配置Wireguard的几个进阶玩法

最新推荐文章于 2024-05-13 06:38:14 发布
最新推荐文章于 2024-05-13 06:38:14 发布
阅读量1.3k 收藏 21
点赞数 19
文章标签: 服务器 php 网络 linux 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gtj0617/article/details/136441912
版权
本文详细探讨了如何通过预定义脚本和配置文件自动设置Wireguard网络,包括使用PreUp/PostUp等命令在系统启动时自动创建和配置网卡,以及优化配置如自动保存接口配置和发送保活报文。同时介绍了如何避免手动操作,实现开机自动运行Wireguard建立隧道。
摘要由CSDN通过智能技术生成

99002d1ff4c4e62c8d5391893bfca90a.gif

正文共:1111 字 12 图,预估阅读时间:2 分钟

上篇文章中Wireguard配置文件详解,我们详细介绍了Wireguard的配置文件,并且做了一个简单的举例介绍。

通过上个案例,我们总结配置Wireguard网络的步骤如下:

1、配置Wireguard网卡。

ip link add dev wg0 type wireguard
ip address add dev wg0 10.1.1.2/24
ip link set up dev wg0

2、配置Wireguard公钥、私钥和配置文件。

3、应用配置文件,创建隧道连接。

我们发现,配置生成的Wireguard公钥、私钥和配置文件,一旦生成,就一直存在于磁盘之中;但是手工创建的Wireguard网卡重启之后就失效了,还需要再次配置,非常不方便。那该怎么解决呢?

比较简单的方法就是写入到启动脚本文件/etc/rc.d/rc.local中:

ip link add dev wg0 type wireguard
ip address add dev wg0 10.1.1.2/24
ip link set up dev wg0
wg setconf wg0 /root/wg0.conf

379d1ef5fb8cc48f93f48bba904ef950.png

配置完成之后,我们重启测试一下。

be6b37ed5c1d4e1a69ab5c370414057d.png

可以看到,Wireguard配置加载成功,隧道建立成功,业务互访正常。

再想一下,我们前面提到,可以通过配置PreUp、PostUp、PreDown、PostDown等命令来在特定时间执行特定脚本。是否可行呢?我们来测试一下。

我们的需求是创建并配置Wireguard网卡,那么命令应该是:

PreUp = ip link add dev wg0 type wireguard
PreUp = ip address add dev wg0 10.1.1.1/24
PreUp = ip link set up dev wg0

添加之后,完整的配置应该是:

[Interface]
PrivateKey = 2DOnuYIGbLMplHdd3TjwUjbZGQfPC6kxbp+XE+Z1FlM=
ListenPort = 10086
PreUp = ip link add dev wg0 type wireguard
PreUp = ip address add dev wg0 10.1.1.1/24
PreUp = ip link set up dev wg0
[Peer]
PublicKey = Qldp06YMySdq77rT+JboZAAicv0JZtuMxCl2Eb79yj8=
Endpoint = 192.168.1.142:10086
AllowedIPs = 10.1.1.0/24

402c5f544fa91dc974d9300682cd839a.png

使用命令加载配置文件,我们发现竟然执行了重复的命令,应该是有一些预定义的配置。

8d6fba2e5ed2e2531d4ace2756c71dd4.png

那就调整一下配置文件。

[Interface]
PrivateKey = 2DOnuYIGbLMplHdd3TjwUjbZGQfPC6kxbp+XE+Z1FlM=
Address = 10.1.1.1/24
ListenPort = 10086
[Peer]
PublicKey = Qldp06YMySdq77rT+JboZAAicv0JZtuMxCl2Eb79yj8=
Endpoint = 192.168.1.142:10086
AllowedIPs = 10.1.1.0/24

然后再次加载。

1aa6cba7928a839c2126ace5415b836b.png

可以发现,配置加载成功,隧道建立成功,业务互访正常。

而且,似乎也无需用到命令脚本,仅需要配置一条Address = 10.1.1.1/24,就可以下发4条命令来配置网卡:

ip link add wg0 type wireguard
wg setconf wg0 /dev/fd/63
ip -4 address add 10.1.1.1/24 dev wg0
ip link set mtu 1420 up dev wg0

我们还可以发现,使用配置文件自动生成的网卡名称为wg0,网卡默认的MTU值为1420字节。

为了增加配置的可靠性,可以在[Interface]配置中增加自动保存接口配置的选项SaveConfig = true;为了提高网络的可用性,可以在[Peer]配置中增加自动发送保活报文的选项PersistentKeepalive = 10。

调整后的配置文件如下:

[Interface]
PrivateKey = 2DOnuYIGbLMplHdd3TjwUjbZGQfPC6kxbp+XE+Z1FlM=
Address = 10.1.1.1/24
ListenPort = 10086
SaveConfig = true
[Peer]
PublicKey = Qldp06YMySdq77rT+JboZAAicv0JZtuMxCl2Eb79yj8=
Endpoint = 192.168.1.142:10086
AllowedIPs = 10.1.1.0/24
PersistentKeepalive = 10

当我们在调用配置文件时,需要指定完整的文件路径+名称

wg-quick up /root/wg0.conf

如果没有输入绝对路径,Wireguard就会认为用户只输入了接口名称,从而自动选择“/etc/wirecuard/”路径下“接口名称.conf”的配置文件:

76934bb3ed026578b1fc82fa8467630d.png

上次我们也提到,不能通过手工添加路由的方式将流量发送到Wireguard对端主机,而是要写入到配置文件中。比如我们现在要在配置文件中增加一段去往iperf142主机的22.1.1.0/24网段,需要调整配置文件。

abe1c4d7e8484f47ae0ce7bb7d108c79.png

我们试一下重新加载配置文件。

188bc92625394084480e4711970daf87.png

可以看到,因为提示配置文件存在而报错,这时就要使用strip命令来在不中断活动会话的情况下重新加载配置文件了。

wg syncconf wg0 <(wg-quick strip /root/wg0.conf)

14bb7bdeff4583dac2e2baa4da9da462.png

可以看到,配置直接就同步过来了,路由表项添加成功。如果不使用strip命令重新加载配置文件,我们可能就要DOWN掉网卡再重新加载配置了。

9aafb63d215db0e8f2751f14e9345bea.png

说了这么多,可能还是绕不开一个问题,那就是加载配置的这条命令是不是要手工来执行?如果想开机自动运行Wireguard来创建隧道,那我们还是要将加载配置的命令写入到启动脚本文件/etc/rc.d/rc.local中。

wg-quick up /root/wg0.conf

6478e356d3ac238899486b516b8bc9d4.png

重启主机测试一下。

e4f00b1e302bb8b16351ebef865bcd7c.png

配置加载成功。

怎么样,两种配置方式,你更喜欢哪一种呢?

ab8e5907f77bb316c19dccf54de8d604.gif

长按二维码
关注我们吧

44f2137d12ab39911d68eaa1895b7385.jpeg

68bebbd73b497dd8dfbb8963387ef8e7.png

Wireguard配置文件详解

Netmaker服务器端快速搭建WireGuard网络

Netmaker是个啥?网络制造商?

SD-WAN设备的串接透明部署怎么实现?

openVPN服务器配置的31个关键点

某度网盘人工审核不安全?家庭小NAS搞起来!

带内网络管理和带外网络管理有啥区别?

超线程和VT-d开启与否对性能的影响大不大?

openVPN + VPP = openVPP

Danileaf_Guo
关注
  • 19
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
使用wireguard+frp实现内网穿透远程桌面
xxxxssss12的博客
03-24 4444
wireguard+frp实现内网穿透远程桌面
debian/ubuntu/windows配置wiregurad内网服务器(包含掉线自启动)
机器人梦想家 Bing
11-09 4569
本文主要用来讲解如何配置wireguard服务器、客户端及掉线自启动的全套流程。WireGuard 是一种轻量级的虚拟专用网协议,旨在提供快速、安全、简单的网络连接。它是由 Jason Donenfeld 在 2015 年发明的,并于 2018 年正式发布。WireGuard 与其他常见的协议相比,有许多优点,如更小的代码库、更快的速度、更低的系统资源消耗、更简单的架构和更安全的加密方式。
WireGuard 组网教程:快速构建安全高效的私密网络并实现内网穿透_wire guard(1)
最新发布
m0_54903333的博客
05-13 1282
官方介绍如下:WireGuard ® 是一款极其简单但快速且现代的 VPN,采用最先的加密技术。它的目标是比 IPsec 更快、更简单、更精简、更有用,同时避免令人头疼的问题。它的性能远高于 OpenVPN。WireGuard 被设计为通用 VPN,可在嵌入式接口和超级计算机上运行,适合许多不同的情况。它最初针对 Linux 内核发布,现在已跨平台(Windows、macOS、BSD、iOS、Android)且可广泛部署。
WireGuard 组网教程:快速构建安全高效的私密网络并实现内网穿透
pursuit的博客
11-16 2万+
通过阅读本文,读者将了解 WireGuard 的基本概念和原理,学会安装和配置 WireGuard,以及如何使用 WireGuard 实现内网穿透。此外,还介绍了一些与 WireGuard 相关的工具,以帮助读者更好地管理和使用 WireGuard
组网神器WireGuard安装与配置教程(超详细)
热门推荐
阿甘兄
09-28 6万+
超详细讲解WireGuard的安装、配置以及使用
Wireguard配置文件详解
衡水铁头哥的博客
03-02 3911
正文共:1888 字 10 图,预估阅读时间:2 分钟我们前面在介绍Wireguard时(使用8条命令即可完成的VPN配置!CentOS快速配置WireGuard全互联组网),Linux系统下是通过命令配置的,格式如下:wg set wg0 peer ZTwqy6eA2exFjIp4Gqll57FFu99ND97wRCkPv0ZNGVU= allowed-ips 10.1.1.2/32 endpo...
WireGuard 的使用与配置详解
wq1205750492的博客
05-17 3万+
WireGuard 的使用与配置详解 一、快速开始 1. 安装 WireGuard 安装 在中继服务器上开启 IP 地址转发: echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf echo "net.ipv4.conf.all.proxy_arp = 1" >> /etc/sysctl.conf sysctl -p /etc/sysctl.conf 添加 iptables 规则,允许本机的 NAT 转换: iptables
wireguard windows\linux版本client\server的配置
babytiger的专栏
09-29 1万+
spublickey 是服务端的公钥 sprivatekey是服务端的私钥, cpublickey 是客户端的公钥 cprivatekey是客户端的私钥。注意替换PublicKey为计算机A的公钥,Endpoint为计算机A的IP地址,PersistentKeepalive为保持连接的时间,单位为秒。-- NAT 子网前缀长度定义的 NAT 本地子网大小(子网掩码)。另外在腾讯云上使用上面的方配制时有问题,因为腾讯云的服务器上的eth0对应的IP没有对应真实IP存在问题。将使用此参数删除 NAT 网络。
我实践:wireguard多场景安装配置指导.md
超级无敌棒棒糖
10-17 5826
我实践:wireguard多场景安装配置指导.md 文章目录我实践:wireguard多场景安装配置指导.md介绍安装配置serverclient使用场景场景1:PC-to-LAN场景2:LAN-to-LAN手机端防火墙策略日常使用客户端使用wg-quick的反应配置文件解析另:ip rule,ip route,iptables 三者之间的关系wg-quickwg 介绍 wireguard与openVPN、strongswanVPN、ipsecVPN的优劣请自行百度,总的一句wireguard很好用,配置
wiregarden:一个代理守护程,用于通过 gRPC 配置 WireGuard 对等点
07-24
一个代理守护程,用于通过配置对等。 该项目目前正在开发中,只是一个 PoC 段。 有可能在没有通知的情况下更改一切。 用 gRPC 服务器 $ wiregarden-server --port $PORT 注意:如果您遇到类似operation not...
raspberrypiwireguard:在Raspberry Pi(及其他)上安装和配置WireGuard
02-05
raspberrypiwireguard:在Raspberry Pi(及其他)上安装和配置WireGuard
wg-manage:一个很棒的命令行工具来管理Wireguard配置
03-25
一种用于集中管理配置文件的命令行工具-所有配置选项都存储在一个YAML文件中,然后用于为每个设备生成配置文件。 它支持在wg配置文件中找到的所有选项,包括wg-quick扩展名(例如,Address,Post / Pre-Up / Down等...
wg-ui:WireGuard Web UI,用于自助式客户端配置,带有可选的auth
02-04
零外部依赖关系-使用Wireguard内核模块仅需一个二制文件 二制和容器部署 跑步 运行wg-ui的最简单方是使用容器映像。 要测试它,请运行: docker run --rm -it --privileged --entrypoint "/wireguard-ui" -v ...
wg-meshconf:WireGuard全网格配置生成器
04-29
wg-meshconf是一个工具,可以帮助您为WireGuard网状网络生成对等配置文件。 您可以使用此工具轻松快速地创建WireGuard网状网络。 先决条件 的Python 3 prettytable(可选) 强烈建议安装prettytable以便您可以以...
Wireguard各主流平台的配置教程
weixin_45611422的博客
09-11 9636
WireGuard服务器的建立,可以使用NAS服务器端的Docker容器建立(威联通、群晖、Unraid均可以) ,或者使用云服务器建立,这里推荐使用腾讯云推出的lighthouse轻量级服务器,新用户65一年还是不错的,这里我选择的操作i系统是“Ubuntu20.04-Docker20”,具体操作可以参考“spoto”大佬的视频,这里就不再赘述。然后在官网下载安卓或者ios安装文件, 安装好后,打开WireGuard手机客户端,点击“+”号,选择“扫面二维码”即可。五、Ubuntu客户端的配置
configureWebpack两种格式配置alias别名(亲测有效)
weixin_46115860的博客
10-27 1万+
一、configureWebpack对象形式 configureWebpack:{ resolve: { // 别名配置 alias: { 'assets': '@/assets', 'common': '@/common', 'components': '@/components', 'network': '@/network',
wireguard命令行配置
weixin_46091531的博客
10-12 1267
wireguard 配置
树莓派-搭建wireguard服务
专注嵌入式系统开发
07-30 1433
树莓派网络工具Wireguard介绍及虚拟专用网络搭建。
WireGuard 中文教程:使用 Netmaker 快速组建 WireGuard 全互联 (Full Mesh) 网络
easylife206的专栏
01-14 1万+
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你转 Linux !每日言论创业者要做两件事:第一件是弄清楚要做什么,第二件就是去做。但是,大多数创业者不认为第一件事很重要,...
Linux下用虚拟网络设备行广域网配置
05-26
在Linux系统中,可以使用虚拟网络设备来模拟广域网的配置。以下是使用虚拟网络设备行广域网配置的步骤: 1. 创建虚拟网络设备 可以使用命令ip link add来创建虚拟网络设备。例如,创建一个名为vpn0的虚拟网络设备: ``` sudo ip link add vpn0 type wireguard ``` 2. 配置虚拟网络设备 可以使用命令ip addr add来为虚拟网络设备配置IP地址。例如,为vpn0设置IP地址为192.168.1.1: ``` sudo ip addr add 192.168.1.1/24 dev vpn0 ``` 3. 启动虚拟网络设备 可以使用命令ip link set来启动虚拟网络设备。例如,启动vpn0: ``` sudo ip link set vpn0 up ``` 4. 配置路由 可以使用命令ip route add来配置路由。例如,将所有目的地IP地址为192.168.2.0/24的数据包发送到vpn0: ``` sudo ip route add 192.168.2.0/24 dev vpn0 ``` 5. 配置防火墙 如果需要使用防火墙来保护虚拟网络设备,可以使用iptables命令来配置。例如,允许vpn0接收来自192.168.2.0/24网络的数据包: ``` sudo iptables -A INPUT -i vpn0 -s 192.168.2.0/24 -j ACCEPT ``` 以上就是使用虚拟网络设备行广域网配置的步骤。需要注意的是,具体的配置还需要根据实际情况行调整。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Danileaf_Guo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值