在 Ubuntu 上搭建 WireGuard 服務(wù)器，實現(xiàn)遠程登錄

在本文中，我將向大家展示如何在 Ubuntu上搭建 WireGuard服務(wù)器，從而實現(xiàn)遠程登錄。

首先，我們先來了解一下，什么是 WireGuard？

WireGuard 簡介

WireGuard 是一款非常簡單快捷的 VPN工具，采用了最先進的加密技術(shù)。它的目標(biāo)是比 IPsec 更快，更簡單，更精簡易用，同時避免大規(guī)模配置的麻煩。WireGuard被設(shè)計為通用 VPN，用于在嵌入式接口和超級計算機上運行，適用于多種不同環(huán)境。WireGuard 最初是為 Linux 內(nèi)核發(fā)布的，現(xiàn)在已經(jīng)可廣泛部署并且跨平臺支持（Windows，macOS，BSD，iOS，Android）。WireGuard 目前發(fā)展迅速，并且已經(jīng)被認為是業(yè)內(nèi)最安全，最易用和最簡單的 VPN 解決方案。

WireGuard 基本概念

WireGuard 中涉及到幾個基本概念：

• Peer：WireGuard 中的節(jié)點。
• 私鑰（Private key）：每個節(jié)點自己的私鑰，可以使用wg genkey 生成。
• 公鑰（Public key）：每個節(jié)點自己的公鑰，可以使用wg pubkey 生成。
• AllowedIPs：定義每個節(jié)點允許通過的IP地址段。

下面是 WireGuard的配置步驟：

1、創(chuàng)建虛擬網(wǎng)卡 eth0

2、使用私鑰和對端的公鑰對其進行配置建立連接

3、通過接口開始交換數(shù)據(jù)包

以上為建立一個 WireGuard VPN 鏈接的過程，建立好后，A 設(shè)備與 B 設(shè)備互相需要保證虛擬網(wǎng)卡的 IP 在相同網(wǎng)段中，并且這個網(wǎng)段被 WireGuard 的配置文件 AllowedIPs 所允許通過，最后，在 WireGuard 中的所有數(shù)據(jù)報文，都采用UDP的方式發(fā)送。

WireGuard 安裝

前期準(zhǔn)備

云端服務(wù)器 x 1

系統(tǒng)：Ubuntu Server 18.04.1 LTS 64bit

可訪問網(wǎng)絡(luò)的 PC x 1

系統(tǒng)：Windows11

Ubuntu服務(wù)器 IP地址 42.192.113.207

WireGuard主端虛擬IP地址172.16.1.11

PC

WireGuard對端虛擬地址：172.16.1.14

安裝 WireGuard服務(wù)器

sudo apt install -y wireguard

配置 WireGuard服務(wù)器

進入 wireguard目錄

复制cd /etc/wireguard/

使用命令生成一對公鑰與私鑰

复制wg genkey | tee privatekey | wg pubkey > publickey && cat privatekey && cat publickey

注意查看 WireGuard 生成的 PublicKey 是

复制q/fe0sDI0BUzs5OwiLfyqjN5Y40LTHk01rgLkHBDgRM=

WireGuard PC對端客戶端配置

新建空隧道

獲得對端 PublicKey

复制QjvFxlqoQYnToTT6snhhly2D8ZASb6GzuO81ALSIG3E=

文件配置：

复制[Interface] 

PrivateKey=IIDs0Jv/iCn08+mXvoXRTuiIzhUziIeyF6hlOEq63lw=

Address=172.16.1.14/32

 [Peer] 
 
 PublicKey=q/fe0sDI0BUzs5OwiLfyqjN5Y40LTHk01rgLkHBDgRM=
 
 AllowedIPs=172.16.1.11/24
 
 Endpoint=42.193.113.207:51820
 
 PersistentKeepalive=25

WireGuard主端文件配置

創(chuàng)建服務(wù)器配置文件 wg0.conf

复制nano wg0.conf

复制[Interface]
Address = 172.16.1.11/24   #服務(wù)器虛擬地址
ListenPort = 51820         #監(jiān)聽端口
PrivateKey = IJ6niaDAl2/UXVApMIBAX8QjMgApDRTBtNHBsVi9z3o=  #服務(wù)器 PrivateKey
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o wg0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o wg0 -j MASQUERADE

[Peer]
PublicKey =QjvFxlqoQYnToTT6snhhly2D8ZASb6GzuO81ALSIG3E=    #對端 Publickey
AllowedIPs = 172.16.1.14/32     #對端虛擬IP地址
PersistentKeepalive = 25        #上傳心跳包間隔

創(chuàng)建網(wǎng)卡配置文件，文件名為 wg0

复制ip link add dev wg0 type wireguard
ip address

網(wǎng)絡(luò)接口配置虛擬IP 地址（此虛擬 IP地址為前期準(zhǔn)備中的 172.16.1.11/24）

ip address add dev wg0 172.16.1.11/24 ip address

創(chuàng)建一個私鑰，用于 WireGuard 使用，并配置權(quán)限禁止他人訪問

wg genkey | tee /tmp/private-key chmod 600 /tmp/private-key wg set wg0 private-key /tmp/private-key listen-port 51820

啟動網(wǎng)絡(luò)接口

ip link set wg0 up ip address

此時我們創(chuàng)建好了本地節(jié)點，需要配置哪些節(jié)點是我們的對端，才能建立網(wǎng)絡(luò)連接。

通過 PC安裝的 WireGuard客戶端連接 WireGuard服務(wù)器

點擊連接

wg查看連接狀態(tài)

備注：其他相關(guān)命令

1、啟動 WireGuard

wg-quick up wg0

2、停止 WireGuard

wg-quick down wg0

3、查看 WireGuard運行狀態(tài)

Wg

4、WireGuard 配置說明

复制[Interface]
Address = 172.16.1.11/24    #本機地址與掩碼位數(shù) (IPV4)
ListenPort = 51820         #本機監(jiān)聽 WireGuard 端口
PrivateKey = IJ6niaDAl2/UXVApMIBAX8QjMgApDRTBtNHBsVi9z3o=  #本機加密私鑰
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o wg0 -j MASQUERADE
#啟動前操作
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o wg0 -j MASQUERADE
 #停止后操作
[Peer]
PublicKey =QjvFxlqoQYnToTT6snhhly2D8ZASb6GzuO81ALSIG3E=    #本機加密的對端公鑰（加密后數(shù)據(jù)僅對端可以解密）
AllowedIPs = 172.16.1.14/32     #本機允許的對端設(shè)備的 IP 地址段，其實就是在本機中這個虛擬網(wǎng)卡接收到對端發(fā)來的源地址都允許有哪些設(shè)備 IP 地址（多 peer 不可重復(fù)）
PersistentKeepalive = 25         #當(dāng)會話存在一端 IP 地址為 NAT 地址或虛假公網(wǎng) IP 地址時，由該方階段性每 25 秒發(fā)送 keepalive 報文保持會話的可用性，防止被設(shè)備終止。

在上文的基礎(chǔ)上，大家需要額外注意以下這些內(nèi)容：

1、如果你存在多個 [Peer] ，則在下面直接增加一個新的 [Peer] 欄目；

2、如果多個 Peer 存在不同的 IP，請不要讓 AllowedIPs 存在重疊的 IP 地址段（比如配置多個相同 /24 只有一個生效）；

3、Endpoint 既支持以域名的方式訪問，也支持以 IP 的方式訪問；

4、會話鏈接的建立只要保證兩端數(shù)據(jù)在一臺設(shè)備上成功協(xié)商，即使動態(tài) IP 地址變更也不會影響 VPN 的穩(wěn)定性；

5、ListenPort 不添加會自動生成高位端口用來 peer，以及主從結(jié)構(gòu)下，從端不填寫 listenport；

6、Table 參數(shù)可以使用 auto 和 off，兩者分別對應(yīng)"自動注入路由"和"禁止注入"。不配置采用 auto；

7、如果你是主從結(jié)構(gòu)，需要讓從端在配置中將從端的"AllowedIPs ="補寫一條內(nèi)容 0.0.0.0/0,::0 以允許所有流量；

8、PreUp，PostUp，PreDown，PostDown 這四個命令參數(shù)，是作為 wg-quick 快速設(shè)置/刪除接口之前/之后由 bash（1）執(zhí)行的四條命令，常用于配置自定義 DNS 或防火墻規(guī)則。 特殊字符串 ％i 作為變量替代所控制的 INTERFACE 配置名。每個命令參數(shù)都支持多條命令，參數(shù)內(nèi)的多條命令將按前后順序依次執(zhí)行，分隔符為 ; 分號。