如何在 Debian 10 上设置 WireGuard VPN

WireGuard 是一种通用 VPN（虚拟专用网络），它利用了最先进的加密技术。与 IPsec 和OpenVPN等其他流行的 VPN 解决方案相比 ，WireGuard 通常更快、更易于配置并且占用空间更小。它是跨平台的，几乎可以在任何地方运行，包括 Linux、Windows、Android 和 macOS。

Wireguard 是一种点对点 VPN；它不使用客户端-服务器模型。根据配置，对等点可以充当传统的服务器或客户端。它通过在充当隧道的每个对等设备上创建网络接口来工作。对等点通过交换和验证公钥来相互验证，模仿 SSH 模型。公钥与隧道中允许的 IP 地址列表进行映射。VPN 流量封装在 UDP 中。

本文介绍了如何在 Debian 10 上安装和配置充当 VPN 服务器的 WireGuard。我们还将向您展示如何将 WireGuard 配置为 Linux、Windows 和 macOS 上的客户端。客户端的流量将通过 Debian 10 服务器进行路由。

此设置可用于防止中间人攻击、匿名上网、绕过受地理限制的内容，或允许在家工作的同事安全地连接到公司网络。

先决条件

要遵循本指南，您需要一台安装了 Debian 10 的机器。您还需要 root 或 [sudo 访问权限](https://linuxize.com/post/how-to-create-a-sudo-user-on-debian/ 来安装软件包并对系统进行更改。

设置 WireGuard 服务器

我们将首先在 Debian 机器上安装 WireGuard 软件包并将其设置为充当服务器。我们还将配置系统以通过它路由客户端的流量。

在 Debian 10 上安装 WireGuard

WireGuard 可从 Debian backports 存储库获得。要将存储库添加到您的系统，请运行：

echo 'deb http://ftp.debian.org/debian buster-backports main' | sudo tee /etc/apt/sources.list.d/buster-backports.list

启用存储库后，更新 apt 缓存并安装 WireGuard 模块和工具：

sudo apt updatesudo apt install wireguard

WireGuard 作为内核模块运行。

配置 WireGuard

wg您可以使用和wg-quick命令行工具配置和管理 WireGuard 接口。WireGuard VPN 网络中的每个设备都需要有一个私钥和公钥。运行以下命令生成密钥对：

wg genkey | sudo tee /etc/wireguard/privatekey | wg pubkey | sudo tee /etc/wireguard/publickey

文件在/etc/wireguard目录中生成。使用cat 或less 命令查看文件的内容。私钥不应与任何人共享，并且应始终保持安全。

Wireguard 还支持预共享密钥，它增加了额外的对称密钥加密层。此密钥是可选的，并且对于每个对等点对必须是唯一的。

下一步是配置将路由 VPN 流量的隧道设备。

ip 可以使用and命令从命令行设置设备，也可以wg通过手动创建配置文件来设置设备。我们将使用文本编辑器创建配置。

打开你的编辑器并创建一个新文件，命名wg0.conf为以下内​​容：

sudo nano /etc/wireguard/wg0.conf

/etc/wireguard/wg0.conf

[Interface]
Address = 10.0.0.1/24
SaveConfig = true
ListenPort = 51820
PrivateKey = SERVER_PRIVATE_KEY
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o ens3 -j MASQUERADE

您可以为界面命名任何您想要的名称。但是，建议使用类似wg0or的东西wgvpn0。界面部分的设置含义如下：

• 地址 - 以逗号分隔的wg0接口的 v4 或 v6 IP 地址列表。您可以从为专用网络（10.0.0.0/8、172.16.0.0/12 或 192.168.0.0/16）保留的范围内获取 IP 地址。
• ListenPort - 监听端口。
• wg genkeyPrivateKey - 由命令生成的私钥。（要查看文件类型的内容sudo cat /etc/wireguard/privatekey：）
• SaveConfig - 设置为 true 时，接口的当前状态会在关机时保存到配置文件中。
• PostUp - 在启动界面之前执行的命令或脚本。在这个例子中，我们使用 iptables 来启用伪装。这允许流量离开服务器，让 VPN 客户端访问 Internet。确保替换ens3after-A POSTROUTING以匹配您的公共网络接口的名称。您可以通过以下方式轻松找到接口：

  ip -o -4 route show to default | awk '{print $5}'

• PostDown - 在关闭接口之前执行的命令或脚本。一旦接口关闭，iptables 规则将被删除。

和文件wg0.conf不privatekey应该对普通用户可读。用于chmod 将文件权限设置为600：

sudo chmod 600 /etc/wireguard/{privatekey,wg0.conf}

完成后，wg0使用配置文件中指定的属性启动界面：

sudo wg-quick up wg0

输出将如下所示：

[#] ip link add wg0 type wireguard
[#] wg setconf wg0 /dev/fd/63
[#] ip -4 address add 10.0.0.1/24 dev wg0
[#] ip link set mtu 1420 up dev wg0
[#] iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE

要检查接口状态和配置，请运行：

sudo wg show wg0

interface: wg0
public key: +Vpyku+gjVJuXGR/OXXt6cmBKPdc06Qnm3hpRhMBtxs=
private key: (hidden)
listening port: 51820

您还可以使用以下方法验证接口状态ip a show wg0：

ip a show wg0

4: wg0: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000
link/none 
inet 10.0.0.1/24 scope global wg0
valid_lft forever preferred_lft forever

WireGuard 可以使用 Systemd 进行管理。要在引导时引入 WireGuard 界面，请运行以下命令：

sudo systemctl enable wg-quick@wg0

服务器网络和防火墙配置

必须启用 IP 转发才能使 NAT 正常工作。打开/etc/sysctl.conf文件并添加或取消注释以下行：

sudo nano /etc/sysctl.conf

/etc/sysctl.conf

net.ipv4.ip_forward=1

保存文件并应用更改：

sudo sysctl -p

net.ipv4.ip_forward = 1

如果您使用 UFW 管理防火墙，则 需要在端口上打开 UDP 流量51820：

sudo ufw allow 51820/udp

而已。将充当服务器的 Debian 对等体已设置完毕。

Linux 和 macOS 客户端设置

所有受支持平台的安装说明可在https://wireguard.com/install/获得 。在 Linux 系统上，您可以使用分发包管理器安装包，在 macOS 上使用brew.

安装后，请按照以下步骤配置客户端设备。设置 Linux 和 macOS 客户端的过程与设置服务器的过程几乎相同。首先，生成公钥和私钥：

wg genkey | sudo tee /etc/wireguard/privatekey | wg pubkey | sudo tee /etc/wireguard/publickey

创建文件wg0.conf并添加以下内容：

sudo nano /etc/wireguard/wg0.conf

/etc/wireguard/wg0.conf

[Interface]
PrivateKey = CLIENT_PRIVATE_KEY
Address = 10.0.0.2/24
[Peer]
PublicKey = SERVER_PUBLIC_KEY
Endpoint = SERVER_IP_ADDRESS:51820
AllowedIPs = 0.0.0.0/0

界面部分中的设置与设置服务器时的含义相同：

• 地址 - 以逗号分隔的wg0接口的 v4 或 v6 IP 地址列表。
• PrivateKey - 要查看客户端计算机上文件的内容，请运行：sudo cat /etc/wireguard/privatekey

对等部分包含以下字段：

• PublicKey - 您要连接的对等方的公钥。（服务器/etc/wireguard/publickey文件的内容）。
• 端点 - 您要连接的对等方的 IP 或主机名，后跟冒号，然后是远程对等方侦听的端口号。
• AllowedIPs - 以逗号分隔的 v4 或 v6 IP 地址列表，允许对等方的传入流量以及此对等方的传出流量指向。我们使用 0.0.0.0/0 是因为我们正在路由流量并希望服务器对等方发送具有任何源 IP 的数据包。

如果您需要配置其他客户端，只需使用不同的私有 IP 地址重复相同的步骤。

Windows 客户端设置

从WireGuard 网站下载并安装 Windows msi 包 。安装后，打开 WireGuard 应用程序并单击“添加隧道”->“添加空隧道...”，如下图所示：

公钥对会自动创建并显示在屏幕上。

输入隧道的名称并编辑配置，如下所示：

[Interface]
PrivateKey = CLIENT_PRIVATE_KEY
Address = 10.0.0.2/24
[Peer]
PublicKey = SERVER_PUBLIC_KEY
Endpoint = SERVER_IP_ADDRESS:51820
AllowedIPs = 0.0.0.0/0

在接口部分，添加一个新行来定义客户端隧道地址。在 peer 部分，添加以下字段：

• PublicKey - Debian 服务器的公钥（/etc/wireguard/publickey文件）。
• Endpoint - Debian 服务器的 IP 地址，后跟冒号和 WireGuard 端口 (51820)。
• AllowedIPs - 0.0.0.0/0

完成后，单击“保存”按钮。

将客户端对等体添加到服务器

最后一步是将客户端的公钥和 IP 地址添加到服务器。为此，请在 Debian 服务器上运行以下命令：

sudo wg set wg0 peer CLIENT_PUBLIC_KEY allowed-ips 10.0.0.2

确保CLIENT_PUBLIC_KEY使用您在客户端计算机上生成的公钥 ( sudo cat /etc/wireguard/publickey) 进行更改，如果不同，请调整客户端 IP 地址。

Windows 用户可以从 WireGuard 应用程序中复制公钥。完成后，返回客户端计算机并打开隧道接口。

Linux 和 macOS 客户端

运行以下命令调出界面：

sudo wg-quick up wg0

现在您应该连接到 Debian 服务器，并且来自您的客户端计算机的流量应该通过它进行路由。您可以通过以下方式检查连接：

sudo wg

interface: wg0
public key: gFeK6A16ncnT1FG6fJhOCMPMeY4hZa97cZCNWis7cSo=
private key: (hidden)
listening port: 53527
fwmark: 0xca6c
peer: r3imyh3MCYggaZACmkx+CxlD6uAmICI8pe/PGq8+qCg=
endpoint: XXX.XXX.XXX.XXX:51820
allowed ips: 0.0.0.0/0
latest handshake: 53 seconds ago
transfer: 3.23 KiB received, 3.50 KiB sent

您也可以打开浏览器，输入“我的 ip 是什么”，您应该会看到您的 Debian 服务器 IP 地址。要停止隧道，请关闭wg0接口：

sudo wg-quick down wg0

Windows 客户端

如果您在 Windows 上安装了 WireGuard，请单击“激活”按钮。一旦对等体连接，隧道状态将变为活动：

结论

我们已经向您展示了如何在 Debian 10 上安装 WireGuard 并将其配置为 VPN 服务器。此设置允许您通过将流量数据保密来匿名上网。