Налаштування WireGuard

Перезапуск через systemd, якщо сервіс увімкнений:

index.php?title=Категорія:Інструкції

sudo wg-quick down wg0

У цій інструкції описано встановлення забезпечується через '''WireGuard'''. * Визначаємо підмережі. * виступає як мобільні співробітники або підрядники з різних країн чи мереж. # '''Надійність у польових умовах.''' WireGuard добре функціонує при перемиканні мереж, використанні мобільного інтернету та готельних Wi-Fi. * Важливі швидкі термінальні сесії, робота з 1С, BAS, ERP, файловий обмін або резервні копії через Інтернет. * '''Безпека рівня “сьогодні”''' — сучасна криптографія: Curve25519, ChaCha20-Poly1305, BLAKE2s. * За потреби готуємо QR-коди для мобільних пристроїв. Команда

Публічний ключ потрібно надіслати адміністратору для додавання користувача до VPN-сервера.=== Встановлення клієнта ===
<pre>

Якщо тунель встановлено як сервіс, його можна перезапустити командою:

<gallery mode="packed" heights="180">
=== Ваш бік ===
Вибір режиму залежить від вимог безпеки, комплаєнсу та конкретних задач користувача. Приклад конфігурації split-tunnel до мереж датацентру:

* '''Split-tunnel''' — доступ лише до внутрішніх ресурсів. сучасне VPN-рішення; так само реалізовано конфігурація, запуск, перевірку та перезапуск WireGuard на Linux і Windows виступає ключовою рисою безпечного підключення користувачів і сервісів до внутрішніх мереж. # Обрати '''Add empty tunnel…'''. * '''Гнучкість доступу''' — технічна підтримка full-tunnel і split-tunnel. # Натиснути іконку '''Copy public key'''. Якщо VPN функціонує коректно, має бути відповідь з обміном пакетами.

• Піднімаємо WireGuard-шлюз.index.php?title=Категорія:WireGuard

Файл конфігурації створюється за шляхом: sudo wg-quick up wg0

ip addr show wg0

index.php?title=Категорія:VPN

Для редагування тунелю потрібно натиснути кнопку Edit і заповнити конфігурацію. * Якщо застосовується для MikroTik — додати peer і маршрут до офісу або сервера. * Готуємо конфіги для ПК і телефонів.

Після встановлення потрібно згенерувати приватний і публічний ключі клієнта. * Простота — один UDP-порт, короткий конфіг, можливість використання QR-коду для телефону.== Windows ==

index.php?title=Категорія:Адміністрування Linux [Peer]

wg genkey | tee ~/wg_private | wg pubkey > ~/wg_public

! PublicKey = cx6KJsqfQSBRaG0+Rmy8+0JjbtUf/i/Ri3U+/el2aCY=

Після збереження конфігурації потрібно натиснути Activate. У режимі full-tunnel у параметрі AllowedIPs потрібно вказати:

"C:\Program Files\WireGuard\wireguard.exe" /restarttunnelservice "<ім'я_тунелю>"

• Потрібно вимкнути публічний RDP, VNC або SSH і залишити безпечний доступ усередину мережі. * Кросплатформеність — Windows, macOS, Linux, iOS, Android, MikroTik v7+.

PublicKey = cx6KJsqfQSBRaG0+Rmy8+0JjbtUf/i/Ri3U+/el2aCY=
<pre>
== Чому обрали WireGuard ==

WireGuard_01.png|Ілюстрація WireGuard|посилання=Файл:WireGuard_01.png
== Див. так само ==
</gallery>

1. або 0.0.0.0/0 для full-tunnel

sudo systemctl restart wg-quick@wg0 /etc/wireguard/wg0.conf

У застосунку WireGuard:

Endpoint = 185.46.151.62:51820

1. Натиснути Deactivate.=== Ілюстрації з документа ===

sudo wg-quick down wg0 && sudo wg-quick up wg0

Щоб увімкнути автозапуск при старті системи:

MTU = 1420

[Interface]

[Interface] Щоб вимкнути автозапуск і зупинити тунель:

За потреби можна додати DNS= до внутрішнього DNS-сервера. * Потрібне просте рішення для бізнесу з мінімумом конфігурацій і швидким онбордингом нових користувачів. * Роумінг без розривів — автоматичне перемикання між Wi-Fi, 4G, 5G, NAT і CGNAT. # Надіслати публічний ключ адміністратору.

1. Закриття RDP та адміністративних сервісів з Інтернету. Доступ відбувається лише через зашифрований тунель, що зменшує ризики брутфорсу та бекдорів. # Продуктивність. У порівнянні з OpenVPN WireGuard має менші накладні витрати, що покращує роботу з файлами, термінальними сесіями та базами даних. # Натиснути Add Tunnel.

AllowedIPs = 0.0.0.0/0 AllowedIPs = 192.168.20.0/24, 192.168.21.0/24 Для Windows застосовується для офіційний клієнт ERP WireGuard.=== Встановлення WireGuard ===

Для встановлення WireGuard у Linux застосовують, коли потрібно пакетний менеджер відповідного дистрибутива. Дія !! # '''Легке адміністрування.''' Використовуються ключі замість паролів, статичні peer-конфіги та проста сегментація доступу. * Вмикаємо маршрути та firewall. # '''Масштабування.''' Підходить для site-to-site, віддаленої роботи співробітників і сервісних підключень. # Потім натиснути '''Activate'''.=== Конфігурація wg0.conf ===

• Встановити застосунок або драйвер WireGuard для Windows, macOS, Linux, iOS або Android. # клієнт ERP автоматизовано згенерує Private Key і Public Key. * Генеруємо ключі.<pre>

=== Перезапуск у Windows ===

<pre>
<pre>

PrivateKey = ВставляєтьсяАвтоматичноПриГенераціїНеМіняти

<pre>
=== Режими доступу ===
|-
| Старт || <code>sudo wg-quick up wg0</code>
|-
| Зупинка || <code>sudo wg-quick down wg0</code>
|-
| Перезапуск || <code>sudo wg-quick down wg0 && sudo wg-quick up wg0</code>
|-
| Стан і лічильники || <code>wg show</code>
|-
| Увімкнути автозапуск || <code>sudo systemctl enable --now wg-quick@wg0</code>
|-
| Вимкнути автозапуск || <code>sudo systemctl disable --now wg-quick@wg0</code>
|-
| Перевірити сервіс || <code>systemctl status wg-quick@wg0</code>
|}

ping 192.168.20.225

== Коли WireGuard особливо вигідний ==

sudo apt install wireguard # або пакет для свого дистро

* Завантажити WireGuard for Windows: https://www.wireguard.com/install/

1. Відкрити WireGuard. * Швидкість і стабільність — WireGuard функціонує в ядрі Linux, має низькі затримки та високу пропускну здатність. * Енергоефективність — менше навантаження на CPU і батарею. PersistentKeepalive = 25

PersistentKeepalive = 25

Address = 10.7.0.ОтриматиВідАдміна/32

AllowedIPs = 192.168.20.0/24, 192.168.21.0/24 WireGuard_02.png|Ілюстрація WireGuard|посилання=Файл:WireGuard_02.png

1. ip-адреса надається адміністратором, як приклад:
2. Address = 10.7.0.3/32

М’який перезапуск через wg-quick: MTU = 1420

1. PresharedKey = <якщо використовується>

Endpoint = 185.46.151.62:51820

1. PublicKey = <PUBLIC_KEY_ТВОГО_MIKROTIK>

<pre>
sudo systemctl disable --now wg-quick@wg0
[[index.php?title=Категорія:Адміністрування Windows]]

wg show

cat ~/wg_public
sudo systemctl enable --now wg-quick@wg0
=== конфігурація конфігурації ===

Address = IPОтриманийВідАдміна

Для перевірки роботи VPN можна пропінгувати IP-адресу всередині мережі датацентру. * Full-tunnel — весь трафік іде через офіс або сервер. У вікні клієнта має з’явитися Latest Handshake, а так само повинні зростати показники Transfer RX/TX.=== Шпаргалка команд Linux ===

• VPN
• Linux
• Windows
• MikroTik
• RDP
• SSH
• K2 ERP

PrivateKey = <ВСТАВ ВМІСТ ~/wg_private> [Peer]

Приклад: