС.
Важно: функционал VPN-сервер доступен только на модели “Альфин” (Wi-Cat-AX). Модель “Химера” (Wi-Cat-GL) не поддерживает работу в режиме “VPN-сервер”.
Настройка сервера
- Роутер Синертау (только Альфин)
Сервисы -> VPN Сервер -> Настройка Wireguard
Wireguard Server – Включить сервер
Client Address – Адрес клиента (Peer)
Network Address – Адрес сервера (Interface)
Port – Порт Wireguard сервера для входящих подключений
Tunnel MTU – Максимальный размер кадра в туннеле Wireguard
NAT Enabled – Включить NAT
Сохраните ключи в файл Backup keys to file, чтобы добавить их на клиенте или используйте сгенерированные на сервере с помощью Upload keys from file
wg_server_private_key – Приватный ключ сервера (Interface на сервере)
wg_server_public_key – Публичный ключ сервера (Peer на клиенте)
wg_client_private_key – Приватный ключ клиента (Interface на клиенте)
wg_client_public_key – Публичный ключ клиента (Peer на сервере)
- Любая другая ОС
На основе инструкции https://gist.github.com/tegila/ae203f1c5a4a7f99837136a541bbf502
- Установите сервер Wireguard
https://www.wireguard.com/install/ - Создайте папку /etc/wireguard на сервере
mkdir -p /etc/wireguard/
cd /etc/wireguard
- Сгенерируйте ключи сервера
wg genkey | tee /etc/wireguard/server_private.key | wg pubkey | tee /etc/wireguard/server_public.key - Сгенерируйте ключи клиента
- wg genkey | tee /etc/wireguard/client_private.key | wg pubkey | tee /etc/wireguard/ client_public.key
- Создайте файл конфигурации сервера
vim /etc/wireguard/wg0.conf
- Настройте сервер
[Interface]
Address = 10.10.10.1/24
SaveConfig = true
PrivateKey = <содержимое server_private.key>
ListenPort = 51820
[Peer]
PublicKey = <содержимое client_public.key >
AllowedIPs = 10.10.10.2/32
- Если нужно больше клиентов, то добавьте повторите пункты 5-8 и добавьте новых Peer’ов по аналогии
- Настройте переадресацию портов на сервере
Добавьте net.ipv4.ip_forward = 1 в /etc/sysctl.conf
sysctl -psysctl -p
- Настройте подмену IP
firewall-cmd –zone=public –permanent –add-masquerade
systemctl reload firewalld
- Откройте порт Wireguard в фаерволе
firewall-cmd –permanent –add-port=51820/udp
systemctl reload firewalld
- Запустите сервер
wg-quick up /etc/wireguard/wg0.conf
Настройка клиента
- Роутер Синертау (только Альфин)
Настройки сети -> VPN -> Настройки клиента Wireguard
Enable Wireguard Client – Включить клиент
Test Reachable – Проверка доступности
Endpoint – Адрес сервера
Endpoint Port – Порт сервера
Net Address – Адрес клиента (Interface)
Allowed IPs – Разрешенные сети в туннеле (0.0.0.0/0 – весь трафик)
Default Gateway – Туннель является шлюзом по умолчанию
NAT Enabled – Включить NAT
MTU – Максимальный размер кадра в туннеле
Сохраните ключи в файл Backup keys to file, чтобы добавить их на сервере
Или используйте сгенерированные на сервере с помощью Upload keys from file
wg_cli_client_private_key – <содержимое client_private.key >
wg_cli_client_public_key – <содержимое server_public.key>
- Любая другая ОС
Настройте конфигурацию клиента следующим образом
[Interface]
Address = 10.10.10.2/24
DNS = 8.8.8.8
PrivateKey = <содержимое client_private.key >
[Peer]
PublicKey = <содержимое server_public.key>
AllowedIPs = 0.0.0.0/0
Endpoint = public-ip-of-your-server:51820
PersistentKeepalive = 25