wireguard组建一个内网环境

Author： lcl101
发布时间：March 28, 2022
10163 views
11 comments
3313 words
Categories： Wireguard

简介：自己想建立一个，稳定，安全的组网环境，之前有用zerotier，并且自己搭建了moon，但有时候也会存在链接不上情况，毕竟服务器是是他们三方搭建的，而且在国外，安全和稳定性都不靠谱，所以只有自己搭建一套组网环境，才是最可靠的

什么是wireguard

WireGuard® is an extremely simple yet fast and modern VPN that utilizes state-of-the-art cryptography. It aims to be faster, simpler, leaner, and more useful than IPsec, while avoiding the massive headache. It intends to be considerably more performant than OpenVPN. WireGuard is designed as a general purpose VPN for running on embedded interfaces and super computers alike, fit for many different circumstances. Initially released for the Linux kernel, it is now cross-platform (Windows, macOS, BSD, iOS, Android) and widely deployable. It is currently under heavy development, but already it might be regarded as the most secure, easiest to use, and simplest VPN solution in the industry.

翻译：WireGuard是一款极其简单但快速的现代VPN，它利用了最先进的加密技术。它的目标是比IPsec更快、更简单、更精简、更有用，同时避免巨大的头痛。它打算比OpenVPN有更高的性能。WireGuard是一种通用VPN，可在嵌入式接口和超级计算机上运行，适用于多种不同的环境。它最初是为Linux内核发布的，现在是跨平台的（Windows、macOS、BSD、iOS、Android），并且可以广泛部署。它目前正在大力开发中，但已经被认为是业界最安全、最易使用、最简单的VPN解决方案

这是官方的解释，可以看出WireGuard具备以下几个特征

自组网，服务可控
安全，
快速，
平台兼容性好

还有一点：Linux 创造者 Linus Torvalds 非常喜欢 WireGuard，以至于将其合并到 Linux Kernel 5.6 中。

WireGuard穿透预期效果图

wireguard搭建完成后，中继服务器与各个peer之间是可以互通，但是peer之间是放问不了的
需要通过中继服务器，开发iptables流量转发来实现peer之间的互通

开始搭建wireguard

这里简单介绍下centos7中如何安装wireguard

sudo yum install epel-release elrepo-release
sudo yum install yum-plugin-elrepo
sudo yum install kmod-wireguard wireguard-tools

其他平台，例如：安卓，mac，下载对应app就可以了

中继服务器搭建

1.生成服务器端密钥

cd /etc/wireguard/
umask 077
wg genkey | tee server_private_key | wg pubkey > server_public_key

生成完成后，就可以看到当前路径下有“server_private_key”及“server_public_key”2个文件。

2.创建服务器配置文件
在/etc/wireguard/下创建wg0.conf文件。

vi /etc/wireguard/wg0.conf
文件内容为：
[Interface]
Address = 10.0.0.1/24
SaveConfig = true
PrivateKey = 服务器的私钥（在服务器上生成的server_private_key文件）
ListenPort = 51820

peer1客户端搭建：

客户创建密匙和服务端一样，这里只贴出来，配置文件的内容

[Interface]
Address = 10.0.0.2/32
PrivateKey = 客户端的私钥
DNS = 10.0.0.1

[Peer]
PublicKey = 服务器的公钥
Endpoint = 服务器的物理ip地址:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25

peer2客户端搭建：

客户创建密匙和服务端一样，这里只贴出来，配置文件的内容

[Interface]
Address = 10.0.0.3/32
PrivateKey = 客户端的私钥
DNS = 10.0.0.1

[Peer]
PublicKey = 服务器的公钥
Endpoint = 服务器的物理ip地址:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25

gateway 添加 peer

cd /etc/wireguard
vim wg0.conf
最下边添加
[Peer]
PublicKey = ${peer1中的PUBLICKEY}
AllowedIPs = 10.6.6.2/32

[Peer]
PublicKey = ${peer2中的PUBLICKE}
AllowedIPs = 10.6.6.3/32

添加流量转发

cd /etc/wireguard
vim wg0.conf
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o wg0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o wg0 -j MASQUERADE

链接测试

到这里，各个节点已经实现互通

Last modification：April 25, 2023

If you think my article is useful to you, please feel free to appreciate

👍 正文到此结束 👍

本文作者：lcl101
本文链接：https://lcl101.cn/archives/16/
版权声明：本博客所有文章除特别声明外，均默认采用 CC BY-NC-SA 4.0 许可协议。

11 comments

qzhhiwwwxf
October 19th, 2024 at 02:56 pm

兄弟写的非常好 https://www.cscnn.com/

Reply
sslhbyatia
October 1st, 2024 at 09:08 pm

不错不错，我喜欢看 https://www.237fa.com/

Reply
wyjzebrbru
September 23rd, 2024 at 09:25 am

看的我热血沸腾啊https://www.jiwenlaw.com/

Reply
jghbmgedhx
September 22nd, 2024 at 06:48 pm

博主真是太厉害了！！！

Reply
lcl101
May 17th, 2023 at 10:10 am

test

Reply
灵玲橙
August 5th, 2022 at 07:31 am

看了看你这配置吧，还是希望你能把一些关键点写清楚，提点建议。
配置中AllowedIPs一项兼顾两方面作用，一是传出时确定传出路由方向，二是传入时确定接受得IP列表。
下面peer的AllowedIPs，如果代理所有流量用0.0.0.0/0，有些机器有默认路由不走wg所以许多教程写0.0.0.0/1,128.0.0.0/1，这种配置会把所有的网络都接管，实际上是不建议的，建议写上所有需要路由的流量网段即可，下面示例中，172.18.0.0/16的所有流量都会被接受路由到这台电脑，172.19.0.0/16网段的流量会发给peer1机器。
另外建议配置双栈模式，但是注意IPV6的公网安全性。
[Interface]
PrivateKey =
Address = 172.17.2.1/24, 2001:470:1f05:2ee:172:17:2:1/64, 2001:470:1f05:193:172:17:2:1/64, 172.18.0.0/16, 2001:470:1f05:2ee:1728::/80, 2001:470:1f05:2ee:1729::/80
ListenPort = 3322
MTU = 1412
DNS = 172.17.2.1,1.1.1.1,8.8.8.8
PostUp = ip -6 address del 2001:470:1f05:2ee:1728::/80 dev wg3333 ; ip -6 address del 2001:470:1f05:2ee:1729::/80 dev wg3333
#ListenPort =
#BlockDNS = true
#BlockInternet = route, firewall
[Peer]
PublicKey =
Endpoint = 公网:端口
AllowedIPs = 172.17.2.4/32, 2001:470:1f05:2ee:172:17:2:4/128, 2001:470:1f05:193:172:17:2:4/128, 172.19.0.0/16
PersistentKeepalive = 25
#PreshareKey =
#AllowMulticast =
[Peer]
PublicKey =
Endpoint = 公网:端口
AllowedIPs = 172.17.2.2/32, 2001:470:1f05:2ee:172:17:2:2/128, 2001:470:1f05:193:172:17:2:2/128
PersistentKeepalive = 25
[Peer]
PublicKey =
AllowedIPs = 172.17.2.3/32, 2001:470:1f05:2ee:172:17:2:3/128, 2001:470:1f05:193:172:17:2:3/128
Endpoint = 公网:端口

Reply
1. lcl101
  August 10th, 2022 at 05:17 pm
  
  @灵玲橙
  
  优秀，现在udp端口被qos严重，我技术又升级了
  
  Reply
Simon
May 21st, 2022 at 01:52 am

怎么实现在peera中访问peerb中的路由网段？

Reply
1. lcl101
  June 1st, 2022 at 10:00 am
  
  @Simon
  
  通过iptables流量转发实现
  
  Reply
微信用户
April 11th, 2022 at 03:36 pm

哈哈

Reply
微信用户
April 8th, 2022 at 06:56 pm

test

Reply

wireguard组建一个内网环境

lcl101 • 2022 年 03 月 28 日

<p>简介：自己想建立一个，稳定，安全的组网环境，之前有用zerotier，并且自己搭建了moon，但有时候也会存在链接不上情况，毕竟服务器是是他们三方搭建的，而且在国外，安全和稳定性都不靠谱，所以只有自己搭建一套组网环境，才是最可靠的</p><h2>什么是wireguard</h2><p>WireGuard® is an extremely simple yet fast and modern VPN that utilizes state-of-the-art cryptography. It aims to be faster, simpler, leaner, and more useful than IPsec, while avoiding the massive headache. It intends to be considerably more performant than OpenVPN. WireGuard is designed as a general purpose VPN for running on embedded interfaces and super computers alike, fit for many different circumstances. Initially released for the Linux kernel, it is now cross-platform (Windows, macOS, BSD, iOS, Android) and widely deployable. It is currently under heavy development, but already it might be regarded as the most secure, easiest to use, and simplest VPN solution in the industry.</p><p>翻译：WireGuard是一款极其简单但快速的现代VPN，它利用了最先进的加密技术。它的目标是比IPsec更快、更简单、更精简、更有用，同时避免巨大的头痛。它打算比OpenVPN有更高的性能。WireGuard是一种通用VPN，可在嵌入式接口和超级计算机上运行，适用于多种不同的环境。它最初是为Linux内核发布的，现在是跨平台的（Windows、macOS、BSD、iOS、Android），并且可以广泛部署。它目前正在大力开发中，但已经被认为是业界最安全、最易使用、最简单的VPN解决方案</p><p>这是官方的解释，可以看出WireGuard具备以下几个特征</p><ol><li>自组网，服务可控</li><li>安全，</li><li>快速，</li><li>平台兼容性好</li></ol><p>还有一点：Linux 创造者 Linus Torvalds 非常喜欢 WireGuard，以至于将其合并到 Linux Kernel 5.6 中。</p><h2>WireGuard穿透预期效果图</h2><p><img src="https://lcl101.cn/usr/themes/handsome/assets/img/loading.svg" alt="企业微信20220328-111505@2x.png" title="企业微信20220328-111505@2x.png" style=""data-original="https://lcl101.cn/usr/uploads/2022/04/772166648.png"><br>wireguard搭建完成后，中继服务器与各个peer之间是可以互通，但是peer之间是放问不了的<br>需要通过中继服务器，开发iptables流量转发来实现peer之间的互通</p><h2>开始搭建wireguard</h2><p>这里简单介绍下centos7中如何安装wireguard</p><pre><code class="lang-bash">sudo yum install epel-release elrepo-release
sudo yum install yum-plugin-elrepo
sudo yum install kmod-wireguard wireguard-tools</code></pre><p>其他平台，例如：安卓，mac，下载对应app就可以了</p><h3>中继服务器搭建</h3><p>1.生成服务器端密钥</p><pre><code class="lang-bash">cd /etc/wireguard/
umask 077
wg genkey | tee server_private_key | wg pubkey &gt; server_public_key</code></pre><p>生成完成后，就可以看到当前路径下有“server_private_key”及“server_public_key”2个文件。</p><p>2.创建服务器配置文件<br>在/etc/wireguard/下创建wg0.conf文件。</p><pre><code class="lang-bash">vi /etc/wireguard/wg0.conf
文件内容为：
[Interface]
Address = 10.0.0.1/24
SaveConfig = true
PrivateKey = 服务器的私钥（在服务器上生成的server_private_key文件）
ListenPort = 51820</code></pre><h3>peer1客户端搭建：</h3><p>客户创建密匙和服务端一样，这里只贴出来，配置文件的内容</p><pre><code class="lang-bash">[Interface]
Address = 10.0.0.2/32
PrivateKey = 客户端的私钥
DNS = 10.0.0.1

[Peer]
PublicKey = 服务器的公钥
Endpoint = 服务器的物理ip地址:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25</code></pre><h3>peer2客户端搭建：</h3><p>客户创建密匙和服务端一样，这里只贴出来，配置文件的内容</p><pre><code class="lang-bash">[Interface]
Address = 10.0.0.3/32
PrivateKey = 客户端的私钥
DNS = 10.0.0.1

[Peer]
PublicKey = 服务器的公钥
Endpoint = 服务器的物理ip地址:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25</code></pre><h3>gateway 添加 peer</h3><pre><code class="lang-bash">cd /etc/wireguard
vim wg0.conf
最下边添加
[Peer]
PublicKey = ${peer1中的PUBLICKEY}
AllowedIPs = 10.6.6.2/32

[Peer]
PublicKey = ${peer2中的PUBLICKE}
AllowedIPs = 10.6.6.3/32</code></pre><h3>添加流量转发</h3><pre><code class="lang-bash">cd /etc/wireguard
vim wg0.conf
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o wg0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o wg0 -j MASQUERADE</code></pre><h2>链接测试</h2><p>到这里，各个节点已经实现互通<br><img src="https://lcl101.cn/usr/themes/handsome/assets/img/loading.svg" alt="企业微信20220328-114817@2x.png" title="企业微信20220328-114817@2x.png" style=""data-original="https://lcl101.cn/usr/uploads/2022/04/266971204.png"></p>

wireguard组建一个内网环境

什么是wireguard

WireGuard穿透预期效果图

开始搭建wireguard

中继服务器搭建

peer1客户端搭建：

peer2客户端搭建：

gateway 添加 peer

添加流量转发

链接测试

11 comments

Leave a Comment Cancel reply
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

wireguard组建一个内网环境

记录一次磁盘IO满负荷性能分析

页面两端对齐布局，最全，最完整的方案

前端周刊上线拉！！！

树莓派不同玩法

第三期 DeviceScript，Nuxt3.5，10 Ways

wireguard组建一个内网环境

如何优雅的使用ipv6穿透内网

树莓派安装docker

第一期 Qwik Reaches v1.0

wireguard组建一个内网环境

什么是wireguard

WireGuard穿透预期效果图

开始搭建wireguard

中继服务器搭建

peer1客户端搭建：

peer2客户端搭建：

gateway 添加 peer

添加流量转发

链接测试

11 comments

Leave a Comment Cancel reply 使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

wireguard组建一个内网环境

Leave a Comment Cancel reply
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款