الصفحة الرئيسية>كود المصدر CGI>فئات أخرى
تنزيل

بعض وثائق WireGuard غير الرسمية



دليل API المرجعي لـ WireGuard بما في ذلك الإعداد والتكوين والاستخدام، مع أمثلة.

كل الفضل يعود إلى مشروع WireGuard، وzx2c4 والمساهمين مفتوحي المصدر للبرنامج الأصلي،
هذه هي محاولتي المنفردة غير الرسمية لتوفير المزيد من الوثائق الشاملة ومراجع واجهة برمجة التطبيقات والأمثلة.

مصدر هذه المستندات ومثال التعليمات البرمجية وأداة تعقب المشكلات: https://github.com/pirate/wireguard-docs إصدار صفحة HTML أجمل: https://docs.sweeting.me/s/wireguard

WireGuard هو حل VPN مفتوح المصدر مكتوب بلغة C بواسطة Jason Donenfeld وآخرين، ويهدف إلى إصلاح العديد من المشكلات التي ابتليت بها عروض VPN الحديثة الأخرى من خادم إلى خادم مثل IPSec/IKEv2 أو OpenVPN أو L2TP. تشترك في بعض أوجه التشابه مع عروض VPN الحديثة الأخرى مثل Tinc وMeshBird، وتحديدًا مجموعات التشفير الجيدة والحد الأدنى من التكوين. اعتبارًا من 2020-01، تم دمجه في الإصدار 5.6 من Linux kernel، مما يعني أنه سيتم شحنه مع معظم أنظمة Linux الجاهزة.

الروابط الرسمية

  • الصفحة الرئيسية: https://www.wireguard.com
  • التثبيت: https://www.wireguard.com/install/
  • البداية السريعة: https://www.wireguard.com/quickstart/
  • صفحات الإدارة: wg ، wg-quick
  • الريبو الرئيسي لـ Git: https://git.zx2c4.com/WireGuard/
  • مرآة جيثب: https://github.com/WireGuard/WireGuard
  • القائمة البريدية: https://lists.zx2c4.com/mailman/listinfo/wireguard

أهداف WireGuard

  • أمان قوي وحديث بشكل افتراضي
  • الحد الأدنى من التكوين وإدارة المفاتيح
  • سريع، سواء الكمون المنخفض أو النطاق الترددي العالي
  • أجزاء داخلية بسيطة ومساحة سطحية صغيرة للبروتوكول
  • واجهة سطر الأوامر (CLI) البسيطة والتكامل السلس مع شبكات النظام

كما أنها سريعة كالجحيم . أحصل بشكل روتيني على أصوات أقل من 0.5 مللي ثانية و 900 ميجابايت في الثانية + على الاتصالات الجيدة.
(راجع https://www.ckn.io/blog/2017/11/14/wireguard-vpn-typical-setup/)

جدول المحتويات

راجع https://github.com/pirate/wireguard-docs للحصول على مصدر الكود والوثائق على سبيل المثال.

  • جدول المحتويات
  • مقدمة
    • متطلباتي الشخصية لحل VPN
    • قائمة حلول VPN الممكنة
  • وثائق WireGuard
    • مسرد
      • النظير/العقدة/الجهاز
      • خادم ترتد
      • الشبكة الفرعية
      • تدوين CIDR
      • نات
      • نقطة النهاية العامة
      • مفتاح خاص
      • المفتاح العام
      • DNS
      • سلاسل المثال
    • كيف يعمل WireGuard
      • كيف تعمل خوادم الترحيل العامة
      • كيف يقوم WireGuard بتوجيه الحزم
      • كيف تبدو حركة مرور WireGuard
      • أداء WireGuard
      • نموذج أمان WireGuard
      • كيف يدير WireGuard المفاتيح
    • الاستخدام
      • بداية سريعة
      • يثبت
      • إنشاء التكوين
      • جيل المفتاح
      • ابدأ / توقف
      • فحص
      • اختبار
    • مرجع التكوين
      • [الواجهة]
      • [النظير]
    • موضوعات متقدمة
      • IPv6
      • إعادة توجيه جميع حركة المرور
      • اتصالات NAT إلى NAT
      • تخصيص IP الديناميكي
      • تطبيقات WireGuard الأخرى
      • أدوات إعداد WireGuard
      • اختصارات التكوين
      • النقل بالحاويات
  • مزيد من القراءة
    • المستندات المرجعية
    • دروس
    • الأوراق والمقالات والمحادثات
    • المشاريع ذات الصلة
    • عامل ميناء
    • آخر
    • المناقشات

مقدمة

سواء كنت تعيش خلف سور الصين العظيم أو تحاول فقط تكوين شبكة بين خوادمك، فإن WireGuard يعد خيارًا رائعًا ويعمل بمثابة "كتلة ليغو" لبناء الشبكات (بنفس الطريقة التي تكون بها ZFS عبارة عن كتلة ليغو لبناء أنظمة الملفات ).

نظرة عامة على WireGuard

  • الحد الأدنى من التكوين ومساحة سطح منخفضة قابلة للضبط وافتراضيات معقولة
  • الحد الأدنى من أعمال إدارة المفاتيح المطلوبة، مفتاح عام ومفتاح خاص واحد فقط لكل مضيف
  • يتصرف كواجهة إيثرنت عادية، ويتصرف بشكل جيد مع قواعد توجيه حزم kernel القياسية
  • القدرة على إنشاء شبكة LAN بسهولة مثل 192.0.2.0/24 بين جميع الخوادم، أو شبكات أكثر تعقيدًا باستخدام مسارات مخصصة
  • القدرة على بعض حركة المرور أو كل حركة المرور إلى/من خلال مضيفين عشوائيين على شبكة VPN LAN
  • عمليات إعادة الاتصال التلقائية القوية بعد عمليات إعادة التشغيل / توقف الشبكة / انخفاض جدول اتصال NAT
  • سريع (زمن الوصول المنخفض وعرض النطاق الترددي لمعدل الخط)
  • تشفير حديث، آمن بشكل افتراضي مع السرية الأمامية والمرونة في مواجهة هجمات الرجوع إلى إصدار أقدم
  • دعم مثالي لأي نوع من المستوى 2 والتحكم في حركة المرور، على سبيل المثال ARP/DHCP/ICMP (أو إطارات إيثرنت خام بشكل مثالي)، وليس فقط TCP/HTTP
  • القدرة على الانضمام إلى VPN من Ubuntu وFreeBSD وiOS وMacOS وWindows وAndroid (عبر تطبيقات مفتوحة المصدر أو محليًا)
  • يدعم كلا من التشغيل على حركة مرور توجيه المضيف لعامل الإرساء أو التشغيل في توجيه حاوية عامل الإرساء للمضيف

الأشياء التي لا يقوم بها WireGuard:

  • تشكيل شبكة شبكية ذاتية الشفاء حيث تتبادل العقد تلقائيًا القيل والقال مع الجيران
  • اختراق NATs المزدوجة باستخدام خادم الإشارات (نمط WebRTC)
  • التعامل مع توزيع وإلغاء المفاتيح تلقائيًا من خلال سلطة مركزية
  • السماح بإرسال إطارات إيثرنت من الطبقة الثانية (وهي موجودة في طبقة IP)

ولكن يمكنك كتابة الحلول الخاصة بك لهذه المشكلات باستخدام WireGuard أسفل الغطاء (مثل Tailscale أو AltheaNet).

قائمة حلول VPN الأخرى

  • WireGuard
  • IPSec (IKEv2)/strongSwan: في تجربتي، كان هناك الكثير من التكوينات الهشة التي كانت مختلفة لكل نظام تشغيل، وإعداد خرق NAT يدوي للغاية ويتضمن تحديث الخادم المركزي وبدء تشغيل جميع الخادمات الأخرى بالترتيب الصحيح، لم يكن الأمر كذلك نظرًا لأنه كان رائعًا في أن يصبح مستقرًا مرة أخرى بعد توقف الشبكة، كان لا بد من إعادة تشغيله يدويًا كثيرًا. قد تختلف المسافة المقطوعة.
  • OpenVPN: يمكن أن يعمل عبر UDP أو يتنكر كحركة مرور HTTPS عبر TCP
  • StealthVPN: لم أجربه، أليس كذلك؟
  • DsVPN: أعتقد أنه يستخدم TCP-over-TCP والذي عادة لا ينتهي بشكل جيد...
  • SoftEther (SSTP): لم أجربه بعد، هل يجب علي ذلك؟ (كما يفعل TCP-over-TCP؟)
  • L2TP: قديم إلى حد ما
  • PPTP: قديم وغير مرن وغير آمن ولا يلبي جميع المتطلبات
  • SOCKS/SSH: جيد لتوكيل حركة مرور أحادية المنفذ، وليس نفق شبكة كامل أو VPN

حلول شبكة VPN

  • TINC: لم أجربه بعد، ولكنه لا يعمل على نظام التشغيل iOS، وهو أسوأ سيناريو يمكن أن أعيشه
  • VPNCloud: خصائص مشابهة لـ WireGuard، مع المزيد من ميزات الشبكة التلقائية
  • cjdns: لم أجربه بعد، هل يجب علي ذلك؟
  • ZeroTier: لم أجربه بعد، أليس كذلك؟
  • MeshBird: طبقة VPN/شبكة "سحابية أصلية".
  • شبكة Yggdrasil: Yggdrasil عبارة عن شبكة VPN شبكية IPv4/IPv6 ذاتية الترتيب (لم تجربها بعد)

أدوات إعداد VPN

  • أداة إعداد Algo WireGuard
  • Striesand أداة إعداد البروتوكولات المتعددة
  • IKEv2-setup IKEv2 البرنامج النصي لإعداد خادم IKEv2
  • أداة إعداد WireGuard-Manager WireGuard، الكل في واحد

وثائق WireGuard

مسرد

سلاسل المثال

هذه هي أسماء المضيفين التجريبية وأسماء النطاق وعناوين IP والنطاقات المستخدمة في الوثائق وأمثلة التكوينات. استبدلها بالقيم المفضلة لديك عند إجراء الإعداد الخاص بك.

  • نطاق المثال: يمكن استبدال example-vpn.dev بأي مجال يمكن الوصول إليه بشكل عام وتتحكم فيه
  • أمثلة على أسماء المضيفين: public-server1 , public-server2 , home-server , laptop , phone يمكن تغييرها إلى أسماء المضيفين لجهازك
  • عناوين ونطاقات IP: 192.0.2.1/24 ، 192.0.2.3 ، 192.0.2.3/32 ، 2001:DB8::/64 يمكن استبدالها بالشبكات الفرعية والعناوين المفضلة لديك (على سبيل المثال 192.168.5.1/24 )

أينما ترى هذه السلاسل أدناه، يتم استخدامها فقط كقيم نائبة لتوضيح مثال وليس لها أي معنى خاص.

تأكد من تغيير عناوين IP في التكوينات الخاصة بك! إن الكتل المستخدمة في هذه المستندات محجوزة على سبيل المثال لأغراض بواسطة IETF ويجب عدم استخدامها مطلقًا في إعدادات الشبكة الحقيقية.

  • 192.0.2.0/24 (TEST-NET-1) نطاق مثال IPv4 RFC5737
  • 2001:DB8::/32 نطاق مثال IPv6 RFC3849

يمكنك استخدام أي نطاق خاص تريده لإعداداتك الخاصة، على سبيل المثال 10.0.44.0/24 ، فقط تأكد من أنها لا تتعارض مع أي من نطاقات شبكة LAN الفرعية التي يتواجد عليها أقرانك.

النظير/العقدة/الجهاز

مضيف يتصل بشبكة VPN ويسجل عنوان شبكة فرعية لشبكة VPN مثل 192.0.2.3 لنفسه. يمكنه أيضًا توجيه حركة المرور بشكل اختياري لأكثر من عنوان (عناوين) خاص به عن طريق تحديد نطاقات الشبكة الفرعية في تدوين CIDR مفصولة بفواصل.

خادم ترتد

نظير/عقدة يمكن الوصول إليها بشكل عام وتعمل كنقطة احتياطية لترحيل حركة المرور لأقران VPN الآخرين خلف NAT. لا يعد خادم الارتداد نوعًا خاصًا من الخوادم، فهو نظير عادي تمامًا مثل جميع الخوادم الأخرى، والفرق الوحيد هو أنه يحتوي على عنوان IP عام ويتم تشغيل إعادة توجيه IP على مستوى kernel مما يسمح له بإرجاع حركة المرور مرة أخرى إلى شبكة VPN للعملاء الآخرين.

شاهد المزيد: https://tailscale.com/blog/how-nat-traversal-works/ (يستخدم Tailscale Wireguard أسفل الغطاء)

الشبكة الفرعية

مجموعة من عناوين IP منفصلة عن الإنترنت العام، على سبيل المثال 192.0.2.1-255 أو 192.168.1.1/24. بشكل عام، يتم توفيره خلف NAT بواسطة جهاز توجيه، على سبيل المثال في شبكة الإنترنت المحلية في المكتب أو شبكة Wi-Fi المنزلية.

تدوين CIDR

طريقة لتعريف الشبكة الفرعية وحجمها باستخدام "قناع"، قناع أصغر = المزيد من وحدات بت العنوان التي يمكن استخدامها بواسطة الشبكة الفرعية والمزيد من عناوين IP في النطاق. الأكثر شيوعًا:

  • 192.0.2.1/32 (عنوان IP واحد، 192.0.2.1 ) قناع الشبكة = 255.255.255.255
  • 192.0.2.1/24 (255 عنوان IP من 192.0.2.0 - 192.0.2.255 ) قناع الشبكة = 255.255.255.0
  • 192.0.2.1/16 (65,536 عنوان IP من 192.0.0.0 - 192.0.255.255 ) قناع الشبكة = 255.255.0.0
  • 192.0.2.1/8 (16,777,216 عنوان IP من 192.0.0.0 - 192.255.255.255 ) قناع الشبكة = 255.0.0.0
  • 0.0.0.1/0 (4,294,967,296 عنوان IP من 0.0.0.0 - 255.255.255.255 ) قناع الشبكة = 0.0.0.0
  • يتم أيضًا دعم تدوين IPv6 CIDR، على سبيل المثال 2001:DB8::/64

https://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing

بالنسبة للأشخاص الذين بدأوا للتو، قد يبدو 192.0.2.1/32 طريقة غريبة ومربكة للإشارة إلى عنوان IP واحد. هذا التصميم جميل لأنه يسمح للأقران بكشف عناوين IP متعددة إذا لزم الأمر دون الحاجة إلى تدوينات متعددة. فقط اعلم أنه في أي مكان ترى شيئًا مثل 192.0.2.3/32 ، فهذا يعني في الواقع 192.0.2.3 .

نات

شبكة فرعية تحتوي على عناوين IP خاصة يوفرها جهاز توجيه يقف أمامها ويقوم بترجمة عنوان الشبكة، ولا يمكن الوصول إلى العقد الفردية بشكل عام من الإنترنت، وبدلاً من ذلك يتتبع جهاز التوجيه الاتصالات الصادرة ويعيد توجيه الاستجابات إلى عنوان IP الداخلي الصحيح (مثل شبكات المكاتب القياسية) ، شبكات الواي فاي المنزلية، شبكات الواي فاي العامة المجانية، الخ)

نقطة النهاية العامة

العنوان الذي يمكن الوصول إليه بشكل عام: منفذ للعقدة، على سبيل المثال 123.124.125.126:1234 أو some.domain.tld:1234 (يجب أن يكون الوصول إليه عبر الإنترنت العام، ولا يمكن عمومًا أن يكون عنوان IP خاصًا مثل 192.0.2.1 أو 192.168.1.1 ما لم يمكن الوصول إليه مباشرة باستخدام هذا العنوان من قبل نظراء آخرين على نفس الشبكة الفرعية).

مفتاح خاص

مفتاح WireGuard الخاص لعقدة واحدة، يتم إنشاؤه باستخدام: wg genkey > example.key (لا يترك العقدة التي تم إنشاؤها عليها مطلقًا)

المفتاح العام

مفتاح WireGuard العام لعقدة واحدة، تم إنشاؤه باستخدام: wg pubkey < example.key > example.key.pub (مشترك مع أقران آخرين)

DNS

خادم اسم المجال، يُستخدم لحل أسماء المضيفين لعناوين IP لعملاء VPN، بدلاً من السماح لطلبات DNS بالتسرب خارج VPN والكشف عن حركة المرور. التسريبات قابلة للاختبار من خلال http://dnsleak.com.

كيف يعمل WireGuard

كيف تعمل خوادم الترحيل العامة

المرحلات العامة هي مجرد نظيرات VPN عادية قادرة على العمل كخادم ترحيل وسيط بين أي عملاء VPN خلف NATs، ويمكنهم إعادة توجيه أي حركة مرور لشبكة VPN الفرعية يتلقونها إلى النظير الصحيح على مستوى النظام (WireGuard لا يهتم بكيفية حدوث ذلك ، يتم التعامل معها بواسطة kernel net.ipv4.ip_forward = 1 وقواعد توجيه iptables).

إذا كان يمكن الوصول إلى جميع الأقران بشكل عام، فلا داعي للقلق بشأن المعاملة الخاصة لجعل أحدهم خادم ترحيل، فهو ضروري فقط إذا كان لديك أي أقران متصلين من خلف NAT.

يحتاج كل عميل فقط إلى تحديد الخوادم/الأقران التي يمكن الوصول إليها بشكل عام في التكوين الخاص به، وأي حركة مرور مرتبطة بأقران آخرين خلف NATs ستنتقل إلى شبكة VPN الفرعية الشاملة (على سبيل المثال 192.0.2.1/24 ) في مسار AllowedIPs العامة المسموح بها وسيتم إعادة توجيهها وفقًا لذلك بمجرد وصوله إلى خادم الترحيل.

باختصار: يجب تكوين الاتصالات المباشرة بين العملاء فقط، ولا ينبغي تعريف أي اتصالات تحتاج إلى ارتداد على أنها نظيرات، حيث يجب أن تتوجه إلى خادم الارتداد أولاً ويتم توجيهها من هناك مرة أخرى عبر VPN إلى العميل الصحيح.

كيف يقوم WireGuard بتوجيه الحزم

يمكن بالتأكيد تحقيق طبولوجيا أكثر تعقيدًا، ولكن هذه هي طرق التوجيه الأساسية المستخدمة في إعدادات WireGuard النموذجية:

  • العقدة المباشرة إلى العقدة
    في أبسط الحالات، ستكون العقد إما على نفس الشبكة المحلية (LAN) أو يمكن الوصول إليها بشكل عام. قم بتحديد العقد التي يمكن الوصول إليها مباشرة باستخدام عناوين ومنافذ Endpoint المشفرة بحيث يتمكن WireGuard من الاتصال مباشرة بالمنفذ المفتوح وتوجيه حزم UDP بدون قفزات وسيطة.
  • عقدة خلف NAT المحلية إلى العقدة العامة
    عندما يكون أحد الطرفين خلف NAT البعيد (على سبيل المثال، عندما يتصل جهاز كمبيوتر محمول خلف NAT بـ public-server2 )، حدد العقدة التي يمكن الوصول إليها بشكل عام باستخدام Endpoint مشفرة وعقدة NAT-ed بدونها. سيتم فتح الاتصال من عميل NAT -> العميل العام، ثم سيتم توجيه حركة المرور مباشرة بينهما في كلا الاتجاهين طالما ظل الاتصال نشطًا عن طريق أوامر ping PersistentKeepalive الصادرة من عميل NAT-ed.
  • عقدة خلف NAT المحلي إلى عقدة خلف NAT البعيد (عبر التتابع)
    في معظم الأوقات عندما يكون كلا الطرفين وراء NATs، تقوم NATs بإجراء توزيع عشوائي لمنفذ المصدر مما يجعل الاتصالات المباشرة غير ممكنة، لذلك سيتعين عليهما فتح اتصال بـ public-server1 ، وسيتم إعادة توجيه حركة المرور عبر خادم الارتداد الوسيط طالما كانت الاتصالات يتم الاحتفاظ بها على قيد الحياة.
  • عقدة خلف NAT المحلي إلى عقدة خلف NAT البعيد (عبر ثقب UDP NAT)
    على الرغم من إمكانية ذلك في بعض الأحيان، إلا أنه من غير الممكن بشكل عام إجراء اتصالات NAT-to-NAT مباشرة على الشبكات الحديثة، نظرًا لأن معظم أجهزة توجيه NAT صارمة جدًا بشأن توزيع المنفذ المصدر بشكل عشوائي، مما يجعل من المستحيل تنسيق منفذ مفتوح لكلا الجانبين مسبقًا. وبدلاً من ذلك، يجب استخدام خادم الإشارات (STUN) الذي يقف في المنتصف ويتواصل مع منافذ المصدر العشوائية المخصصة للجانب الآخر. يقوم كلا العميلين بإجراء اتصال أولي بخادم الإشارات العامة، ثم يقوم بتسجيل منافذ المصدر العشوائية وإرسالها مرة أخرى إلى العملاء. هذه هي الطريقة التي يعمل بها WebRTC في تطبيقات الويب P2P الحديثة. حتى مع وجود خادم إشارات ومنافذ مصدر معروفة لكلا الطرفين، في بعض الأحيان تكون الاتصالات المباشرة غير ممكنة لأن أجهزة توجيه NAT صارمة بشأن قبول حركة المرور من عنوان الوجهة الأصلي فقط (خادم الإشارات)، وسوف تتطلب منفذ مصدر عشوائيًا جديدًا ليكون تم فتحه لقبول حركة المرور من عناوين IP الأخرى (على سبيل المثال، العميل الآخر الذي يحاول استخدام منفذ المصدر المتصل أصلاً). وينطبق هذا بشكل خاص على "NATs من فئة الناقل" مثل الشبكات الخلوية وبعض شبكات المؤسسات، والتي تم تصميمها خصيصًا لمنع هذا النوع من الاتصال المثقب. راجع القسم الكامل أدناه حول اتصالات NAT إلى NAT لمزيد من المعلومات.

ستحظى المسارات الأكثر تحديدًا (وعادةً ما تكون أكثر مباشرة أيضًا) المقدمة من النظراء الآخرين بالأولوية عند توفرها، وإلا ستعود حركة المرور إلى المسار الأقل تحديدًا وتستخدم 192.0.2.1/24 جامع لإعادة توجيه حركة المرور إلى خادم الارتداد، حيث سيتم ذلك يتم توجيهه من خلال جدول توجيه نظام خادم الترحيل ( net.ipv4.ip_forward = 1 ) للتراجع عن VPN إلى النظير المحدد الذي يقبل التوجيهات لحركة المرور تلك. لا يقوم WireGuard تلقائيًا بالعثور على المسار الأسرع أو محاولة تكوين اتصالات مباشرة بين الأقران إذا لم يتم تحديده بالفعل، فهو ينتقل فقط من المسار الأكثر تحديدًا في [Peers] إلى الأقل تحديدًا.

يمكنك معرفة طريقة التوجيه التي يستخدمها WireGuard لعنوان معين عن طريق قياس أوقات اختبار الاتصال لمعرفة الطول الفريد لكل قفزة، وعن طريق فحص مخرجات: 

wg show wg0

كيف تبدو حركة مرور WireGuard

يستخدم WireGuard حزم UDP مشفرة لجميع حركة المرور، ولا يوفر ضمانات حول تسليم الحزم أو طلبها، حيث يتم التعامل مع ذلك بواسطة اتصالات TCP داخل النفق المشفر.


مزيد من القراءة:

  • https://www.wireshark.org/docs/dfref/w/wg.html
  • https://github.com/Lekensteyn/wireguard-dissector
  • https://nbsoftsolutions.com/blog/viewing-wireguard-traffic-with-tcpdump

أداء WireGuard

تدعي WireGuard أن الأداء أسرع من معظم حلول VPN المنافسة الأخرى، على الرغم من أن الأرقام الدقيقة يتم مناقشتها أحيانًا وقد تعتمد على ما إذا كان التسريع على مستوى الأجهزة متاحًا لبعض شفرات التشفير.

يتم تحقيق مكاسب أداء WireGuard من خلال التعامل مع التوجيه على مستوى kernel، وباستخدام مجموعات التشفير الحديثة التي تعمل على جميع المراكز لتشفير حركة المرور. يكتسب WireGuard أيضًا ميزة كبيرة باستخدام UDP مع عدم وجود ضمانات للتسليم/الطلب (مقارنة بشبكات VPN التي تعمل عبر TCP أو تنفذ آليات التسليم المضمونة الخاصة بها).

مزيد من القراءة:

  • https://www.wireguard.com/performance/
  • https://www.reddit.com/r/linux/comments/9bnowo/wireguard_benchmark_between_two_servers_with_10/
  • https://restoreprivacy.com/openvpn-ipsec-wireguard-l2tp-ikev2-protocols/

نموذج أمان WireGuard

يستخدم WireGuard البروتوكولات والأساسيات التالية لتأمين حركة المرور:

  • ChaCha20 للتشفير المتماثل، مصادق عليه باستخدام Poly1305، باستخدام بنية AEAD الخاصة بـ RFC7539
  • منحنى25519 لـ ECDH
  • BLAKE2s للتجزئة والتجزئة ذات المفاتيح، الموصوفة في RFC7693
  • SipHash24 للمفاتيح القابلة للتجزئة
  • HKDF لاشتقاق المفتاح، كما هو موضح في RFC5869

يعد تشفير WireGuard في الأساس بمثابة تجسيد لإطار عمل Trevor Perrin's Noise. إنها حديثة وبسيطة مرة أخرى. يمثل كل خيار VPN آخر فوضى من المفاوضات والمصافحة وأجهزة الحالة المعقدة. يشبه WireGuard Signal/Axolotl الخاص بشبكات VPN، إلا أنه أبسط بكثير وأسهل في التفكير (من الناحية المشفرة، في هذه الحالة) من بروتوكولات المراسلة ذات السقاطة المزدوجة. إنه في الأساس qmail لبرنامج VPN. وهو ما يقرب من 4000 سطر من التعليمات البرمجية. إنها أوامر متعددة من حيث الحجم أصغر من منافسيها.

https://news.ycombinator.com/item?id=14599834

مزيد من القراءة:

  • https://www.wireguard.com/papers/wireguard.pdf
  • https://eprint.iacr.org/2018/080.pdf
  • https://courses.csail.mit.edu/6.857/2018/project/He-Xu-Xu-WireGuard.pdf
  • https://www.wireguard.com/talks/blackhat2018-slides.pdf
  • https://arstechnica.com/gadgets/2018/08/wireguard-vpn-review-fast-connections-amaze-but-windows-support-needs-to-happen/

كيف يدير WireGuard المفاتيح

يتم تحقيق المصادقة في كلا الاتجاهين باستخدام زوج مفاتيح عام/خاص بسيط لكل نظير. يقوم كل نظير بإنشاء هذه المفاتيح أثناء مرحلة الإعداد، ويشارك المفتاح العام فقط مع أقرانه الآخرين.

ليست هناك حاجة إلى شهادات أخرى أو مفاتيح مشتركة مسبقًا بخلاف المفاتيح العامة/الخاصة لكل عقدة.

يمكن التعامل مع إنشاء المفاتيح وتوزيعها وإبطالها في عمليات نشر أكبر باستخدام خدمة منفصلة مثل Ansible أو Kubernetes Secrets.

بعض الخدمات التي تساعد في توزيع المفاتيح ونشرها:

  • https://pypi.org/project/wireguard-p2p/
  • https://github.com/trailofbits/algo
  • https://github.com/StreisandEffect/streisand
  • https://github.com/its0x08/wg-install
  • https://github.com/brittson/wireguard_config_maker
  • https://www.wireguardconfig.com
  • https://github.com/UrielCh/wireguard

يمكنك أيضًا قراءة المفاتيح من ملف أو عبر أمر إذا كنت لا تريد ترميزها في wg0.conf ، مما يجعل إدارة المفاتيح عبر خدمة الطرف الثالث أسهل بكثير: 

 [Interface]
...
PostUp = wg set %i private-key /etc/wireguard/wg0.key <(cat /some/path/%i/privkey)

من الناحية الفنية، يمكن لخوادم متعددة مشاركة نفس المفتاح الخاص طالما أن العملاء غير متصلين بخادمين بنفس المفتاح في نفس الوقت. مثال على السيناريو الذي يكون فيه هذا إعدادًا معقولاً هو إذا كنت تستخدم DNS Round-Robin لموازنة التحميل بين خادمين يتظاهران بأنهما خادم واحد. ومع ذلك، في معظم الأوقات، يجب أن يكون لكل نظير زوج مفاتيح عام/خاص خاص به حتى لا يتمكن الزملاء من قراءة حركة مرور بعضهم البعض ويمكن إبطالها بشكل فردي.

الاستخدام

بداية سريعة

نظرة عامة على العملية العامة:

  1. قم بتثبيت apt install wireguard أو pkg/brew install wireguard-tools على كل عقدة
  2. قم بإنشاء مفاتيح عامة وخاصة محليًا على كل عقدة wg genkey + wg pubkey
  3. قم بإنشاء ملف تكوين wg0.conf WireGuard على خادم الترحيل الرئيسي
    • [Interface] تأكد من تحديد نطاق CIDR لشبكة VPN الفرعية بأكملها عند تحديد العنوان الذي يقبل الخادم توجيهاته Address = 192.0.2.1/24
    • [Peer] قم بإنشاء قسم نظير لكل عميل ينضم إلى VPN، باستخدام المفاتيح العامة البعيدة المقابلة له
  4. قم بإنشاء wg0.conf على كل عقدة عميل
    • [Interface] تأكد من تحديد عنوان IP واحد فقط لأقران العميل الذين لا يقومون بترحيل حركة المرور Address = 192.0.2.3/32 .
    • [Peer] قم بإنشاء قسم نظير لكل نظير عام لا يتبع NAT، وتأكد من تحديد نطاق CIDR لشبكة VPN الفرعية بأكملها عند تحديد النظير البعيد الذي يعمل كخادم الارتداد المسموح به AllowedIPs = 192.0.2.1/24 . تأكد من تحديد عناوين IP فردية للأقران البعيدين الذين لا يقومون بترحيل حركة المرور ويعملون فقط كعملاء بسيطين AllowedIPs = 192.0.2.3/32 .
  5. ابدأ تشغيل WireGuard على خادم الترحيل الرئيسي باستخدام wg-quick up /full/path/to/wg0.conf
  6. ابدأ تشغيل WireGuard على جميع أقران العملاء باستخدام wg-quick up /full/path/to/wg0.conf
  7. يتم توجيه حركة المرور من نظير إلى نظير باستخدام المسار الأكثر تحديدًا أولاً عبر واجهة WireGuard، على سبيل المثال، يتحقق اختبار ping 192.0.2.3 من وجود مسار مباشر إلى نظير له AllowedIPs = 192.0.2.3/32 أولاً، ثم يعود مرة أخرى إلى خادم ترحيل يقبل عناوين IP في الشبكة الفرعية بأكملها

يثبت 

 # install on Ubuntu
sudo add-apt-repository ppa:wireguard/wireguard
apt install wireguard

# install on macOS
brew install wireguard-tools

# install on FreeBSD
pkg install wireguard

# install on iOS/Android using Apple App Store/Google Play Store
# install on other systems using https://www.wireguard.com/install/#installation 
 # to enable the kernel relaying/forwarding ability on bounce servers
echo " net.ipv4.ip_forward = 1 " | sudo tee -a /etc/sysctl.conf
echo " net.ipv4.conf.all.proxy_arp = 1 " | sudo tee -a /etc/sysctl.conf
sudo sysctl -p /etc/sysctl.conf

# to add iptables forwarding rules on bounce servers
sudo iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A FORWARD -i wg0 -o wg0 -m conntrack --ctstate NEW -j ACCEPT
sudo iptables -t nat -A POSTROUTING -s 192.0.2.0/24 -o eth0 -j MASQUERADE

إنشاء التكوين 

nano wg0.conf  # can be placed anywhere, must be referred to using absolute path (usually placed in /etc/wireguard/wg0.conf on most Linux systems)

جيل المفتاح 

 # generate private key
wg genkey > example.key

# generate public key
wg pubkey < example.key > example.key.pub

ابدأ / توقف 

wg-quick up /full/path/to/wg0.conf
wg-quick down /full/path/to/wg0.conf
# Note: you must specify the absolute path to wg0.conf, relative paths won't work
# If wg0.conf is in /etc/wireguard you can use the simpler:
wg-quick up wg0
 # start/stop VPN network interface
ip link set wg0 up
ip link set wg0 down

# register/unregister VPN network interface
ip link add dev wg0 type wireguard
ip link delete dev wg0

# register/unregister local VPN address
ip address add dev wg0 192.0.2.3/32
ip address delete dev wg0 192.0.2.3/32

# register/unregister VPN route
ip route add 192.0.2.3/32 dev wg0
ip route delete 192.0.2.3/32 dev wg0

فحص

واجهات 

 # show system LAN and WAN network interfaces
ip address show
# or if ip is not available:
ifconfig

# show system VPN network interfaces
ip link show wg0
# or
ifconfig wg0

# show WireGuard VPN interfaces
wg show all
wg show wg0

العناوين 

 # show public IP address
ip address show eth0
# or
ifconfig eth0
# or
dig -4 +short myip.opendns.com @resolver1.opendns.com

# show VPN IP address
ip address show wg0

الطرق 

 # show WireGuard routing table and peer connections
wg show
wg show wg0 allowed-ips

# show system routing table
ip route show table main
ip route show table local

# show system route to specific address
ip route get 192.0.2.3

سجلات

لتمكين تشغيل التسجيل الإضافي: 

modprobe wireguard
echo module wireguard +p > /sys/kernel/debug/dynamic_debug/control

لمتابعة السجلات: 

dmesg -wH

قد تتطلب الأنظمة التي تحتوي على kernel الحديث والتمهيد الآمن تعطيل Secure Boot DKMS Signature Verification للسماح بالوصول إلى سجلات kernel. 

mokutil --disable-verification
reboot

اختبار

سرعة بينغ 

 # check that the main relay server is accessible directly via public internet
ping public-server1.example-vpn.dev

# check that the main relay server is available via VPN
ping 192.0.2.1

# check that public peers are available via VPN
ping 192.0.2.2

# check that remote NAT-ed peers are available via VPN
ping 192.0.2.3

# check that NAT-ed peers in your local LAN are available via VPN
ping 192.0.2.4

عرض النطاق الترددي 

 # install iperf using your preferred package manager
apt/brew/pkg/opkg install iperf

# check bandwidth over public internet to relay server
iperf -s # on public relay server
iperf -c public-server1.example-vpn.dev # on local client

# check bandwidth over VPN to relay server
iperf -s # on public relay server
iperf -c 192.0.2.1 # on local client

# check bandwidth over VPN to remote public peer
iperf -s # on remote public peer
iperf -c 192.0.2.2 # on local client

# check bandwidth over VPN to remote NAT-ed peer
iperf -s # on remote NAT-ed peer
iperf -c 192.0.2.3 # on local client

# check bandwidth over VPN to local NAT-ed peer (on same LAN)
iperf -s # on local NAT-ed peer
iperf -c 192.0.2.4 # on local client

DNS

تحقق من وجود تسربات DNS باستخدام http://dnsleak.com، أو عن طريق التحقق من أداة التحليل أثناء البحث: 

dig example.com A

مرجع التكوين

ملخص

تكوين WireGuard موجود في بناء جملة INI، ويتم تعريفه في ملف يُسمى عادةً wg0.conf . يمكن وضعه في أي مكان على النظام، ولكن غالبًا ما يتم وضعه في /etc/wireguard/wg0.conf .

يتم تحديد مسار التكوين كوسيطة عند تشغيل أي أمر wg-quick ، على سبيل المثال:
wg-quick up /etc/wireguard/wg0.conf (حدد دائمًا المسار الكامل والمطلق)

يجب أن يكون اسم ملف التكوين بالتنسيق ${name of the new WireGuard interface}.conf . عادةً ما تكون أسماء واجهة WireGuard مسبوقة بـ wg ومرقمة بدءًا من 0 ، ولكن يمكنك استخدام أي اسم يطابق التعبير العادي ^[a-zA-Z0-9_=+.-]{1,15}$ .

يمكن لملفات التكوين اختيار استخدام المجموعة المحدودة من خيارات تكوين wg ، أو خيارات wg-quick الأكثر اتساعًا، اعتمادًا على الأمر المفضل لبدء WireGuard. توصي هذه المستندات بالالتزام بـ wg-quick لأنه يوفر تجربة تكوين أكثر قوة وسهولة في الاستخدام.

انتقل إلى التعريف:

[Interface]
# Name = node1.example.tld
Address = 192.0.2.3/32
ListenPort = 51820
PrivateKey = localPrivateKeyAbcAbcAbc=
DNS = 1.1.1.1,8.8.8.8
Table = 12345
MTU = 1500
PreUp = /bin/example arg1 arg2 %i
PostUp = /bin/example arg1 arg2 %i
PreDown = /bin/example arg1 arg2 %i
PostDown = /bin/example arg1 arg2 %i

[Peer]
# Name = node2-node.example.tld
AllowedIPs = 192.0.2.1/24
Endpoint = node1.example.tld:51820
PublicKey = remotePublicKeyAbcAbcAbc=
PersistentKeepalive = 25

[Interface]

يحدد إعدادات VPN للعقدة المحلية.

أمثلة

  • العقدة هي عميل يقوم بتوجيه حركة المرور لنفسه فقط ويكشف عن عنوان IP واحد فقط 
 [Interface]
# Name = phone.example-vpn.dev
Address = 192.0.2.5/32
PrivateKey = <private key for phone.example-vpn.dev>
  • Node هو خادم ارتداد عام يمكنه ترحيل حركة المرور إلى نظراء آخرين وكشف المسار لشبكة VPN الفرعية بأكملها 
 [Interface]
# Name = public-server1.example-vpn.tld
Address = 192.0.2.1/24
ListenPort = 51820
PrivateKey = <private key for public-server1.example-vpn.tld>
DNS = 1.1.1.1

# Name

هذا مجرد تعليق قياسي في بناء جملة INI يُستخدم للمساعدة في تتبع قسم التكوين الذي ينتمي إلى أي عقدة، ويتم تجاهله تمامًا بواسطة WireGuard وليس له أي تأثير على سلوك VPN.

ملاحظة: تتم إزالة جميع التعليقات، بما في ذلك # Name ، من ملفات .conf بواسطة عمليات وتطبيقات معينة. إذا كنت بحاجة إلى تحديد الأقران، ففكر في استخدام مولد مفاتيح الغرور الخاص بـ wireguard، مثل wireguard-vanity-keygen أو wireguard-vanity-address، والذي سيسمح لك بتضمين اسم المضيف في المفتاح العام للمضيف. يمكن أن يستغرق إنشاء المفاتيح دقائق (4 أحرف)، أو ساعات (5 أحرف) أو أكثر، لذا فكر في استخدام اختصار للمضيفين ذوي الأسماء الأطول.

Address

يحدد نطاق العنوان الذي يجب على العقدة المحلية توجيه حركة المرور إليه. اعتمادًا على ما إذا كانت العقدة عميلًا بسيطًا ينضم إلى شبكة VPN الفرعية، أو خادمًا مرتدًا ينقل حركة المرور بين عملاء متعددين، يمكن تعيين ذلك إلى عنوان IP واحد للعقدة نفسها (محدد بتدوين CIDR)، على سبيل المثال 192.0.2.3/32 )، أو نطاق من شبكات IPv4/IPv6 الفرعية التي يمكن للعقدة توجيه حركة المرور إليها.

أمثلة

  • العقدة هي عميل يقوم بتوجيه حركة المرور لنفسه فقط
    Address = 192.0.2.3/32

  • Node هو خادم ارتداد عام يمكنه نقل حركة المرور إلى أقرانه الآخرين
    عندما تعمل العقدة كخادم ارتداد عام، يجب أن تقوم بتعيين هذا ليكون الشبكة الفرعية بأكملها التي يمكنها توجيه حركة المرور، وليس مجرد عنوان IP واحد لنفسها.

Address = 192.0.2.1/24

  • يمكنك أيضًا تحديد شبكات فرعية متعددة أو شبكات فرعية IPv6 كما يلي:
    Address = 192.0.2.1/24,2001:DB8::/64

ListenPort

عندما تعمل العقدة كخادم ارتداد عام، يجب أن تقوم بترميز منفذ للاستماع إلى اتصالات VPN الواردة من الإنترنت العام. يجب على العملاء الذين لا يعملون كمرحلات عدم تعيين هذه القيمة.

أمثلة

  • باستخدام منفذ WireGuard الافتراضي
    ListenPort = 51820
  • باستخدام منفذ WireGuard المخصص
    ListenPort = 7000

PrivateKey

هذا هو المفتاح الخاص للعقدة المحلية، ولا تتم مشاركته مطلقًا مع خوادم أخرى. يجب أن تحتوي جميع العقد على مجموعة مفاتيح خاصة، بغض النظر عما إذا كانت خوادم ارتداد عامة تنقل حركة المرور، أو عملاء بسيطين ينضمون إلى VPN.

يمكن إنشاء هذا المفتاح باستخدام wg genkey > example.key

أمثلة

PrivateKey = somePrivateKeyAbcdAbcdAbcdAbcd=

DNS

خادم (خوادم) DNS للإعلان لعملاء VPN عبر DHCP، سيستخدم معظم العملاء هذا الخادم لطلبات DNS عبر VPN، ولكن يمكن للعملاء أيضًا تجاوز هذه القيمة محليًا على العقد الخاصة بهم

أمثلة

  • يمكن ترك القيمة بدون تكوين لاستخدام خوادم DNS الافتراضية للنظام
  • يمكن توفير خادم DNS واحد
    DNS = 1.1.1.1
  • أو يمكن توفير خوادم DNS متعددة
    DNS = 1.1.1.1,8.8.8.8

Table

يحدد بشكل اختياري جدول التوجيه المطلوب استخدامه لمسارات WireGuard، وليس من الضروري تكوينه لمعظم عمليات الإعداد.

هناك قيمتان خاصتان: 'off' يعطل إنشاء المسارات تمامًا، و'auto' (الافتراضي) يضيف المسارات إلى الجدول الافتراضي ويتيح معالجة خاصة للمسارات الافتراضية.

https://git.zx2c4.com/WireGuard/about/src/tools/man/wg-quick.8

أمثلة 

 Table = 1234

MTU

يحدد بشكل اختياري الحد الأقصى لوحدة الإرسال (MTU، ويعرف أيضًا باسم حجم الحزمة/الإطار) لاستخدامها عند الاتصال بالنظير، وليس من الضروري تكوينه لمعظم الإعدادات.

يتم تحديد وحدة الإرسال الكبرى (MTU) تلقائيًا من عناوين نقطة النهاية أو المسار الافتراضي للنظام، وهو عادةً اختيار معقول.

https://git.zx2c4.com/WireGuard/about/src/tools/man/wg-quick.8

أمثلة 

 MTU = 1500

PreUp

اختياريًا، قم بتشغيل أمر قبل ظهور الواجهة. يمكن تحديد هذا الخيار عدة مرات، مع تنفيذ الأوامر بالترتيب الذي تظهر به في الملف.

أمثلة

  • إضافة مسار IP PreUp = ip rule add ipproto tcp dport 22 table 1234

PostUp

اختياريًا، قم بتشغيل أمر بعد ظهور الواجهة. يمكن أن يظهر هذا الخيار عدة مرات، كما هو الحال مع PreUp

أمثلة

  • اقرأ قيمة التكوين من ملف أو مخرجات بعض الأوامر
    PostUp = wg set %i private-key /etc/wireguard/wg0.key <(some command here)

  • تسجيل سطر إلى ملف
    PostUp = echo "$(date +%s) WireGuard Started" >> /var/log/wireguard.log

  • اضغط على webhook على خادم آخر
    PostUp = curl https://events.example.dev/wireguard/started/?key=abcdefg

  • إضافة مسار إلى جدول توجيه النظام
    PostUp = ip rule add ipproto tcp dport 22 table 1234

  • قم بإضافة قاعدة iptables لتمكين إعادة توجيه الحزم على واجهة WireGuard
    PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

  • فرض WireGuard على إعادة تحديد عنوان IP للمجال النظير
    PostUp = resolvectl domain %i "~."; resolvectl dns %i 192.0.2.1; resolvectl dnssec %i yes

PreDown

اختياريًا، قم بتشغيل أمر قبل إسقاط الواجهة. يمكن أن يظهر هذا الخيار عدة مرات، كما هو الحال مع PreUp

أمثلة

  • تسجيل سطر إلى ملف
    PostDown = echo "$(date +%s) WireGuard Going Down" >> /var/log/wireguard.log

  • اضغط على webhook على خادم آخر
    PostDown = curl https://events.example.dev/wireguard/stopping/?key=abcdefg

PostDown

اختياريًا، قم بتشغيل أمر بعد إسقاط الواجهة. يمكن أن يظهر هذا الخيار عدة مرات، كما هو الحال مع PreUp

أمثلة

  • تسجيل سطر إلى ملف
    PostDown = echo "$(date +%s) WireGuard Stopped" >> /var/log/wireguard.log

  • اضغط على webhook على خادم آخر
    PostDown = curl https://events.example.dev/wireguard/stopped/?key=abcdefg

  • قم بإزالة قاعدة iptables التي تعيد توجيه الحزم على واجهة WireGuard
    PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]

يحدد إعدادات VPN لنظير بعيد قادر على توجيه حركة المرور لعنوان واحد أو أكثر (نفسه و/أو أقرانه الآخرين). يمكن أن يكون النظراء إما خادم ارتداد عام ينقل حركة المرور إلى أقران آخرين، أو عميل يمكن الوصول إليه مباشرة عبر شبكة LAN/إنترنت لا يتبع NAT ويقوم فقط بتوجيه حركة المرور لنفسه.

يجب تعريف كافة العملاء كأقران على خادم الارتداد العام. العملاء البسيطون الذين يوجهون حركة المرور لأنفسهم فقط، يحتاجون فقط إلى تحديد أقرانهم للمرحل العام، وأي عقد أخرى يمكن الوصول إليها مباشرة. لا ينبغي تعريف العقد الموجودة خلف NATs المنفصلة على أنها نظيرات خارج تكوين الخادم العام، حيث لا يتوفر مسار مباشر بين NATs المنفصلة. بدلاً من ذلك، يجب على العقد الموجودة خلف NAT أن تحدد فقط خوادم الترحيل العامة والعملاء العموميين الآخرين كأقران لها، ويجب أن تحدد AllowedIPs = 192.0.2.1/24 على الخادم العام الذي يقبل المسارات ويرتد حركة المرور لشبكة VPN الفرعية إلى NAT-ed البعيد أقرانهم.

باختصار، يجب تحديد جميع العقد على خادم الارتداد الرئيسي. في خوادم العملاء، يجب تعريف الأقران الذين يمكن الوصول إليهم مباشرة من العقدة فقط على أنهم أقران لتلك العقدة، ويجب استبعاد أي أقران يجب ترحيلهم بواسطة خادم مرتد وسيتم التعامل معهم من خلال المسار الشامل لخادم الترحيل.

في التكوين الموضح في المستندات أدناه، يعمل خادم واحد public-server1 كخادم ارتداد ترحيل لمزيج من العملاء الذين يمكن الوصول إليهم بشكل عام وعملاء NAT-ed، ويتم تكوين الأقران على كل عقدة وفقًا لذلك:

  • في public-server1 wg0.conf (خادم ترتد)
    قائمة [peer] : public-server2 ، home-server ، laptop ، phone

  • في public-server2 wg0.conf (عميل عام بسيط)
    قائمة [peer] : public-server1

  • في home-server wg0.conf (عميل بسيط خلف NAT)
    قائمة [peer] : public-server1 ، public-server2

  • في laptop wg0.conf (عميل بسيط خلف NAT)
    قائمة [peer] : public-server1 ، public-server2

  • في phone wg0.conf (عميل بسيط خلف NAT)
    قائمة [peer] : public-server1 ، public-server2

أمثلة

  • النظير هو عميل عام بسيط يقوم فقط بتوجيه حركة المرور لنفسه 
 [Peer]
# Name = public-server2.example-vpn.dev
Endpoint = public-server2.example-vpn.dev:51820
PublicKey = <public key for public-server2.example-vpn.dev>
AllowedIPs = 192.0.2.2/32
  • النظير هو عميل بسيط خلف NAT يقوم بتوجيه حركة المرور لنفسه فقط 
 [Peer]
# Name = home-server.example-vpn.dev
Endpoint = home-server.example-vpn.dev:51820
PublicKey = <public key for home-server.example-vpn.dev>
AllowedIPs = 192.0.2.3/32
  • النظير هو خادم ارتداد عام يمكنه نقل حركة المرور إلى أقران آخرين 
 [Peer]
# Name = public-server1.example-vpn.tld
Endpoint = public-server1.example-vpn.tld:51820
PublicKey = <public key for public-server1.example-vpn.tld>
# routes traffic to itself and entire subnet of peers as bounce server
AllowedIPs = 192.0.2.1/24
PersistentKeepalive = 25

# Name

هذا مجرد تعليق قياسي في بناء جملة INI يُستخدم للمساعدة في تتبع قسم التكوين الذي ينتمي إلى أي عقدة، ويتم تجاهله تمامًا بواسطة WireGuard وليس له أي تأثير على سلوك VPN.

Endpoint

يحدد العنوان الذي يمكن الوصول إليه بشكل عام للنظير البعيد. يجب ترك هذا الأمر للأقران الذين يعملون خلف NAT أو الأقران الذين ليس لديهم زوج IP: PORT مستقر يمكن الوصول إليه بشكل عام. عادةً، يحتاج هذا فقط إلى التحديد على خادم الارتداد الرئيسي، ولكن يمكن أيضًا تعريفه على العقد العامة الأخرى ذات عناوين IP الثابتة مثل public-server2 في مثال التكوين أدناه.

أمثلة

  • نقطة النهاية هي عنوان IP
    Endpoint = 123.124.125.126:51820 (IPv6 مدعوم أيضًا)
  • نقطة النهاية هي اسم المضيف/FQDN
    Endpoint = public-server1.example-vpn.tld:51820

AllowedIPs

يحدد هذا نطاقات IP التي سيقوم النظير بتوجيه حركة المرور إليها. بالنسبة للعملاء البسيطين، يكون هذا عادةً عنوانًا واحدًا (عنوان VPN الخاص بالعميل البسيط نفسه). بالنسبة لخوادم الارتداد، سيكون هذا نطاقًا من عناوين IP أو الشبكات الفرعية التي يستطيع خادم الترحيل توجيه حركة المرور إليها. يمكن تحديد عناوين IP وشبكات فرعية متعددة باستخدام تدوين IPv4 أو IPv6 CIDR مفصول بفواصل (من عنوان /32 أو /128 واحد، وصولاً إلى 0.0.0.0/0 و ::/0 للإشارة إلى المسار الافتراضي لإرسال الكل حركة مرور الإنترنت وVPN من خلال هذا النظير). قد يتم تحديد هذا الخيار عدة مرات.

عند تحديد كيفية توجيه حزمة ما، يختار النظام المسار الأكثر تحديدًا أولاً، ثم يعود إلى المسارات الأوسع. لذا، بالنسبة للحزمة الموجهة إلى 192.0.2.3 ، سيبحث النظام أولاً عن إعلان نظير 192.0.2.3/32 على وجه التحديد، وسيعود إلى إعلان نظير 192.0.2.1/24 أو نطاق أكبر مثل 0.0.0.0/0 مثل الملاذ الأخير.

أمثلة

  • النظير هو عميل بسيط يقبل فقط حركة المرور من/إلى نفسه
    AllowedIPs = 192.0.2.3/32

  • النظير هو خادم ترحيل يمكنه نقل حركة مرور VPN إلى جميع أقرانه الآخرين
    AllowedIPs = 192.0.2.1/24

  • النظير هو خادم ترحيل يرتد كل حركة مرور الإنترنت وشبكة VPN (مثل الوكيل)، بما في ذلك IPv6
    AllowedIPs = 0.0.0.0/0,::/0

  • النظير هو خادم ترحيل يقوم بالتوجيه إلى نفسه وإلى نظير واحد فقط
    AllowedIPs = 192.0.2.3/32,192.0.2.4/32

  • النظير هو خادم ترحيل يقوم بالتوجيه إلى نفسه وجميع العقد الموجودة على شبكة LAN المحلية الخاصة به
    AllowedIPs = 192.0.2.3/32,192.168.1.1/24

PublicKey

هذا هو المفتاح العام للعقدة البعيدة، ويمكن مشاركته مع جميع أقرانه. يجب أن تحتوي جميع العقد على مجموعة مفاتيح عامة، بغض النظر عما إذا كانت خوادم ارتداد عامة تنقل حركة المرور، أو عملاء بسيطين ينضمون إلى VPN.

يمكن إنشاء هذا المفتاح باستخدام wg pubkey < example.key > example.key.pub . (انظر أعلاه لمعرفة كيفية إنشاء المفتاح الخاص example.key )

أمثلة

PublicKey = somePublicKeyAbcdAbcdAbcdAbcd=

PersistentKeepalive

إذا كان الاتصال ينتقل من نظير NAT-ed إلى نظير عام، فيجب على العقدة الموجودة خلف NAT إرسال اختبار ping صادر بانتظام للحفاظ على الاتصال ثنائي الاتجاه نشطًا في جدول اتصال جهاز توجيه NAT.

أمثلة

  • العقدة العامة المحلية إلى العقدة العامة البعيدة
    يجب ترك هذه القيمة بدون تعريف حيث أنه ليست هناك حاجة إلى أوامر ping مستمرة.

  • العقدة العامة المحلية إلى عقدة NAT-ed البعيدة
    يجب ترك هذه القيمة بدون تعريف حيث إنها مسؤولية العميل للحفاظ على الاتصال حيًا لأن الخادم لا يمكنه إعادة فتح اتصال ميت مع العميل إذا انتهت المهلة.

  • عقدة NAT-ed المحلية إلى العقدة العامة البعيدة
    PersistentKeepalive = 25 سيؤدي هذا إلى إرسال اختبار ping كل 25 ثانية مع إبقاء الاتصال مفتوحًا في جدول اتصال جهاز توجيه NAT المحلي.

موضوعات متقدمة

IPv6

تستخدم الأمثلة الواردة في هذه المستندات بشكل أساسي IPv4 ، لكن Wireguard يدعم تدوين IPv6 CIDR ويتناول في كل مكان يدعمه IPv4 ، ما عليك سوى إضافتها كما تفعل أي نطاق أو عنوان شبكة فرعية أخرى.

مثال 

 [Interface]
Address = 192.0.2.3/24, 2001:DB8::/64

[Peer]
...
AllowedIPs = 0.0.0.0/0, ::/0

إعادة توجيه كل حركة المرور

إذا كنت ترغب في إعادة توجيه جميع حركة المرور على الإنترنت من خلال VPN ، وليس فقط استخدامها كشبكة فرعية من الخادم إلى الخادم ، يمكنك إضافة 0.0.0.0/0, ::/0 إلى تعريف AllowedIPs حركة المرور الخاصة بك من خلال.

تأكد أيضًا من تحديد catchall IPv6 حتى عند إعادة توجيه حركة المرور IPv4 فقط من أجل تجنب تسرب حزم IPv6 خارج VPN ، راجع:
https://www.reddit.com/r/wireguard/comments/B0M5G2/IPV6_LEAKS_PSA_FOR_ANYONE_HERE_USING_WIREGUARD_TO/

مثال 

 [Interface]
# Name = phone.example-vpn.dev
Address = 192.0.2.3/32
PrivateKey = <private key for phone.example-vpn.dev>

[Peer]
# Name = public-server1.example-vpn.dev
PublicKey = <public key for public-server1.example-vpn.dev>
Endpoint = public-server1.example-vpn.dev:51820
AllowedIPs = 0.0.0.0/0, ::/0

NAT إلى NAT Connections

يمكن أن تقوم Wireguard أحيانًا بإجراء اتصالات بين عميلين خلف NATS دون الحاجة إلى خادم ترحيل عام ، ولكن في معظم الحالات ، هذا غير ممكن. لا تكون اتصالات NAT-to-NAT ممكنة إلا إذا كان لدى مضيف واحد على الأقل عنوان IP مستقر ، يمكن الوصول إليه علنًا: زوج المنفذ الذي يمكن ترميزه في وقت مبكر ، سواء كان ذلك يستخدم FQDN محدثًا باستخدام DNS الديناميكي ، أو عنوان IP عام ثابت مع منفذ NAT غير العشوائي الذي تم افتتاحه بواسطة الحزم الصادرة ، أي شيء يعمل طالما أن جميع أقرانهم يمكنهم توصيله مسبقًا ولا يتغير بمجرد بدء الاتصال.

يجب تكوين منفذ وعنوان معروف في وقت مبكر لأن Wireguard لا يحتوي على طبقة إشارات أو خوادم صاعقة عامة يمكن استخدامها للبحث عن مضيفات أخرى ديناميكيًا. WEBRTC هو مثال على بروتوكول يمكنه تكوين اتصال ديناميكي بين اثنين من NATS ، لكنه يقوم بذلك باستخدام خادم إشارات خارج النطاق للكشف عن IP: COMBO PORT لكل مضيف. لا يحتوي Wireguard على هذا ، لذلك فهو يعمل فقط مع Endpoint متشددين + ListenPort ( PersistentKeepalive حتى لا تنخفض بعد عدم النشاط).

تعرف على المزيد من كتاب Tailscale's من Nat Traversal: https://tainscale.com/blog/how-nat-traversal-works/

متطلبات إعدادات NAT-to-NAT

  • يجب على نظير واحد على الأقل أن يكون هناك Endpoint متشددة يمكن الوصول إليها مباشرة. إذا كانا خلف NATS بدون عناوين IP مستقرة ، فستحتاج إلى استخدام DNS ديناميكية أو حل آخر للحصول على مجال/IP مستقر ، يمكن الوصول إليه بشكل علني لما لا يقل عن نظير واحد على الأقل
  • يجب أن يكون على الأقل نظيرًا واحدًا على الأقل محددة من UDP ListenPort ، ويجب ألا يقوم جهاز توجيه NAT بإلغاء توزيع العشوائية لمصدر UDP ، وإلا سيتم إرسال حزم الإرجاع إلى ListenPort المتشددين وإسقاطه بواسطة جهاز التوجيه ، بدلاً من استخدام المنفذ العشوائي المعين بواسطة نات على الحزمة المنتهية ولايته
  • يجب أن يكون لدى جميع أقران Nat'ed PersistentKeepalive مرافعة الإدانة على جميع أقرانهم الآخرين ، بحيث يرسلون باستمرار الأصوات الصادرة للحفاظ على الاتصالات مستمرة في طاولة توجيه NAT الخاصة بهم

عملية اتصال الثقب

  1. يرسل Peer1 حزمة UDP إلى PEER2 ، تم رفضه على جهاز توجيه NAT الخاص بـ PEER2 على الفور ، ولكن هذا جيد ، كان الغرض الوحيد هو الحصول
  2. يرسل Peer2 حزمة UDP إلى PEER1 ، يتم قبولها وإعادة توجيهها إلى PEER1 لأن خادم NAT من PEER1 يتوقع بالفعل استجابات من PEER2 بسبب الحزمة الصادرة الأولية
  3. يرسل Peer1 استجابة UDP إلى حزمة PEER2 ، يتم قبولها وإعادة توجيهها بواسطة خادم NAT في PEER2 كما يتوقع أيضًا ردود بسبب الحزمة الصادرة الأولية

هذه العملية لإرسال حزمة أولية يتم رفضها ، ثم باستخدام حقيقة أن جهاز التوجيه قد أنشأ الآن قاعدة إعادة توجيه لقبول الاستجابات يسمى "UDP Hole Punching".

عند إرسال حزمة UDP إلى الخارج ، يقوم جهاز التوجيه (عادةً) بإنشاء قاعدة مؤقتة تقوم بتخطيط عنوان المصدر الخاص بك ومنفذه إلى عنوان المقصد والمنفذ ، والعكس صحيح. يتم تمرير حزم UDP التي تعود من عنوان الوجهة والمنفذ (وليس آخر) إلى عنوان المصدر الأصلي والمنفذ (ولا يوجد آخر). هذه هي الطريقة التي تعمل بها معظم تطبيقات UDP خلف NATS (مثل BitTorrent ، Skype ، إلخ). ستؤدي هذه القاعدة إلى مهلة بعد بضع دقائق من عدم النشاط ، لذلك يجب على العميل وراء NAT إرسال حزم صادرة منتظمة لإبقائها مفتوحة (انظر PersistentKeepalive ).

يتطلب الحصول على هذا العمل عندما يتطلب كلتا النقاطين خلف NATS أو جدران الحماية أن ترسل كلتا النقاطين حزمًا إلى بعضهما البعض في نفس الوقت تقريبًا. هذا يعني أن كلا الجانبين يحتاجون إلى معرفة عناوين IP العامة للبعض الآخر وأرقام المنافذ في وقت مبكر ، في حالة Wireguard ، يتم تحقيق ذلك من خلال المنافذ المعرفة مسبقًا لكلا الجانبين في wg0.conf .

العيوب والقيود

اعتبارًا من عام 2019 ، لم تعد العديد من أساليب القضاء على الثقب القديم المستخدمة في العمل فعالة. ومن الأمثلة على ذلك طريقة جديدة رائدة من قبل PWNAT أن مزيف وقت ICMP تجاوز الاستجابة من خارج NAT للحصول على حزمة مرة أخرى إلى نظير nat'ed ، وبالتالي تسرب منفذ المصدر الخاص به. لا تزال منافذ UDP المتشددين و IPs العامة لكلا جانبي اتصال NAT-to-NAT (كما هو موضح أعلاه) يعمل على نسبة مئوية صغيرة من الشبكات. بشكل عام ، كلما كانت الشبكة أكثر "مؤسسة" ، كلما قل احتمال أن تتمكن من ثقب منافذ UDP العامة (Wi-Fi التجاري وبيانات الخلايا NATS غالبًا ما لا تعمل على سبيل المثال).

المصدر العشوائي المنفذ

لا يمكن اتصالات NAT-to-NAT إذا كانت جميع نقاط النهاية وراء NAT's مع توزيع العشوائية المصدر الصارم لمنفذ UDP (على سبيل المثال معظم شبكات البيانات الخلوية). نظرًا لأن أياً من الجانبين قادرين على ترميز ListenPort وضمان أن NAT سوف يقبل حركة المرور على هذا المنفذ بعد PING الصادر ، لا يمكنك تنسيق منفذ للثقب الأولي بين الأقران والاتصالات سيفشل. لهذا السبب ، لا يمكنك عمومًا القيام بوصلات من الهاتف إلى الهاتف على شبكات LTE/3G ، ولكن قد تتمكن "ر القيام بمنفذ العشوائية.

باستخدام خادم إشارات

من الممكن توصيل اتصالات NAT-to-Nat من خلف NATS مع العشوائية المصدر الصارمة ، فقط ، تحتاج فقط إلى خادم إشارات لإخبار كل جانب عن IP: منفذ. فيما يلي بعض التطبيقات التي تحقق ذلك باستخدام Wireguard:

  • https://github.com/takutakahashi/wg-connect
  • https://git.zx2c4.com/wireguard-tools/tree/contrib/nat-hole-punching/
  • https://github.com/jwhited/wgsd
عناوين IP الديناميكية

يشير العديد من المستخدمين إلى أن يضطروا إلى إعادة تشغيل Wireguard كلما تغيرت IP ديناميكية ، حيث إنه يحل فقط أسماء المضيف عند بدء التشغيل. لإجبار Wireguard على إعادة استئناف أسماء مضيف Endpoint DNS الديناميكية في كثير من الأحيان ، قد ترغب في استخدام خطاف PostUp بعد إعادة تشغيل الأسلاك كل بضع دقائق أو ساعات.

اختبارها

يمكنك معرفة ما إذا كان إعداد حملة الثقب ممكنًا باستخدام NetCat على العميل والخادم لمعرفة ما تعمل المنافذ وطلب الاتصال على فتح اتصال ثنائي الاتجاه: تشغيل nc -v -u -p 51820 <address of peer2> 51820 ( على PEER1) و nc -v -u -l 0.0.0.0 51820 (على PEER2) ، ثم اكتب في كلا النوافذ لمعرفة ما إذا كان يمكنك الحصول على حركة مرور ثنائية الاتجاه ذاهب. إذا لم ينجح الأمر بغض النظر عن Peer الذي يرسل الحزمة الأولية ، فلن يكون WireGuard غير قادر على العمل بين أقرانهم بدون خادم ترحيل عام.

غالبًا ما تكون اتصالات NAT-to-Nat غير مستقرة ولديها قيود أخرى ، وهذا هو السبب في أن الحصول على خادم ترحيل عام احتياطي لا يزال ينصح.

مزيد من القراءة

  • https://github.com/samyk/pwnat
  • https://en.wikipedia.org/wiki/udp_hole_punching
  • https://stackoverflow.com/questions/8892142/udp-hole-punching-algorithm
  • https://stackoverflow.com/questions/12359502/udp-hole-punching-not-through-on-3g
  • https://stackoverflow.com/questions/11819349/udp-hole-punching-not-possible-with-mobile-provider
  • https://github.com/wireguard/wireguard/tree/master/contrib/examples/nat-hole-punching
  • https://staaldraad.github.io/2017/04/17/nat-to-nat-withwireguard/
  • https://golb.hplar.ch/2019/01/expose-server-vpn.html
  • https://www.jordanwhited.com/posts/wireguard-endpoint-discovery-nat-traversal/

مثال

PEER1: 

 [Interface]
...
ListenPort 12000

[Peer]
...
Endpoint = peer2.example-vpn.dev:12000
PersistentKeepalive = 25

PEER2: 

 [Interface]
...
ListenPort 12000

[Peer]
...
Endpoint = peer1.example-vpn.dev:12000
PersistentKeepalive = 25

تخصيص IP الديناميكي

ملاحظة: يدور هذا القسم حول IPS Dynamic Peer داخل الشبكة الفرعية VPN ، وليس عناوين Endpoint العامة الديناميكية .

يتم تطوير التخصيص الديناميكي لـ Peer IPS (بدلاً من وجود أقران ثابتة فقط) ، يتوفر تطبيق WIP هنا: https://github.com/wireguard/wg-dynamic

يمكنك أيضًا إنشاء نظام تخصيص ديناميكي بنفسك عن طريق القراءة في قيم IP من الملفات في وقت التشغيل باستخدام PostUp (انظر أدناه).

مثال 

 [Interface]
...
PostUp = wg set %i allowed-ips /etc/wireguard/wg0.key <(some command)

تطبيقات سلكية أخرى

  • https://git.zx2c4.com/wireguard-go/about/
    تطبيق Userland Wireguard المتوافق مكتوبة في GO.

  • https://git.zx2c4.com/wireguard-rs/about/
    تطبيق غير مكتمل وغير آمن من Wireguard مكتوب في Rust (غير جاهز للجمهور).

  • https://git.zx2c4.com/wireguard-hs/about/
    تطبيق غير مكتمل وغير آمن من WireGuard مكتوب في Haskell (غير جاهز للجمهور).

  • https://github.com/cloudflare/boringtun
    تطبيق غير متوافق ومستقل للأسلاك مكتوبة في الصدأ (شوكة منفصلة كتبها CloudFlare). انظر https://blog.cloudflare.com/boringtun-userspace-wireguard-rust/

  • تطبيقات الأسلاك الخاصة بالمنصة
    https://git.zx2c4.com/wireguard-ios/about/
    https://git.zx2c4.com/wireguard-droid/about/
    https://git.zx2c4.com/wireguard-windows/about/

جميع تطبيقات مساحة المستخدمين أبطأ من الإصدار C الأصلي الذي يعمل في kernel-land ، ولكنه يوفر فوائد أخرى عن طريق التشغيل في Userland (على سبيل المثال حاوية أسهل ، توافق ، إلخ).

أدوات إعداد الأسلاك

هذه هي بعض أدوات واجهة المستخدم الرسومية و CLI التي تلتزم حارس الأسلاك للمساعدة في التكوين والنشر وإدارة المفاتيح والاتصال.

  • https://github.com/weejewel/wg-easy
  • https://github.com/seashell/drago
  • https://github.com/gravitl/netmaker
  • https://github.com/vx3r/wg-gen-web
  • https://github.com/subspaceCloud/Subspace
  • https://github.com/corrad1nho/qomui
  • https://github.com/max-moser/network-manager-wireguard
  • https://github.com/psyhomb/wireguard-tools
  • https://github.com/its0x08/wg-install
  • https://github.com/sowbug/mkwgconf
  • https://github.com/brittson/wireguard_config_maker
  • https://github.com/sirtoffski/wireguard-ligase/
  • https://pypi.org/project/wireguard-p2p/
  • https://github.com/trailofbits/algo
  • https://github.com/streisandeffect/streisand
  • https://www.veeam.com/blog/veeam-pn-v2-wireguard.html
  • https://github.com/wg-dashboard/wg-dashboard
  • https://www.wireguardconfig.com
  • https://github.com/complexorganizations/wireguard-manager
  • https://github.com/influxdata/wirey
  • https://github.com/apognu/wgctl
  • https://github.com/naggie/dsnet
  • https://github.com/perara/wg-manager
  • https://github.com/pivpn/pivpn
  • https://github.com/brunif/wg-ccg
  • https://github.com/freifunkmuc/wg-access-server
  • https://github.com/firezone/firezone

اختصارات التكوين

يعود الفضل في هذه الاختصارات إلى: https://www.ericlight.com/new-things-i-didnt-know-about-wireguard.html

مشاركة ملف أقران واحد

سوف يتجاهل Wireguard نظيرًا يطابق مفتاحه العام للمفتاح الخاص للواجهة. حتى تتمكن من توزيع قائمة واحدة من أقرانها في كل مكان ، وتحديد [Interface] بشكل منفصل على كل خادم.

انظر: https://lists.zx2c4.com/pipermail/wireguard/2018-december/003703.html

يمكنك الجمع بين هذا مع wg addconf مثل هذا:

  • كل نظير له ملف /etc/wireguard/wg0.conf ، والذي يحتوي فقط على قسم [Interface] .

  • يحتوي كل نظير أيضًا على ملف /etc/wireguard/peers.conf ، والذي يحتوي على جميع أقرانهم.

  • يحتوي ملف wg0.conf أيضًا على خطاف PostUp : PostUp = wg addconf /etc/wireguard/peers.conf .

الأمر متروك لك أن تقرر كيف تريد مشاركة peers.conf . أنا لا أتعامل مع ، لكن من الرائع أن تتمكن من القضاء على قسم نظير بعنف ، دون القلق مما إذا كان هو نفسه الواجهة.

تعيين قيم التكوين من الملفات أو مخرجات الأوامر

يمكنك تعيين قيم التكوين من أوامر تعسفية أو عن طريق القراءة في القيم من الملفات ، مما يجعل الإدارة المفتاح والنشر أسهل بكثير حيث يمكنك القراءة في مفاتيح وقت التشغيل من خدمة الطرف الثالث مثل أسرار Kubernetes أو AWS KMS.

انظر: https://lists.zx2c4.com/pipermail/wireguard/2018-december/003702.html

مثال

يمكنك القراءة في ملف باعتباره PrivateKey من خلال القيام بشيء مثل:

PostUp = wg set %i private-key /etc/wireguard/wg0.key <(some command)

النقل بالحاويات

يمكن تشغيل Wireguard في Docker بدرجات متفاوتة من السهولة. في أبسط الحالات ، --privileged إضافة --cap-add=all الوسائط إلى أوامر Docker لتمكين تحميل وحدة kernel.

يمكن أن تصبح الإعدادات معقدة إلى حد ما وتعتمد بشكل كبير على ما تحاول تحقيقه. يمكنك تشغيل Wireguard نفسه في حاوية وفضح واجهة شبكة للمضيف ، أو يمكنك تشغيل Wireguard على المضيف الذي يعرض واجهة لحاويات محددة.

انظر أدناه للحصول على مثال على حاوية Docker vpn_test توجيه جميع حركة المرور من خلال خادم ترحيل Wireguard.

مثال على إعداد خادم الترحيل 

 version : ' 3 '

services :
  wireguard :
    image : linuxserver/wireguard
    ports :
      - 51820:51820/udp
    cap_add :
      - NET_ADMIN
      - SYS_MODULE
    volumes :
      - /lib/modules:/lib/modules
      - ./wg0.conf:/config/wg0.conf:ro

wg0.conf : 

 [Interface]
# Name = relay1.wg.example.com
Address = 192.0.2.1/24
ListenPort = 51820
PrivateKey = oJpRt2Oq27vIB5/ UVb7BRqCwad2YMReQgH5tlxz8YmI =
DNS = 1.1.1.1,8.8.8.8
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT ; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE; ip6tables -A FORWARD -i wg0  -j ACCEPT; ip6tables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT ; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE; ip6tables -D FORWARD -i wg0 -j ACCEPT; ip6tables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]
# Name = peer1.wg.example.com
PublicKey = I+hXRAJOG/UE2IQvIHsou2zTgkUyPve2pzvHTnd/ 2Gg =
AllowedIPs = 192.0.2.2/32

مثال على إعداد حاوية العميل

في هذا المثال ، ستذهب جميع حركة المرور من داخل حاوية speedtest من خلال VPN من Wireguard. لتوجيه بعض حركة المرور فقط ، استبدل 0.0.0.0/0 في wg0.conf أدناه مع النطاقات الشبكة الفرعية التي تريد توجيهها عبر VPN.

docker-compose.yml : 

 version : ' 3 '

services :
  wireguard :
    image : linuxserver/wireguard
    cap_add :
      - NET_ADMIN
      - SYS_MODULE
    volumes :
      - /lib/modules:/lib/modules
      - ./wg0.conf:/config/wg0.conf:ro
    
  vpn_test :
    image : curlimages/curl
    entrypoint : curl -s http://whatismyip.akamai.com/
    network_mode : ' service:wireguard '

wg0.conf : 

 [Interface]
# Name = peer1.wg.example.com
Address = 192.0.2.2/32
PrivateKey = YCW76edD4W7nZrPbWZxPZhcs32CsBLIi1sEhsV/ sgk8 =
DNS = 1.1.1.1,8.8.8.8

[Peer]
# Name = relay1.wg.example.com
Endpoint = relay1.wg.example.com:51820
PublicKey = zJNKewtL3gcHdG62V3GaBkErFtapJWsAx+ 2um0c0B1s =
AllowedIPs = 192.0.2.1/24,0.0.0.0/0
PersistentKeepalive = 21

لمزيد من التفاصيل ، راجع قسم القراءة الإضافية: Docker أدناه.

مزيد من القراءة

مستندات مرجعية

  • https://www.wireguard.com/install/#installation
  • https://git.zx2c4.com/wireguard/about/src/tools/man/wg.8
  • https://git.zx2c4.com/wireguard/about/src/tools/man/wg-quick.8
  • https://wiki.archlinux.org/index.php/wireguard/https://wiki.archlinux.org/title/wireguard
  • https://wiki.debian.org/wireguard#configuration
  • https://docs.netgate.com/pfsense/en/latest/vpn/wireguard/index.html
  • https://www.procustodibus.com/blog/2020/10/wireguard-topologies/

دروس

  • https://www.wireguard.com/quickstart/
  • https://www.stavros.io/posts/how-to-configure-wireguard/
  • https://nbsoftsolutions.com/blog/wireguard-vpn-walkthrough
  • https://networkhobo.com/building-a-wireguard-router/
  • https://proprivacy.com/guides/wireguard-hands-on-guide
  • https://angristan.xyz/how-to-setup-vpn-server-wireguard-nat-ipv6/
  • https://medium.com/@headquartershq/setting-wireguard-on-a-mac-8a121bfe9d86
  • https://grh.am/2018/wireguard-setup-guide-for-ios/
  • https://techcrunch.com/2018/07/28/how-i-made-wown-wireguard-vpn-server/
  • https://www.ckn.io/blog/2017/11/14/wireguard-vpn-typical-setup/
  • https://jrs-s.net/2018/08/05/Routing-between-wg-interfaces-with-wireguard/
  • https://www.stavros.io/posts/how-to-configure-wireguard/
  • https://vincent.bernat.ch/en/blog/2018-route--vpn-wireguard
  • https://staaldraad.github.io/2017/04/17/nat-to-nat-with-wireguard
  • https://try.popho.be/wg.html
  • https://docs.artemix.org/sysadmin/wireguard-management/
  • https://github.com/adrianmihalko/raspberrypiwireguard
  • https://www.ericlight.com/wireguard-part-one-installation.html
  • https://www.ericlight.com/wireguard-part-two-vpn-routing.html
  • https://www.ericlight.com/wireguard-part-three-troubleshooting.html
  • https://wiki.dd-wrt.com/wiki/index.php/the_easiest_tunnel_ever
  • https://www.reddit.com/r/pihole/comments/bnihyz/guide_how_to_install_wireguard_on_a_raspberry_pi/
  • https://jwillmer.de/blog/tutorial/wireguard-proxy-configuration
  • https://www.maths.tcd.ie/~fionn/misc/wireguard.php
  • https://www.linode.com/docs/networking/vpn/set-upwireguard-vpn-on-debian/
  • https://golb.hplar.ch/2019/01/expose-server-vpn.html
  • https://medium.com/@jmarhee/configuring-and-danaging-teween-multiple-networks-with-wireguard-61ad995c887c
  • https://stanislas.blog/2019/01/how-to-setup-vpn-server-wireguard-nat-ipv6/

الأوراق والمقالات والمحادثات

  • https://www.wireguard.com/papers/wireguard.pdf
  • https://www.wireguard.com/presentations/
  • https://eprint.iacr.org/2018/080.pdf
  • https://courses.csail.mit.edu/6.857/2018/project/he-xu-xu-wireguard.pdf
  • https://arstechnica.com/gadgets/2018/08/wireguard-vpn-review-fast-connections-amaze-but-windows-support-needs-to-happen/
  • https://www.wireguard.com/talks/blackhat2018-slides.pdf

المشاريع ذات الصلة

  • https://github.com/weejewel/wg-easy
  • https://github.com/gravitl/netmaker
  • https://github.com/complexorganizations/wireguard-manager
  • https://github.com/subspaceCloud/Subspace
  • https://github.com/trailofbits/algo
  • https://github.com/streisandeffect/streisand
  • https://github.com/its0x08/wg-install
  • https://github.com/sowbug/mkwgconf
  • https://github.com/brittson/wireguard_config_maker
  • https://github.com/sirtoffski/wireguard-ligase/
  • https://pypi.org/project/wireguard-p2p/
  • https://github.com/cloudflare/boringtun
  • https://git.zx2c4.com/wireguard-go/about/
  • https://github.com/wireguard/wg-dynamic
  • https://github.com/wireguard/wireguard-ios
  • https://github.com/wireguard/wireguard-windows
  • https://github.com/wireguard/wireguard-rs
  • https://github.com/wireguard/wireguard-go
  • https://www.veeam.com/blog/veeam-pn-v2-wireguard.html
  • https://github.com/wg-dashboard/wg-dashboard
  • https://wirtbot.com
  • https://github.com/seashell/drago
  • https://www.wireguardconfig.com
  • https://github.com/angristan/wireguard-install
  • https://github.com/complexorganizations/wireguard-manager
  • https://github.com/influxdata/wirey
  • https://github.com/apognu/wgctl
  • https://github.com/tainscale/tailscale
  • https://github.com/pivpn/pivpn
  • https://github.com/jwhited/wgsd
  • https://github.com/freifunkmuc/wg-access-server
  • https://github.com/firezone/firezone

عامل ميناء

  • https://blog.jessfraz.com/post/installing-and-using-wireguard/
  • https://codeopolis.com/posts/installing-wireguard-in-docker/
  • http://tiven.wang/articles/wireguard-setup-server-in-docker/
  • https://github.com/activeeos/wireguard-docker
  • https://github.com/cmulk/wireguard-docker
  • https://github.com/ironhalik/docker-wireguard
  • https://github.com/linuxserver/docker-wireguard
  • https://github.com/squat/kilo
  • https://github.com/gravitational/wormhole
  • https://medium.com/@mdp/securs-docker-with-wireguard-82ad45004f4d
  • https://nbsoftsolutions.com/blog/leaning-on-algo-to-route-docker-traffic-through-wireguard
  • https://nbsoftsolutions.com/blog/routing-select-docker-containers-through-wireguard-vpn
  • https://www.net.in.tum.de/fileadmin/bibtex/publications/theses/2018-pudelko-vpn-performance.pdf
  • https://www.wireguard.com/#ready-for-containers
  • https://discuss.linuxcontainers.org/t/solved-wireguard-in-macvlan-container-on-ubuntu-18-04/445
  • https://www.reddit.com/r/wireguard/comments/gdhcej/trouble_tunneling_docker_containers_through_a/
  • https://forums.unraid.net/topic/91367-bartially-working-wireguard-docker/
  • https://saasbootstrap.com/how-to-setup-a-vpn-with-wireguard-that-only-traffic-from-a-specific-container-or-pecific-ip/

آخر

  • https://blog.cloudflare.com/boringtun-userspace-wireguard-rust/
  • https://jrs-s.net/category/open-source/wireguard/
  • https://restoreprivacy.com/openvpn-ipsec-wireguard-l2tp-ikev2-protocols/
  • https://restoreprivacy.com/wireguard/
  • https://www.ericlight.com/new-things-i-didnt-know-about-wireguard.html
  • https://www.ericlight.com/tag/wireguard.html
  • https://www.linode.com/docs/networking/vpn/set-upwireguard-vpn-on-ubuntu/
  • https://www.reddit.com/r/linux/comments/9bnowo/wireguard_benchmark_between_two_servers_with_10/
  • https://www.wireguard.com/netns/
  • https://www.wireguard.com/performance/
  • https://blogs.gnome.org/thaller/2019/03/15/wireguard-in-networkmanager/
  • https://github.com/max-moser/network-manager-wireguard
  • https://blog.linuxserver.io/2019/11/24/connect-an-Ubuntu-lient-to-opnsense-wireguard-tunnel-with-a-gui-toggle-in-gnome/
  • https://im.salty.fish/index.php/archives/linux-networking-shallow-dive.html

المناقشات

  • https://www.reddit.com/r/wireguard
  • https://lists.zx2c4.com/mailman/listinfo/wireguard
  • https://www.reddit.com/r/vpn/comments/a914mr/can_you_explain_the_difference_between_openvpn/
  • https://www.reddit.com/r/wireguard/comments/B0M5G2/IPV6_LEAKS_PSA_FOR_ANYONE_HERE_USING_WIREGUARD_TO/؟UTM_SOURCE=REDDIT&UTM_MEDIUM=USERTEXT&UTM_NAMERGARD&UTM_T1_EP8T1 -
  • https://www.reddit.com/r/vpn/comments/au4owb/how_secure_is_wireguard_vpn_protocol/
  • https://www.reddit.com/r/wireguard/comments/ap33df/wireguard_what_s_so_special_about_it_and_why/
  • https://www.reddit.com/r/vpn/comments/9hgs2x/what_is_the_diffection_between_wireguard_openvpn/
  • https://www.reddit.com/r/wireguard/comments/d3thxp/port_forwarding_on_the_router_with_wireguard_is/
  • https://www.reddit.com/r/privacytoolsio/comments/8l0vxt/what_do_you_guys_of_wireguard/
  • https://community.ui.com/questions/edgerouter-with-remote-wireguard-access-issue/03e4f2e2-3871-437f-8632-3c5c7fb1c7a4
  • https://discuss.linuxcontainers.org/t/solved-wireguard-in-macvlan-container-on-ubuntu-18-04/445
  • https://news.ycombinator.com/item؟id=20036194
  • https://news.ycombinator.com/item؟id=17659983
  • https://news.ycombinator.com/item؟id=17846387

لمزيد من التعليمات التفصيلية ، راجع دليل QuickStart و API أعلاه. يمكنك أيضًا تنزيل إعداد مثال كامل هنا: https://github.com/pirate/wireguard-example.

اقترح تغييرات: https://github.com/pirate/wireguard-docs/issues

يوسع
معلومات إضافية
تطبيقات ذات صلة
نوصي لك
أخبار ذات صلة الكل