VPN עם WireGuard באנדרואיד לאבטחת הרשת הביתית שלך

אם הקמתם מערכת טכנולוגית קטנה בבית עם NAS, שרת לינוקס, או מחשב ממוחזר מלא בשירותיםאני בטוח שנתקלתם באותה בעיה: הכל עובד בצורה מושלמת כשאתם מחוברים ל-Wi-Fi, אבל ברגע שאתם יוצאים מהבית, תשכחו מזה. אתם לא יכולים לגשת לאפליקציות, לקבצים או למצלמות ה-IP שלכם מבלי להיתקע בבעיות תצורת פורטים, בעיות DDNS וסיכוני אבטחה, או לפנות ל... שירותי VPN מומלצים לאנדרואיד.

הדרך הקלה והבטוחה ביותר לפתור את זה היא ליצור VPN עם WireGuard וחיבור מאנדרואיד (ומכל מכשיר אחר). בדרך זו תוכלו להשתמש ברשת הביתית שלכם כאילו הייתם שם פיזית, גם אם ספק האינטרנט שלכם משתמש ב-CGNAT או שיש לכם טופולוגיית רשת קצת מסובכת. בואו נסתכל על זה שלב אחר שלב: החל ממה זה WireGuard, כיצד להגדיר אותו בלינוקס (או עם Docker ופאנלים כמו EasyPanel/WireGuard Easy) וכיצד לכוונן אותו לגישה לרשת המקומית שלכם ו... הפעלת VPN באנדרואיד וגלוש בבטחה מהמכשיר הנייד שלך.

מה זה WireGuard ומדוע הוא אידיאלי ל-VPN ביתי?

WireGuard הוא פרוטוקול VPN מודרני, מינימליסטי ומהיר מאוד. אשר שינה לחלוטין את אופן הגדרת רשתות וירטואליות פרטיות. בניגוד לדינוזאורים כמו OpenVPN או IPsec, הוא תוכנן מלכתחילה להיות פשוט להגדרה, קל לביקורת ויעיל ביותר.

בסיס הקוד שלו קטן מאוד (בסדר גודל של כמה אלפי שורותזה מקל על איתור פגיעויות ושמירה על עדכניותן. לצורך הצפנה, היא משתמשת רק באלגוריתמים מודרניים ומוכרים כמו Curve25519, ChaCha20, Poly1305, BLAKE2s וחברה. אין רשימות אינסופיות של צפנים מיושנים שאף אחד לא צריך להשתמש בהם יותר.

יתר על כן, זה עובד אך ורק על UDP וניתן לשלב אותו בליבת לינוקסאז ההשהיה נמוכה, הביצועים טובים מאוד, וצריכת המעבד זניחה. ​​זה מורגש במיוחד בעת חיבור מאנדרואיד דרך 4G/5G או Wi-Fi רגיל: חיבורים מחדש מהירים, והמנהרה מתמודדת עם שינויים ברשת די טוב.

ההתקנה גם הרבה יותר ידידותית למשתמש: לכל מכשיר יש זוג מפתחות ציבורי/פרטימוקצית לו כתובת IP פנימית של VPN והתעבורה הנשלחת דרך המנהרה מוגדרת באמצעות המדיניות. כתובות IP מותרותעם זה, פורט UDP ועוד ארבע הגדרות, הפעלתם אותו, בלי עשרות פרמטרים מוצפנים או קבצים אינסופיים.

יתרון גדול נוסף הוא ש WireGuard הוא חוצה פלטפורמות: יש לקוחות רשמיים לאנדרואידזה תואם ל-iOS, Windows, macOS ו-Linux, ויכול גם לפעול על נתבים, קונטיינרים של Docker או מכשירים מוטמעים. בנייד, ניתן לייבא קובץ .conf או פשוט לסרוק קוד QR שנוצר בשרת ומוכן.

דרישות בסיסיות לפני הגדרת שרת WireGuard שלך

לפני שמדביקים פקודות כאילו אין מחר, מומלץ לבדוק שאתם עומדים בדרישות מסוימות. דרישות מינימום עבור שרת WireGuard נגיש מאנדרואידזה יחסוך לכם הרבה כאבי ראש.

הדבר הנפוץ ביותר הוא להשתמש ב- שרת לינוקסזה יכול להיות VPS מבוסס ענן (Ubuntu 22.04 היא אופציה נוחה מאוד) או מחשב ביתי (Raspberry Pi, miniPC, NAS עם תמיכה וכו'). כל הפצה מודרנית עם תמיכה ב-WireGuard תעבוד, אבל Ubuntu/Debian מציעים תיעוד ודוגמאות נוספות.

אתה צריך משתמש עם הרשאות ניהול (root או משתמש עם הרשאות sudo) מכיוון שתתקינו חבילות, יכוונו הגדרות רשת, הפעילו העברת IP, ואולי תשנו את כללי חומת האש. כמו כן, חשוב שתהיה לכם גישת SSH לשרת ולדעת, לכל הפחות, כיצד להתחבר מהמחשב שלכם.

בצד הלקוח, תשתמשו בעיקר ב- סמארטפון אנדרואיד עם אפליקציית WireGuard הרשמיתלמרות שאותה סכמת תצורה עובדת עבור Windows, macOS, Linux או iOS. קובץ התצורה משתנה מעט בין פלטפורמות, כך שמה שתלמדו כאן יהיה שימושי עבור כולן.

האויב הגדול: CGNAT וכיצד הוא משפיע על ה-VPN הביתי שלך

אחת הנקודות החשובות ביותר, במיוחד אם השרת נמצא בבית, היא לדעת אם הספק שלך שם אותך מאחורי רשת. CGNAT (NAT ברמת נושא)תחת CGNAT, אתה משתף כתובת IP ציבורית עם לקוחות אחרים ו אינך יכול לפתוח פורטים לרשת הביתית שלךמה שמקשה ביותר על חשיפת שרת VPN בחיבור הביתי שלך.

גילוי זה פשוט: ראשית, רשמו את IP ציבורי מאתר אינטרנט כמו "whatismyip" בדפדפן שלך. לאחר מכן, גש ללוח הבקרה של הנתב שלך (בדרך כלל בכתובת 192.168.1.1 או 192.168.0.1) וחפש במקטע ה-WAN או האינטרנט את כתובת ה-IP שהנתב חושב שיש לו. אם כתובת ה-IP הזו מתחילה ב- 10.xxx או נמצא בטווח 100.64.0.0 – 100.127.255.255 ואם זה לא תואם את המידע באתרי האינטרנט, אתם תחת אחריות CGNAT. אפשרות ישירה נוספת היא להתקשר למפעיל ולשאול.

עם CGNAT, הנתב שלך לא מקבל כתובת IP ציבורית ישירה, כך אי אפשר לעשות פורט נדידה קלאסיחלק מהחברות מאפשרות לך לבטל את CGNAT על ידי תשלום נוסף או הפעלת אפשרות, אחרות דורשות שתשנה את התוכנית שלך, ולפעמים המחיר מרקיע שחקים. אם אינך רוצה לעבור את כל זה, הפתרון החכם הוא לעבור ל... VPS כגשרשרת הבית שלך יוצר מנהרת WireGuard ל-VPS, ואתה מתחבר ל-VPS מאנדרואיד כדי להגיע לרשת ה-LAN הביתית שלך.

הכנת שרת לינוקס: עדכון והתקנה של WireGuard

בשרת עם אובונטו 22.04 (או דומה), הדבר הראשון שצריך לעשות הוא עדכון חבילות כדי למנוע העברה של פגיעויות או גרסאות ישנות:

apt update && apt upgrade -y

לאחר מכן התקינו את WireGuard מהמאגרים הרשמיים עם:

apt install -y wireguard

חבילה זו כוללת את הכלים wg ו-wg-quick וטוען את מודול הליבה הדרוש. אם ברצונך לאלץ טעינה ידנית בסביבה יוצאת דופן, תוכל להשתמש ב:

modprobe wireguard

יצירת מפתחות ומבנה תצורת שרת

הליבה של WireGuard היא המערכת של מפתחות ציבוריים ופרטייםבדרך כלל, העבודה מתבצעת בספרייה הסטנדרטית. /etc/wireguard/היכן תאחסנו מפתחות וקבצי תצורה.

עבור לספרייה זו והחזק את הרשאות ברירת המחדל לפני יצירת כל דבר:

cd /etc/wireguard/
umask 077

זה מבטיח ש- ייתכן שקבצים חדשים לא יהיו קריאים על ידי משתמשים אחריםזה קריטי בעת יצירת מפתחות פרטיים. צור את זוג המפתחות של השרת, לדוגמה:

wg genkey > privatekey
wg pubkey < privatekey > publickey

La מפתח פרטי זה חייב להישאר תמיד על השרת ולעולם לא לעזוב אותו; מפתח ציבורי כן, ניתן לשתף אותו עם לקוחות. כמו כן, הימנעו מיישומים של צד שלישי שעלולים לסכן סודות; עיינו במאמרים בנושא [נושא חסר]. יישומי VPN לא מאובטחים אם יש לכם ספקות לגבי לקוחות.

chmod 600 privatekey

אם ברצונך לראות את המקשים על המסך כדי להעתיק אותם מאוחר יותר, תוכל להשתמש ב:

tail privatekey publickey

צור וערוך את קובץ wg0.conf של השרת

WireGuard מארגנת את המנהרות שלה ב ממשקים וירטואליים קריאות לפי מוסכמה wg0, wg1 וכו'. לכל ממשק יש קובץ תצורה משלו ב- /etc/wireguard/אנחנו הולכים ליצור wg0.conf כממשק הראשי.

אם אתם אוהבים את Nano ועדיין לא מותקנת, תוכלו להוסיף אותו באמצעות:

apt install -y nano

פתח את קובץ התצורה:

nano /etc/wireguard/wg0.conf

לפני כתיבת כל דבר, זהו את שם ממשק הרשת שמתחבר לאינטרנט (זה עם כתובת ה-IP הציבורית או כתובת ה-IP בה אתם משתמשים כדי להתחבר דרך SSH). תוכלו למצוא זאת באמצעות:

ip a

בהרבה שירותי VPS זה נקרא eth0, ens3, enp0s3 או משהו כזה. תצטרך את זה עבור כללי NAT. דוגמה לבלוק שלם עשויה להיות:


Address = 10.30.0.1/24
PrivateKey = <clave_privada_servidor>
ListenPort = 51820
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

כאן אתה נותן לשרת את כתובת ה-IP 10.30.0.1 בתוך רשת ה-VPN, אתה אומר לו להאזין בפורט UDP 51820, ואתה מגדיר את כללי ה-iptables שחלים כאשר ממשק wg0 עולה (פוסטאפ) ומוסרים כשאתה יורד (פוסטדאון). היזהרו בעת החלפה eth0 לפי השם האמיתי של ממשק הפלט שלך.

ב-Nano, אתם חוסכים עם Ctrl + A ואתה סוגר עם Ctrl + Xהקובץ wg0.conf הזה יהיה הליבה שעליה תוסיף את הלקוחות השונים (עמיתים).

הפעלת העברת IP והפעלת שירות WireGuard

כדי שלקוחות שלך יוכלו לגשת לאינטרנט או לרשת ה-LAN שמאחורי שרת ה-VPN, המערכת חייבת לאפשר את העברת חבילות IPv4 ו-IPv6זה נשלט באמצעות sysctl.

דרך מהירה היא להוסיף את השורות המתאימות ל /etc/sysctl.conf או לקובץ ב /etc/sysctl.d/ וטעינה:

echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
echo "net.ipv6.conf.all.forwarding=1" >> /etc/sysctl.conf
sysctl -p

אם שורות אלו כבר היו קיימות אך הוסרו מהערות (עם #), די בכך הסר את ה-#שמור והפעל מחדש sysctl -pבלי שלב זה, המנהרה תהיה פתוחה אך תאבד גישה לרשת המקומית או לאינטרנט מהלקוחות.

כעת ניתן להרים את WireGuard בעזרת wg-quick ומערכת:

systemctl start wg-quick@wg0

כדי לגרום לו להתחיל באופן אוטומטי עם המערכת:

systemctl enable wg-quick@wg0

בדוק שהכל ירוק בעזרת:

systemctl status wg-quick@wg0

וכדי לראות פרטים בזמן אמת על הממשק, המפתחות, העמיתים והתעבורה, השתמשו ב:

wg

הוספת לקוחות: מחשב, נייד אנדרואיד ומכשירים אחרים

כל מכשיר שמתחבר ל-VPN שלך מוגדר כ- עמית עם המפתח ו-IP מנהרה משלהםניתן לייצר את המפתחות בשרת עצמו (נוח יותר) או בכל לקוח (בטוח יותר, כי המפתח הפרטי לעולם לא עוזב אותו).

עבור מחשב שולחני ניתן לעשות, למשל, ב- /etc/wireguard/:

wg genkey > mypc_privatekey
wg pubkey < mypc_privatekey > mypc_publickey

ולמכשיר הנייד אנדרואיד שלך:

wg genkey > myphone_privatekey
wg pubkey < myphone_privatekey > myphone_publickey

בדוק את הקבצים עם:

ls

וזה מציג את המפתחות הציבוריים:

tail mypc_publickey myphone_publickey

המפתחות הציבוריים האלה הם אלה שתזין wg0.conf בתוך בלוקים פתח שוב את קובץ השרת:

nano /etc/wireguard/wg0.conf

והוא מוסיף, למשל:


PublicKey = <clave_publica_mypc>
AllowedIPs = 10.30.0.2/32

מפתח ציבורי =
כתובות IP מותרות = 10.30.0.3/32

בכך אתה שומר את כתובת ה-IP 10.30.0.2 למחשב ו 10.30.0.3 עבור אנדרואיד ניידה-/32 מציין שמדובר בכתובת IP אישית. כל עמית משתמש בכתובת IP ייחודית משלו בתוך תת-רשת ה-VPN.

שמור וטען מחדש את השירות כדי להחיל את השינויים:

systemctl restart wg-quick@wg0

יצירת קבצי תצורת לקוח

עכשיו הגיע הזמן להכין את קבצי .conf בהם ישתמשו הלקוחותהם כוללים את המפתח הפרטי שלך, כתובת ה-IP הפנימית, נתוני ה-DNS והשרת (מפתח ציבורי, כתובת IP/דומיין ופורט).

עבור המחשב האישי ניתן ליצור mypc.conf ב-/etc/wireguard/ (או בכל מקום אחר שתבחרו):

nano mypc.conf

סוג תוכן:


PrivateKey = <clave_privada_mypc>
Address = 10.30.0.2/24
DNS = 1.1.1.1

מפתח ציבורי =
נקודת קצה = :51820
כתובות IP מותרות = 0.0.0.0/0
PersistentKeepalive = 20

בבלוק הראשון, עליך להגדיר את ה"פנים" המקומי של הלקוח: המפתח הפרטי שלו, כתובת ה-IP של ה-VPN שלו, ואיזה DNS הוא ישתמש. בבלוק השני, עליך לתאר את השרת: המפתח הציבורי שלו, הכתובת והפורט. השורה כתובות IP מותרות = 0.0.0.0/0 עושה כל תנועת הלקוחות עוברת דרך ה-VPN (מנהרה מלאה). אם אתם רוצים גישה רק לרשת ה-LAN המרוחקת שלכם, תוכלו להגביל אותה ל-10.30.0.0/24 ו/או 192.168.x.0/24, בהתאם לרשת שלכם.

מתמיד כל 20-25 שניות מומלץ מאוד עבור לקוחות הנמצאים מאחורי רשתות NAT או סלולריות, מכיוון שזה מונע מהמנהרה להיראות כלא פעילה ומחומת האש לסגור את הסשן.

תצורה ספציפית ללקוח אנדרואיד

באנדרואיד, התהליך זהה. הטלפון זקוק ל... מפתח פרטי, ה-IP של המנהרה שלך ונתוני השרת. ניתן לעשות שימוש חוזר במפתחות שיצרת בשרת או ליצור אותם ישירות באפליקציה.

בעקבות הדוגמה, יצרת myphone_privatekey ו- myphone_publickeyחסר לך קובץ myphone.conf עבור הטלפון שלך:

nano myphone.conf

משהו כזה:


PrivateKey = <clave_privada_myphone>
Address = 10.30.0.3/24
DNS = 1.1.1.1

מפתח ציבורי =
נקודת קצה = :51820
כתובות IP מותרות = 0.0.0.0/0
PersistentKeepalive = 20

החלק המסובך כאן הוא כיצד לשלוח את הקובץ הזה לטלפון הנייד בצורה מאובטחתבסביבת מעבדה, ניתן להעלות אותו לשרת אינטרנט ולהוריד אותו, אך בסביבת ייצור, עדיף להימנע משליחתו בדוא"ל או מאחסונו בשירותים לא מוצפנים.

הדרך הנקייה ביותר היא בדרך כלל להשתמש qrencode כדי ליצור קוד QR שאפליקציית WireGuard באנדרואיד יכולה לסרוק:

apt install -y qrencode
qrencode -t ansiutf8 -r myphone.conf

תראו קוד QR בתווי ASCII במסוף. במכשיר הנייד שלכם, פתחו את אפליקציית WireGuard, בחרו "סריקה מקוד QR"(סרוק מקוד QR) והצביע על המסך. כך אינך צריך לשתף את קובץ ה-.conf דרך ערוצים מפוקפקים."

גישה לרשת ה-LAN הביתית, ל-DNS ולשמות מקומיים

מעבר לבניית המנהרה, מה מעניין לגבי VPN עם WireGuard באנדרואיד לחיבור ביתי מאובטח מדובר ביכולת לגשת לכל המכשירים הביתיים שלך כאילו היית שם: NAS, מצלמות IP, נתבים, שרתי מדיה וכו', באופן אידיאלי באמצעות שמות דומיין מקומיים במקום כתובות IP.

נתבים רבים המשלבים שרת WireGuard או DNS פנימי כוללים מקטע כמו רשת → DNS → עריכת מארחים היכן שתוכלו ליצור ערכים כמו 192.168.1.50 nas-casa.localאם תפנה את ה-DNS של לקוחות ה-VPN שלך לנתב או לשרת שמזהה את השמות האלה, תוכל לגשת למכשירים שלך לפי שם מארח.

חלק מקושחות הנתבים עם WireGuard כוללות תיבות סימון כמו "אפשר גישה מרחוק לרשת מקומית""רשת משנה של LAN לגישה מרחוק" או דומה. עליך להפעיל אותם כדי שלקוחות מרוחקים יוכלו להגיע אל רשת משנה מקומית (192.168.xx) מעבר לראוטר עצמו.

בתרחישים שבהם שרת WireGuard פועל מוטמע בנתב, הוא מאפשר לעתים קרובות ייצוא פרופילי .conf מוכנים מראש עבור מכשירים ניידים או נתבים אחרים של לקוח. פרופילים אלה כוללים בדרך כלל את כתובת ה-IP של המנהרה, את ה-DNS הנכון (בדרך כלל כתובת ה-IP של הנתב עצמו ברשת ה-VPN), וכתובת IP מוגבהת שתצורתה נכונה.

אימות, פתרון בעיות ואבטחה

לאחר ייבוא ​​התצורה לאנדרואיד והפעלת המנהרה, הדבר הראשון שיש לעשות הוא לבדוק ש לחיצת היד מתרחשת בצורה נכונה.אפליקציית WireGuard עצמה מציגה את הסטטוס, הבייטים שנשלחו/התקבלו ואת חותמת הזמן של לחיצת היד האחרונה.

בשרת, הפעל:

wg

שם תראו, עבור כל עמית, את המפתח הציבורי שלו, את כתובת ה-IP המרוחקת ממנה הוא מתחבר, את לחיצת היד האחרונה ואת התעבורה שהוחלפה. אם השדה "לחיצת יד אחרונה" ריק או ישן מאוד, הלקוח לא מתחבר או שמשהו חוסם אותו.

אם אין קשר, בדוק ש- פורט UDP (51820 או הפורט בו אתם משתמשים) פתוח בחומת האש של השרת (UFW, iptables, nftables) ובכל נתב ביניים. אם השרת נמצא מאחורי נתב ביתי, הגדר את העברת פורטים UDP מאותו פורט לכתובת ה-IP הפנימית של השרתהבעיה עשויה להשפיע על אפליקציות ספציפיות; עיין במדריך שלנו בנושא מה לעשות אם אפליקציות נכשלות כאשר VPN מופעל.

אם המנהרה נפתחת אך אין לך אינטרנט סלולרי, בדוק את העברת החבילות (net.ipv4.ip_forward ובאופציה net.ipv6.conf.all.forwarding) פעיל ושכללי ה-NAT מצביעים על הממשק היוצא הנכון (eth0, ens3 וכו').

בעיות DNS מתגלות בדרך כלל כאשר ניתן לבצע פינג לכתובת IP ספציפית (לדוגמה, 1.1.1.1) אך לא ניתן לפענח דומיינים. במקרה כזה, בדוק את השורה DNS = בקובץ ה-.conf של הלקוח: ניתן להשתמש ב-DNS ציבורי (8.8.8.8, 1.1.1.1) או בכתובת ה-IP של המנהרה של השרת אם היא משמשת כרזולוטור פנימי.

מבחינת אבטחה, מעבר לקריפטוגרפיה של WireGuard, ישנם מספר שיטות עבודה מומלצות חיוניות:

• הגן על המפתחות הפרטיים שלךאין להעתיק אותם לאתרים לא בטוחים ואל תשתף אותם עם אף אחד.
• מגביל את כתובות ה-IP המותרות לכל עמית: נותן לכל לקוח גישה רק לרשתות שהוא צריך, ללא יד חופשית.
• השתמש בפורטים לא טריוויאליים של UDPהחלפת ה-51820 בערך גבוה יותר מפחיתה רעש מסריקות אוטומטיות.
• שמרו על המערכת שלכם ועל WireGuard מעודכנים: טלאים כל יום.
• מסנן גישה לפורט WireGuard בחומת האש כדי להגביל את מי שיכול לנסות להתחבר (לפי כתובת IP של המקור כאשר זה הגיוני).

כשיש לך CGNAT או שאתה רוצה משהו מתקדם יותר: מנהור דרך VPS

אם המפעיל שלך מעביר אותך ל-CGNAT או שאתה פשוט רוצה להפריד את שכבת הגישה הציבורית של הבית שלך, תוכל להגדיר פתרון מורכב יותר אך עוצמתי מאוד: השתמשו ב-VPS כנקודת גישה מרכזית ובשרת הביתי שלכם כלקוח.לאחר מכן אתה מתחבר ל-VPS מאנדרואיד ודרכו אתה ניגש לרשת ה-LAN שלך.

התוכנית הבסיסית היא כזו: בענן אתה מגדיר שרת WireGuard (לדוגמה עם Docker ו-stack כמו linuxserver/wireguard או repository מובנה מראש), אתה מאפשר העברה ו-NAT, ובבית יש לך פִּי רַסְבִּיר או מחשב תמיד דלוקים אשר מתחבר לשרת VPS זה כעמית. לשרת VPS יש IP ציבורי והוא אינו מושפע מ-CGNAT, כך שתוכל לפתוח שם פורטים ללא כל בעיה.

תהליך עבודה טיפוסי עם Docker עשוי להיות:

• ב-VPS מתקינים את Docker ואת Docker Compose, משכפלים מאגר תצורות של WireGuard ו- אתה מרים את המכולה בעזרת `docker-compose up -d`.
• המכולה מייצרת באופן אוטומטי את מפתחות השרת ואת אלה של מספר עמיתים (peer1, peer2…), ושומרת את קבצי ה-.conf שלהם בתיקיית config.
• אתה מתאים את קובץ השרת כך שיכלול את שלך רשת משנה ביתית (לדוגמה 192.168.1.0/24) בכתובות IP מותרות של העמית שה-Raspberry שלך ישתמש בו, והגדר iptables או כללים מקבילים במארח כדי לנתב תעבורה בין ה-VPN לרשת הביתית שלך.
• ב-Raspberry Pi, שכפלו את אותו מאגר (או מאגר מוכן), צרו קובץ wg0.conf עם הנתונים שנוצרו עבור peer1, הפעילו NAT מקומי (כדי שנוכל לשלוח תעבורה חזרה ל-LAN), והפעילו את לקוח WireGuard ב-Docker או באופן מקורי.

משם, כל מכשיר אחר (כולל שלך) אנדרואיד עם אפליקציית WireGuardניתן להשתמש באחד מהעמיתים הנוספים של ה-VPS (peer2, peer3...) כדי להתחבר. בפועל, תמיד מתחברים לכתובת ה-IP של ה-VPS, אך בסופו של דבר מגיעים לשירותי הרשת הביתית שלכם, אפילו דרך CGNAT.

WireGuard עם פאנלים מקוונים: WireGuard Easy, EasyPanel וחברות

אם כל זה נשמע לכם כמו קונסולה מוגזמת, ישנם פתרונות נוחים מאוד שמגדירים... פאנל אינטרנט לניהול WireGuard בלחיצה אחתלדוגמה, בשרת עם EasyPanel ניתן לפרוס אפליקציה כמו WireGuard Easy באמצעות תבנית ושכחו מכתיבת קבצים ידנית.

תהליך העבודה עם לוחות אלה הוא בדרך כלל:

• אתה ניגש לפאנל (EasyPanel או אחר) באמצעות המשתמש שלך.
• אתה מתקין את התבנית WireGuard Easy, המגדיר פרמטרים כגון דומיין/IP ציבורי (WG_HOST), יציאת UDP, תת-רשת VPN ו-DNS.
• המערכת מפעילה קונטיינר שחושף ממשק אינטרנט מוגן בסיסמה שבו ניתן לראות את רשימת עמיתים, סטטיסטיקות ואפשרויות תצורה.
• כדי להוסיף לקוח, פשוט ממלאים טופס עם שמו; הפאנל מייצר את המפתחות, מקצה להם כתובת IP ומציג את קוד QR מוכן לסריקה עם אנדרואיד, בנוסף לאפשרות להוריד את קובץ ה-.conf.

זה נוח ביותר בסביבות שבהן יותר אנשים משתמשים ב-VPN (משפחה, צוות עבודה וכו'), כי אתה יכול... הפעלה או ביטול גישה תוך שניות בלי צורך להסביר שום דבר טכני. יתר על כן, אם תפרסו את WireGuard Easy על גבי VPS, תמרכזו את כל הגישה מרחוק לרשת הביתית שלכם ולמיקומים אחרים.

WireGuard במערכות אחרות: Windows, macOS, Linux, iOS

למרות שאנו מתמקדים כאן באנדרואיד, WireGuard עובד באותה מידה עם מחשבים נייחים וניידים אחריםב-Windows, לדוגמה, מורידים את הלקוח הרשמי, מתקינים אותו ולוחצים על "הוסף מנהרה", תבחרו באפשרות "הוספת מנהרה ריקה" או "ייבוא ​​מקובץ", והתוכנית עצמה תוכל לייצר עבורכם את זוג המפתחות.

פורמט התצורה זהה: בלוק עם שלך מפתח פרטי, כתובת ו-DNS, ולחסום עם ה- מפתח ציבורי של השרת, נקודת הקצה וכתובות ה-IP המותרותלאחר השמירה, פשוט לחצו על "הפעלה" כדי להפעיל את הממשק ולהפעיל את זרימת התעבורה.

ב-iOS התהליך דומה מאוד לזה של אנדרואיד: מתקינים את אפליקציית WireGuard מחנות האפליקציות, יוצרים מנהרה חדשה, ואתם יכולים... ייבא את קובץ ה-.conf או סרוק את קוד ה-QR שיצרת באמצעות qrencode או מפאנל כמו WireGuard Easy. לאחר מכן אתה מפעיל את המנהרה באמצעות מתג ואתה כבר בתוך הרשת הביתית שלך.

בלינוקס שולחני ניתן להשתמש בכלי שורת הפקודה עצמו (wg-מהיר למעלה wg0או לשלב אותו עם NetworkManager על ידי ייבוא ​​קובץ ה-.conf מהממשק הגרפי. ישנו גם לקוח רשמי של macOS עם חוויה דומה מאוד לגרסת Windows.

בסופו של דבר, לאחר אותו פרוטוקול וסכימת תצורה בכל הפלטפורמות זה מפשט את החיים מאוד: אתה משכפל את הלוגיקה מלקוח אחד למשנהו רק על ידי שינוי המפתחות וכתובת ה-IP של המנהרה.

עם השילוב הזה - שרת לינוקס או Docker מוגדר היטב, תמיכה אפשרית ב-VPS אם יש לכם CGNAT, פאנלים מקוונים לפישוט הניהול ואפליקציית WireGuard באנדרואיד - תוכלו להגדיר... VPN ביתי חזק, מהיר ומאובטח שמאפשר לך גישה לרשת הביתית שלך, לקבצים ולשירותים שלך, ולגלוש בצורה מאובטחת ב-WiFi ציבורי מבלי להסתמך על צדדים שלישיים או פתרונות מסחריים אטומים. שתפו מידע זה כדי שאחרים ידעו על התכונה החדשה.