了解和配置WireGuard(EdgeRoutor)
最近入手了一只er-x作为主路由,考虑可以随时漫游回家,er-x支持的vpn协议很多,也尝试配置了L2TP和OpenVPN,但是都不成功,且配置太难懂,经历了无数天的头疼和尝试之后,转向了wireguard。
WireGuard介绍
了解wiredguard的概念,可以更好的理解他的配置。
WG 先定义了一个很重要的概念 —— WireGuard Interface(以下简称 wgi)。为什么要有 wgi?为什么现有的 tunnel 接口不适合?一个 wgi 是这么一个特殊的接口:
- 有一个自己的私钥(curve25519)
- 有一个用于监听数据的 UDP 端口
- 有一组 peer(peer 是另一个重要的概念),每个 peer 通过该 peer 的公钥确认身份
通过定义这样一个新的接口,wgi 把它和一般的 tunnel 接口区分开。有了这样一个接口的定义,其它数据结构的挂载,以及数据的收发都很清晰明了了。
我们看 WG 的接口配置:
[Interface]
Address = 10.1.1.1/24
ListenPort = 12345
PrivateKey = blablabla
[Peer]
PublicKey = IWNVZYx0EacOpmWJq6lE8RfcFBd8EeUliOi+uYKQfG8=
AllowedIPs = 0.0.0.0/0,::/0
Endpoint = 1.1.1.1:54321WG 的 VPN 隧道的发起者(initiator)/ 接收者(responder)是对等的,所以也没有一般 VPN 的客户端/服务器端或者 spoke/hub 的区别。因而配置也是对等的。
在这个配置中,我们进一步了解了 peer 这个概念:它是 WG 节点的对端,有静态配置的公钥,peer 背后的网络的白名单(AllowedIPs),以及 peer 的地址和端口(这个并不一定需要,并且随着网络的漫游,可能会自动更改)
我的理解:interface是当前wireguad端,peer是与其配对的另一方端
每一端的interface声明了当前端的地址,监听的端口,和私钥
peer配置对方的公钥和对方的地址
配置WireGuard(EdgeRoutor)
虽然WireGuard概念上不区分服务端客户端,但是总是有个端来提供服务,其他一堆客户端链接他。所以我们还是按照传统的概念描述吧
安装
- 从WireGuard Github下载官方安装包
curl -OL https://github.com/WireGuard/wireguard-vyatta-ubnt/releases/download/1.0.20210606-2/e50-v2-v1.0.20210606-v1.0.20210914.deb- 安装deb文件
dpkg -i e50-v2-v1.0.20210606-v1.0.20210914.deb通过执行
show interfaces可以确认是否安装成功配置
- 生成服务端的密钥对
mkdir server_keys
cd server_keys
wg genkey | tee privatekey | wg pubkey > publickey- 相似的,生成多个客户端的密钥对
mkdir my_phone
cd my_phone
wg genkey | tee privatekey | wg pubkey > publickey- 配置wg0 interface
# Enter configure mode
configure
# The location of the server's private key, previously generated
set interfaces wireguard wg0 private-key [your server private key data]
# Creates the Gateway IP for the VPN and the subnet
# This subnet can be any private IP range, through check for conflicts
set interfaces wireguard wg0 address 10.6.69.1/24
# Creates entries in the route table for the VPN subnet
set interfaces wireguard wg0 route-allowed-ips true
# Port for WG (that peers will use)
set interfaces wireguard wg0 listen-port 51820
commit ; save- 添加一个客户端peer
# Remote User Peer
set interfaces wireguard wg0 peer [your client public key here]
# set the client allocate ip
set interfaces wireguard wg0 peer [your client public key here] allowed-ips 10.6.69.2/32
commit ; save- 开启防火墙
# Creates an accept rule in the WAN_LOCAL list (WAN_LOCAL - wan to router)
# Accepts all incoming UDP connections, from port 51820
set firewall name WAN_LOCAL rule 20 action accept
set firewall name WAN_LOCAL rule 20 protocol udp
set firewall name WAN_LOCAL rule 20 destination port 51820
set firewall name WAN_LOCAL rule 20 description 'WireGuard'
commit ; save家宽还要开启端口转发
最后生成的配置类似如下
user@ER-X$ show configuration
}
}
wireguard wg0 {
address 10.6.69.1/24
description WG_VPN
listen-port 51820
peer XzXsLlbdFDGzK10jFxySz3Qbk8ekY7YsASPAb+QprAc= {
allowed-ips 10.6.69.2/32
description my_phone
}
private-key ****************
route-allowed-ips true
}
}
}
rule 20 {
action accept
description WG_IN
destination {
port 51820
}
log enable
protocol udp
source {
}
}客户端配置
新建wg.conf文件,写入如下内容
[Interface]
PrivateKey = <my_phone private key>
ListenPort = 51820
Address = 10.6.69.2/32 # The allowed IPs value set on the server
DNS = 192.168.99.1 # Optional, I set and my er-x routor ip
[Peer]
PublicKey = <pubkey of server>
AllowedIPs = 0.0.0.0/0 # Currently set as a wildcard to route all packets through VPN
Endpoint = server.com:51820 # PubIP or DNS record of server下载wire官方客户端,导入上述配置文件,大功告成。