如何在 Ubuntu 20.04 上設置 WireGuard VPN 服務器和客戶端

使用 Wireguard 設置自託管 VPN

甲VPN（虛擬專用網）允許用戶遠程地連接到專用網絡，如果用戶的計算機直接連接到專用網絡。該技術最初的開發目的是允許遠程訪問公司的內部專用網絡，供實際不在內部網絡位置的員工使用。

VPN Server 部署在內部網絡的位置。該服務器位於公共網絡上，員工可以使用 VPN 客戶端進行訪問。連接到 VPN Server 需要身份驗證。VPN Server 和 VPN Client 之間的通信使用隧道協議進行保護。請注意，此通信可能會或可能不會加密，但通常在大多數 VPN 協議中它是加密的。

VPN 的另一個用途是在訪問 Internet 時獲得匿名或規避訪問某些網站時施加的地理限制。在這種情況下，用戶想要連接的網絡不是專用網絡，而是 Internet。

多年來已經開發了許多 VPN 協議。這些協議利用不同的隧道協議和加密算法在服務器和客戶端之間進行通信。

最近得到廣泛使用的一種這樣的協議是Wireguard。與眾所周知的傳統 VPN 協議（例如 OpenVPN、IPSec）相比，Wireguard 更輕、更簡單且性能更高。它已經在 Windows、Mac OS 和大量 Linux 發行版中實現。在 Linux 中，它是作為內核模塊實現的。它在 Ubuntu 20.04 的官方存儲庫中可用。

在本文中，我們將看到如何在 Ubuntu 20.04 中設置 Wireguard VPN 服務器和客戶端。

安裝

對於本文，我將在 Ubuntu 20.04 Linode 上設置 Wireguard 服務器，並在我的本地機器上使用 Ubuntu 20.04 設置 Wireguard 客戶端。

該軟件包wireguard安裝了 Wireguard 服務器和客戶端。在服務器機器和客戶端機器上運行以下命令。

sudo apt install wireguard

服務器配置

安全密鑰

我們需要生成一組公鑰/私鑰對，以驗證和保護 Wireguard 連接。這可以使用以下命令完成：

sudo su
cd /etc/wireguard
umask 077
wg genkey | tee private_key | wg pubkey > public_key

請注意，我們以超級用戶身份執行所有配置任務。原因是/etc/wireguard普通用戶無法訪問目錄，普通用戶僅憑sudo權限無法訪問目錄。

接下來，我們將文件創建掩碼設置為077. 這意味著每當任何進程在此文件夾中創建新文件時，其權限將自動用 077 屏蔽。例如。如果在這個文件夾中創建了一個具有 777 權限的文件，它會被自動屏蔽，並且權限實際上變為 700。這樣做是為了只有文件的所有者擁有該文件的所有權限，而其他所有人都沒有權限。

在下一行，我們為服務器生成公鑰/私鑰對。它們保存在文件private_key和public_key. 要查看密鑰，請運行：

cat private_key
cat public_key

複製私鑰，我們在下一步需要它。

注意：切勿公開分享您的私鑰！

配置文件

讓我們為 Wireguard Server 創建一個配置文件。您可以為文件選擇任何名稱。我們將wg0.conf在本例中創建一個文件。

vim wg0.conf

將以下內容添加到文件中。

[Interface]
Address = 10.20.43.1/24
SaveConfig = true
ListenPort = 51190
PrivateKey = 

PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o  -j MASQUERADE; ip6tables -A FORWARD -i wg0 -j ACCEPT; ip6tables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE; ip6tables -D FORWARD -i wg0 -j ACCEPT; ip6tables -t nat -D POSTROUTING -o  -j MASQUERADE

將我們之前複製的私鑰粘貼到上面代碼的第 5 行。

我們必須在與服務器 IP 地址不同的（虛擬）子網上配置 Wireguard。在這裡，我使用 10.20.43.1 作為服務器，將使用 10.20.43.2 作為客戶端。這裡可以使用任何子網。要獲取服務器和接口的 IP 地址，請運行：

ifconfig

突出顯示的部分是 IP 地址

記下服務器的 IP 地址。這在客戶端配置期間是必需的。

如上圖所示，服務器使用的接口是eth0. 接口名稱可以基於有所不同用戶的網絡上，也可以是wlan0或wlp2s0在情況下，用戶用無線卡連接到WiFi網絡。

用你的界面替換 inPostUp和PostDown; 在這個例子中，它是eth0. PostUp和PostDown指令用於指定分別在服務器啟動和停止時應運行哪些命令。在我們的示例中，我們使用iptables命令來設置 IP 規則，以便客戶端共享服務器的 IP 地址。一旦服務器停止，規則將下降。

保存並退出文件。使用 vim 時，按Esc，然後鍵入:wq並按Enter保存並退出。

如果您ufw在服務器上使用防火牆，我們需要允許 UDP 連接到 VPN 服務器的端口 51190。

ufw allow 51190/udp

啟動服務

現在配置完成後，我們可以啟動 Wireguard VPN 服務。

要使服務在引導時啟動，請運行：

systemctl enable [email protected]

注意這裡wg0是配置文件的名字。

要啟動服務，請運行：

service [email protected] start

驗證服務是否已成功啟動：

service [email protected] status

使用 IP 命令驗證我們在配置文件中創建的接口是否已啟動。

ip a show wg0

Wireguard VPN 服務器現已設置並運行。現在讓我們配置客戶端。

客戶端配置

Wireguard 的客戶端配置或多或少與服務器配置相同。我們為客戶端生成密鑰，然後創建一個配置文件。

安全密鑰

要為客戶端生成公鑰/私鑰對，請運行：

sudo su
cd /etc/wireguard
umask 077
wg genkey | tee client_private_key | wg pubkey > client_public_key

客戶端的公鑰和私鑰現在分別在文件client_private_key和client_public_key.

使用cat命令檢查它們是否已創建。

cat client_private_key
cat client_public_key

複製顯示的私鑰，因為我們需要將其添加到客戶端的配置文件中。

配置文件

使用您希望的任何名稱創建配置文件。我們將使用wg0-client此示例的名稱創建它。

vim wg0-client.conf

添加以下配置。

[Interface]
# IP Address and Private Key of the Client
Address = 10.20.43.2/24
PrivateKey = 

[Peer]
# Public key, IP Address and Port of the Server
PublicKey = 
Endpoint = :51190
AllowedIPs = 0.0.0.0/0, ::/0

輸入客戶端的子網地址。如前所述，我們10.20.43.2 在此示例中用於客戶端。

將上一步生成的客戶端私鑰添加到上面配置代碼的第4行。

在“Peer”下，我們添加有關要連接的 Wireguard VPN 服務器的信息。

輸入服務器的公鑰。輸入我們之前記下的服務器的 IP 地址，以及針對Endpoint的給定格式的端口。這是我們在服務器配置文件中指定的端口，也是服務器上啟動 VPN 服務的端口。

應按給定 (0.0.0.0/0) 輸入允許的 IP，以便客戶端使用的動態公共 IP 上的任何請求將始終轉發到 VPN 服務器。

保存並退出文件。使用 vim 時，按Esc，然後鍵入:wq並按Enter保存並退出。

啟用客戶端服務以在每次引導時運行，並啟動它。

systemctl enable [email protected]
service [email protected] start

驗證服務是否已啟動。

service [email protected] status

向服務器添加對等點

現在我們已經啟動並運行了 VPN 服務器和客戶端。但是，除非我們在服務器和客戶端之間建立對等連接，否則不會在兩者之間建立安全隧道。

回到服務器。首先，停止 VPN 服務。

service [email protected] stop

接下來，打開配置文件，為peer（客戶端）添加配置。

vim /etc/wireguard/wg0.conf

將以下行追加到文件中。

[Peer]
PublicKey = 
AllowedIPs = 10.20.43.2/32

現在，再次啟動 VPN 服務。

service [email protected] start

就是這樣！這是 Wireguard VPN 客戶端和服務器設置所需的所有配置。現在讓我們測試我們的 VPN。

測試 VPN

首先，讓我們從客戶端到服務器做一個簡單的 ping，以確保 VPN 隧道通信正常工作。在客戶端運行以下命令：

ping 10.20.43.1

接下來，打開 Web 瀏覽器並打開任何網站以檢查您是否能夠從客戶端計算機連接到 Internet。您還可以使用wget.

wget 

現在，我們已經檢查了隧道連接和 Internet 連接。如果兩者都正常工作，我們現在需要確保所有到達客戶端的互聯網流量都通過服務器。

為此，我們只需要檢查 Internet 上看到的客戶端的 IP 地址。一種方法是訪問whatsmyip.org。或者從命令行，我們可以使用 Curl 查詢另一個名為 IP 信息的類似服務。

在客戶端機器上運行以下命令

curl https://ipinfo.io/ip

是的。它是託管 VPN 服務器的 Linode 的公共 IP 地址。這就是使用 VPN 實現匿名的方式，因為現在在整個 Internet 上都可以看到 VPN 服務器的 IP，而不是您計算機的 IP。

結論

易於設置是 Wireguard 相對於 OpenVPN 等傳統 VPN 軟件最重要的優勢之一，OpenVPN 需要更高級別的網絡和路由知識才能設置。但是，缺乏詳細的 Wireguard 官方文檔，如果您的 Wireguard 設置拋出錯誤或未按預期工作，則可能會導致問題。

儘管如此，如果您想要一個自託管的 VPN 來通過 Internet 進行安全通信，Wireguard 是一個很好的選擇。要了解有關 Wireguard 及其使用的協議和技術的更多信息，您可以查看官方網站。