自建虚拟机玩起wireguard

已于 2022-05-11 08:43:02 修改
阅读量1.4k 收藏 3
点赞数 1
文章标签: linux 服务器
于 2022-05-10 16:05:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/laobeng/article/details/124690187
版权

目录

前言

关于wireguard多么受欢迎,这里就不多说了。
动手来实际操练一下,就更清楚了。

一、设备环境:

1、M1版本MAC PC,
(1)自带无线网卡能上互联网。
(2)外配置USB网卡。
(3)安装有ubuntu 20.04虚拟机A,A作为wireguard服务端。A的配置见上一篇《Ubuntu20.04作为路由器使用》
(4)安装有另一台虚拟机B,作为一个Peer,本主直接采用的kali。
Linux 5.15.0-kali3-arm64
2、windows2012 孤立服务器(延展为整个内部网络)
(1)安装有网卡,通过《Ubuntu20.04作为路由器使用》已经打通网络。
安装虚拟机C,作为一个Peer,本主直接采用的kali。Linux 5.10.0-kali9-amd64

二、需求:

Peer B和Peer C通过wireguard打通。
在这里插入图片描述
当前情况是Peer C和Peer B都能访问 A。
如上图中的红色地址,是为wireguard分配的虚拟地址。(这个地方非常重要)
模拟完之后的网络逻辑架构如下:
(1)A相当于具有互联网公网IP192.168.1.154的一台服务器,具有内网接口,并且与C的宿主机处于一个内网。
(2)B相当于具有互联网公网IP192.168.1.157的一台pc机。
(3)C相当于内网里面的又一层内网,nat到内网。

三、安装wireguard

1.A Ubuntu服务器

(1)安装
sudo apt install wireguard
在这里插入图片描述
(2)生成密钥对
wg genkey | sudo tee /etc/wireguard/privatekey | wg pubkey | sudo tee /etc/wireguard/publickey
两个文件将在/etc/wireguard目录中生成。
如果查看不了,就开启root账户:
sudo passwd root
切换到root用户吧。
本机产生的privatekey:iCtMYTjlLLc1NJ8WpdRyByjaREozilDbX9xBZIZKL2A=
本机产生的publickey: qA8BLx/OGOEuwOczwZzCWDrDdGm7QTydikYOLnxGhns=
(3)建立虚拟网卡,用于加密隧道
sudo vim /etc/wireguard/wg0.conf
[Interface]
Address = 10.253.0.1/32
SaveConfig = true
ListenPort = 51820
PrivateKey = SERVER_PRIVATE_KEY(更换)
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o ens160 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o ens160 -j MASQUERADE

ens160,是本服务器的“公网接口”

执行:sudo wg-quick up wg0
在这里插入图片描述
该wg0.conf和privatekey文件权限应受保护。chmod将权限设置为600:
sudo chmod 600 /etc/wireguard/{privatekey,wg0.conf}
此时ifconfig一下,看到了wg0
在这里插入图片描述
要检查接口状态和配置:
sudo wg show wg0
在这里插入图片描述
还可以运行ip a show wg0以验证接口状态:
在这里插入图片描述
要在启动时启用WireGuard接口,请运行以下命令:
sudo systemctl enable wg-quick@wg0在这里插入图片描述
(4)服务器网络和防火墙配置
必须启用IP转发,NAT才能正常工作。打开/etc/sysctl.conf文件并添加或取消注释以下行:
sudo vim /etc/sysctl.conf
/etc/sysctl.conf
net.ipv4.ip_forward=1
保存文件并应用更改:
sudo sysctl -p
net.ipv4.ip_forward = 1

使用UFW管理防火墙,需要在以下端口打开UDP通信51820:
sudo ufw allow 51820/udp

2.B Peer

同上的命令,生产private key 和public key
wg genkey | sudo tee /etc/wireguard/privatekey | wg pubkey | sudo tee /etc/wireguard/publickey
Private key : SGZgzjAZ860YkA3mQUxF0hVu27iZK3tcz8yuo592CFA=
Public key:0MazdSsLHDbavo7RVgpFmo1UKAt+0X4RdE1ZNCR2nws=

同样vim /etc/wireguard/wg0.conf

[Interface]
PrivateKey = CLIENT_PRIVATE_KEY
Address = 10.253.0.2/32

[Peer]
PublicKey = SERVER_PUBLIC_KEY
Endpoint = 192.168.1.154:51820
AllowedIPs = 0.0.0.0/0

执行:sudo wg-quick up wg0 启动。

3.C Peer

执行如上B的操作。
Private Key:8EIEj4vfmU3+MojyN0/JIOGXbJoJBLXRdYmylfQdZ28=
Public Key: yFxn5ve/2oYGRKZCpFZ4rBsW7fbAHB34O2hPyjjorkg=
设置wireguard的IP地址为10.253.0.3
4.将Peer方添加到服务器
将客户端的公钥和IP地址添加到服务器。
为此,在Ubuntu服务器上运行以下命令:
sudo wg set wg0 peer CLIENT_PUBLIC_KEY allowed-ips 10.X.X.X
本次实验先把B的信息加入到A中:
sudo wg set wg0 peer 0MazdSsLHDbavo7RVgpFmo1UKAt+0X4RdE1ZNCR2nws= allowed-ips 10.253.0.2
把C的信息加入到A中
sudo wg set wg0 peer yFxn5ve/2oYGRKZCpFZ4rBsW7fbAHB34O2hPyjjorkg= allowed-ips 10.253.0.3

当然也可以,把服务器的wireguard down掉之后,在wg0.conf中写入,其实上面的命令是会自己写入的。
[Interface]
Address = 10.253.0.1/32
SaveConfig = true
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o ens160 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o ens160 -j MASQUERADE
ListenPort = 51820
PrivateKey = iCtMYTjlLLc1NJ8WpdRyByjaREozilDbX9xBZIZKL2A=

[Peer]
PublicKey = 0MazdSsLHDbavo7RVgpFmo1UKAt+0X4RdE1ZNCR2nws=
AllowedIPs = 10.253.0.2/32

[Peer]
PublicKey = yFxn5ve/2oYGRKZCpFZ4rBsW7fbAHB34O2hPyjjorkg=
AllowedIPs = 10.253.0.3/32

四、测试

1. Peer B与服务器A

Peer B相当于互联网的一个“公网IP”。
(1)先把Peer B的wireguard down掉
sudo wg-quick down wg0
(2)在Peer B上ping一下网络情况

Ping 192.168.5.5(Peer C宿主机内网地址) 和 192.168.5.100(服务器A的内网地址)是不通的。说明Peer B还没有到达内网。
(3)Peer B启动wireguard
可以ping通192.168.5.5 和 192.168.5.100。也可以说已经打通到内网了。
当然也可以ping通 服务器上wireguard的虚拟地址10.253.0.1(废话)。
但是还是ping不到Peer C。

2.服务器C与 PeerB和服务器

Peer C相当于在内网里,又叠加了一层NAT。
先把Peer C的wireguard down掉。但是因为他本来就在内网,所以C向外ping都可以通,当然也能ping通Peer B。
Peer C启动wireguard
Peer B和 Peer C通过虚拟地址(10.253.0.X)打通。

laobeng
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
为Ubuntu22.04系统配置WireGuard客户端
weixin_45611422的博客
09-11 2297
的配置,我个人认为是最难的,因为我对Linux只是处于了解状态,而且ubuntu一般作为服务器端使用,对于客户端的资料基本没有,但是笔者最近安装了Ubuntu的最新操作系统Ubuntu22.04桌面版,感觉很惊艳啊,在micros Egde浏览器的加持下,Ubuntu系统也基本上够用了,所以很想为Ubuntu系统安装一个WireGuard客户端。虽然导入了配置文件,但是直接运行的时候出错了,提示网络错误,后来查阅各方资料发现对于Linux系统,必须要设定本网络参数,具体请看下文。
debian/ubuntu/windows配置wiregurad内网服务器(包含掉线自启动)
机器人梦想家 Bing
11-09 3916
本文主要用来讲解如何配置wireguard服务器、客户端及掉线自启动的全套流程。WireGuard 是一种轻量级的虚拟专用网协议,旨在提供快速、安全、简单的网络连接。它是由 Jason Donenfeld 在 2015 年发明的,并于 2018 年正式发布。WireGuard 与其他常见的协议相比,有许多优点,如更小的代码库、更快的速度、更低的系统资源消耗、更简单的架构和更安全的加密方式。
wireguard windows\linux版本client\server的配置
热门推荐
babytiger的专栏
09-29 1万+
spublickey 是服务端的公钥 sprivatekey是服务端的私钥, cpublickey 是客户端的公钥 cprivatekey是客户端的私钥。注意替换PublicKey为计算A的公钥,Endpoint为计算A的IP地址,PersistentKeepalive为保持连接的时间,单位为秒。-- NAT 子网前缀长度定义的 NAT 本地子网大小(子网掩码)。另外在腾讯云上使用上面的方法配制时有问题,因为腾讯云的服务器上的eth0对应的IP没有对应真实IP存在问题。将使用此参数删除 NAT 网络。
WireGuard 组网教程:快速构安全高效的私密网络并实现内网穿透_wire guard(1)
最新发布
2401_84297193的博客
04-26 673
WireGuard还可用于Docker容器之间的通信。在Docker环境中,容器之间的网络通信是一个重要的问题。WireGuard通过提供一种安全的通信方式,能够在不同容器之间立一个加密的网络连接,从而保障数据的安全传输。这对于需要在不同容器间安全共享数据的应用尤为重要。
Wireguard笔记(二) 命令行操作
IOsetting的专栏
09-26 2179
目录 Wireguard笔记(一) 节点安装配置和参数说明Wireguard笔记(二) 命令行操作Wireguard笔记(三) lan-to-lan子网穿透和多网段并存 命令行操作 创wg0网卡, 并设置wireguard参数 ip link add dev wg0 type wireguard ip address add dev wg0 10.8.1.1/24 wg set wg0 lis...
树莓派-搭wireguard服务
专注嵌入式系统开发
07-30 1237
树莓派网络工具Wireguard介绍及虚拟专用网络搭
虚拟自动启动
10-29
windows系统上,设置VMware开自动启动,虚拟也启动。
自己设计虚拟
02-22
循序渐进,使用C#设计计虚拟,使用简单的中间语言来实现一个简单的虚拟,然后渐渐扩展它的功能。
自动创虚拟脚本
08-11
这是一个自动创虚拟的脚本,需要准备一个镜像文件和一个.xml文件就可以快速创虚拟
硬件修改大师,虚拟游戏必备
03-30
硬件修改大师,虚拟游戏必备,通过对虚拟硬件的修改,可以有效减少器码的出现,当前大家一定要绿色游戏,杜绝作弊现象。
pi-hole 4.0 中文包
09-26
解压后把cn文件上传在以下路径 /var/www/html 温馨提示:后面打开皮冻的话。后缀则为 #cn 则为中文显示。 #admin 则为原版英文显示 http://你的(pi-hole)ip/cn
自己搭远程办公网络及强制离线安装wireguard记录
一个不安分的程序员
03-12 3752
有时候人不在公司,临时有事需要远程公司电脑处理事情。我们知道公司电脑是在内网中的的,在家里是不能直接访问到的。我们一般使用QQ等支持远程协助的工具,但这样需要有人帮你发起请求,也有免费的软件支持无人值守远程操作,但一般会限速,高峰期经常卡顿。公司正好有台阿里云服务器流量空闲的比较多正好可以用来装个wireguard服务,然后在把公司内网电脑和家里的电脑做为客户端连接上就可以互通 了。 公司阿里云服务器使用的centos 7系统.kernel版本: # uname -r 3.10.0-1160.15.2
WireGuard大内网
on the way . . .
11-08 3796
Netmaker这里就不介绍了,Tailscale呢,服务端不开源,对免费用户有诸多限制,而Headscale是一款开源实现,就是我们的主角了,这里详细记录搭过程。:比如说我们把Linux的22端口或window的3389端口转发到公网服务器的一个端口,我们就可以实现远程登录Linux系统或window系统,但如果用到的端口较多,那一个一个配置也挺麻烦的,这种方式这里就不再赘述了。:这种方式比较古老了,性能上可能稍逊色点,但我的使用体验还行,比向日葵稳定,具体实现方式请参考【具体操作步骤可参考文章:【
WireGuard/虚拟局域网/联/低成本】使用WireGuard虚拟局域网联的低成本可行方案
monkey_magician的博客
03-25 717
本方案适用于本地服务器,公网服务器只做流量转发。配置完成后可将异地的朋友组在同一个局域网下,效果和面对面联是一样的。价格方面,截至到2024-3-25,腾讯云按量计费,选最便宜的cpu和20G硬盘,16Mbps公网带宽情况下,使用费用一小时0.07元,流量费用0.8元/GB。cpu费用可以在不时将服务器关进一步节约成本,需要注意,硬盘费用是需要24h收取的,即使在关情况下,其费用包含0.07元/h中的0.2元/h,也就是一个月完全关的固定的14元左右的费用。
银河麒麟V10 wireguard 编译
q1009020096的博客
06-21 1428
wireguard内部为了兼容不同的操作系统内核,使用了条件编译,似乎 麒麟的这个内核版本不在它的条件编译中,这里需要手动修复编译命令。我这里使用的操作系统是 银河麒麟V10,CPU为飞腾 ARM64。通过编译后我们使用 dkms 来安装模块,首先安装 dkms工具。成功后将会创一个link,如下 请注意版本号 后续将会使用到。注意:5.6 以上内核不需要编译安装,已经集成在内核中。若编译无误,接下来就可以安装内核模块了,同样需要指定版本。接下来编译源码,名称为。安装后,查看是否安装成功。
Wireguard各主流平台的配置教程
weixin_45611422的博客
09-11 9367
WireGuard服务器的立,可以使用NAS服务器端的Docker容器立(威联通、群晖、Unraid均可以) ,或者使用云服务器立,这里推荐使用腾讯云推出的lighthouse轻量级服务器,新用户65一年还是不错的,这里我选择的操作i系统是“Ubuntu20.04-Docker20”,具体操作可以参考“spoto”大佬的视频,这里就不再赘述。然后在官网下载安卓或者ios安装文件, 安装好后,打开WireGuard客户端,点击“+”号,选择“扫面二维码”即可。五、Ubuntu客户端的配置。
使用wireguard+frp实现内网穿透远程桌面
xxxxssss12的博客
03-24 4045
wireguard+frp实现内网穿透远程桌面
(一)手动编译安装wireguard
laobeng的专栏
05-13 3737
目录前言一、下载安装包测试二、 安装包查看三、源码编译安装四、总结 前言 从原始小白开始摸索。 wireguard源码,也可以在linux kernel (5.6以上)源码目录里找到/drivers/net/wireguard 一、下载安装包测试 Ubuntu20.04只下载wireguard包,执行命令: apt download wireguard 下载下来的文件是:wireguard_1.0.20200513-1~20.04.2_all.deb。 手动安装: 可以看到要安装wireguard,需要
kvm 如何模板批量虚拟
04-24
您好!关于您提出的问题,可以考虑使用基于KVM的虚拟化平台,如Proxmox VE来实现批量虚拟的操作。Proxmox VE提供了方便的Web界面管理工具,可以通过模板的方式来快速创多个虚拟。首先创一个虚拟,并且在该虚拟上进行系统配置和软件安装等操作,然后对该虚拟进行模板化,最后通过模板来批量创多个虚拟。这样可以提高虚拟的创效率,也方便虚拟的管理。希望能够对您有所帮助!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值