VPN WireGuardilla Androidilla kotiverkon suojaamiseksi

  • WireGuard tarjoaa nopean, turvallisen ja helposti asennettavan VPN-kotikäyttöön, joka sopii ihanteellisesti verkkosi käyttämiseen Android- ja muilla laitteilla.
  • Tärkeintä on luoda avainparit, määritellä sallitut IP-osoitteet oikein, ottaa käyttöön edelleenlähetys ja NAT sekä suojata UDP-portti asianmukaisella palomuurilla.
  • Jos CGNAT on käytössä, siltana toimiva VPS mahdollistaa yhteyden jatkumisen kotiverkkoosi WireGuard-tunneleiden kautta etäpalvelimen ja kotiverkon välillä.
  • Paneelit, kuten WireGuard Easy, ja viralliset sovellukset helpottavat vertaistenhallintaa ja mobiilikäyttöä QR-koodien ja uudelleenkäytettävien .conf-profiilien avulla.
Joaquin Romero

16 minuuttia

Wireguardin VPN

Jos olet asentanut kotiin pienen teknisen laitteiston, jossa on NAS, Linux-palvelin tai kierrätetty tietokone täynnä palveluitaOlen varma, että olet törmännyt samaan ongelmaan: kaikki toimii täydellisesti Wi-Fi-yhteyden aikana, mutta heti kun lähdet kotoa, unohda koko juttu. Et voi käyttää sovelluksiasi, tiedostojasi tai IP-kameroitasi ilman, että joudut jumiutumaan porttimääritysongelmiin, DDNS-ongelmiin ja tietoturvariskeihin tai turvautumaan... Suositellut VPN:t Androidille.

Helpoin ja turvallisin tapa ratkaista tämä on luoda VPN WireGuardilla ja yhteyden muodostaminen Androidista (ja mistä tahansa muusta laitteesta). Tällä tavoin voit käyttää kotiverkkoasi aivan kuin olisit fyysisesti paikalla, vaikka internet-palveluntarjoajasi käyttäisi CGNATia tai sinulla olisi hieman hankala verkkotopologia. Katsotaanpa asiaa askel askeleelta: mitä WireGuard on, miten se asennetaan Linuxiin (tai Dockeriin ja paneeleihin, kuten EasyPanel/WireGuard Easy) ja miten sitä hienosäädetään käyttämään lähiverkkoasi ja... Aktivoi VPN Androidilla ja selaa turvallisesti mobiililaitteellasi.

Mikä on WireGuard ja miksi se on ihanteellinen koti-VPN:lle?

WireGuard on moderni, minimalistinen ja erittäin nopea VPN-protokolla. joka on muuttanut täysin virtuaalisten yksityisverkkojen (VPA) perustamistapaa. Toisin kuin OpenVPN:n tai IPsecin kaltaiset dinosaurukset, se suunniteltiin alusta alkaen helposti konfiguroitavaksi, helposti auditoitavaksi ja erittäin tehokkaaksi.

Sen koodikanta on hyvin pieni (luokkaa muutama tuhat riviäTämä helpottaa haavoittuvuuksien löytämistä ja ajan tasalla pitämistä. Salauksessa käytetään vain moderneja ja arvostettuja algoritmeja, kuten Curve25519, ChaCha20, Poly1305, BLAKE2s ja yritys. Ei loputtomia listoja vanhentuneista salakirjoista, joita kenenkään ei pitäisi enää käyttää.

Lisäksi se toimii yksinomaan UDP ja se voidaan integroida Linux-ytimeenViive on siis pieni, suorituskyky erittäin hyvä ja suorittimen käyttö merkityksetön. Tämä on erityisen havaittavissa Android-laitteella 4G/5G-yhteyden tai tavallisen Wi-Fin kautta yhdistettäessä: uudelleenyhteydet ovat nopeita ja tunneli käsittelee verkon muutokset varsin hyvin.

Asennus on myös paljon käyttäjäystävällisempi: jokaisella laitteella on julkinen/yksityinen avainpariSille annetaan sisäinen VPN IP -osoite ja tunnelin läpi lähetettävä liikenne määritellään käytännöllä. SallitutIP: tSen, UDP-portin ja neljän muun asetuksen avulla se on käyttövalmis ilman kymmeniä kryptisiä parametreja tai loputtomia tiedostoja.

Toinen suuri etu on se, että WireGuard on monialustainen: on Viralliset Android-asiakasohjelmatSe on yhteensopiva iOS:n, Windowsin, macOS:n ja Linuxin kanssa ja toimii myös reitittimissä, Docker-konteissa tai sulautetuissa laitteissa. Mobiililaitteilla voit tuoda .conf-tiedoston tai yksinkertaisesti skannata Palvelimella luotu QR-koodi ja valmis.

Perusvaatimukset ennen WireGuard-palvelimen asentamista

Ennen kuin liität komentoja, kuten "huomista ei ole", on hyvä tarkistaa, että täytät tietyt vaatimukset. Androidilla käytettävän WireGuard-palvelimen vähimmäisvaatimuksetTämä säästää sinulta paljon päänsärkyä.

Yleisin käytäntö on käyttää ns. linux palvelinTämä voi olla pilvipohjainen VPS (Ubuntu 22.04 on erittäin kätevä vaihtoehto) tai kotikone (Raspberry Pi, miniPC, NAS tuella jne.). Mikä tahansa moderni jakelu, jossa on WireGuard-tuki, toimii, mutta Ubuntu/Debian tarjoaa enemmän dokumentaatiota ja esimerkkejä.

VPN-suojausprotokollat
Aiheeseen liittyvä artikkeli:
Käytetyimmät VPN-tietoturvaprotokollat: Kattava opas, erot ja suositukset 2025

Tarvitset käyttäjän, jolla on hallintaoikeudet (root tai käyttäjä, jolla on sudo-oikeudet), koska asennat paketteja, säädät verkkoasetuksia, otat käyttöön IP-osoitteen edelleenlähetyksen ja mahdollisesti muokkaat palomuurisääntöjä. On myös erittäin tärkeää, että sinulla on SSH-yhteys palvelimeen ja tiedät ainakin, miten yhteys muodostetaan omalta koneeltasi.

Asiakaspuolella käytät pääasiassa Android-älypuhelin, jossa on virallinen WireGuard-sovellusVaikka sama määritysjärjestelmä toimii Windowsissa, macOS:ssä, Linuxissa ja iOS:ssä, määritystiedosto muuttuu vain vähän alustojen välillä, joten tässä oppimasi on hyödyllistä kaikille.

Suuri vihollinen: CGNAT ja miten se vaikuttaa koti-VPN-verkkoosi

Yksi tärkeimmistä asioista, varsinkin jos palvelin on kotona, on tietää, sijoittaako palveluntarjoajasi sinut verkon taakse. CGNAT (kantoaaltotason NAT)CGNAT-protokollan avulla jaat julkisen IP-osoitteen muiden asiakkaiden kanssa ja Et voi avata portteja kotiverkkoosi.mikä tekee VPN-palvelimen paljastamisesta kotiyhteytesi kautta erittäin vaikeaa.

Sen havaitseminen on yksinkertaista: kirjoita ensin muistiin Julkinen IP Selaimessasi verkkosivustolta, kuten ”whatismyip”. Mene sitten reitittimen ohjauspaneeliin (yleensä osoitteeseen 192.168.1.1 tai 192.168.0.1) ja etsi WAN- tai Internet-osiosta IP-osoite, jonka reititin luulee omaavansa. Jos IP-osoite alkaa 10.xxx tai on välillä 100.64.0.0–100.127.255.255 Ja jos se ei vastaa verkkosivustojen tietoja, olet CGNAT-luvan haltija. Toinen suora vaihtoehto on soittaa operaattorille ja kysyä.

CGNATin avulla reitittimesi ei saa suoraa julkista IP-osoitetta, joten Et voi tehdä klassista portinsiirtoaJotkut yritykset antavat sinun kieltäytyä CGNAT:sta maksamalla ylimääräistä tai aktivoimalla vaihtoehdon, toiset taas vaativat sinua vaihtamaan liittymääsi, ja joskus hinta nousee pilviin. Jos et halua käydä läpi kaikkea tätä, fiksu ratkaisu on vaihtaa... VPS siltanaKotipalvelimesi luo WireGuard-tunnelin VPS:ään, ja muodostat yhteyden VPS:ään Androidista päästäksesi kotiverkkoosi.

Linux-palvelimen valmistelu: WireGuard-päivitys ja asennus

Palvelimella, jossa on Ubuntu 22.04 (tai vastaava), ensimmäinen tehtävä on päivityspaketit välttääksesi haavoittuvuuksien tai vanhojen versioiden siirtymisen:

apt update && apt upgrade -y

Asenna sitten WireGuard virallisista arkistoista seuraavasti:

apt install -y wireguard

Tämä paketti sisältää työkalut wg ja wg-quick ja lataa tarvittavan ydinmoduulin. Jos haluat pakottaa manuaalisen latauksen hieman epätavallisessa ympäristössä, voit käyttää:

modprobe wireguard

Avainten luonti ja palvelimen konfigurointirakenne

WireGuardin ydin on järjestelmä julkiset ja yksityiset avaimetNormaalisti työ tehdään vakiohakemistossa. /etc/wireguard/jonne tallennat avaimet ja asetustiedostot.

Siirry kyseiseen hakemistoon ja vahvista oletusoikeudet ennen kuin luot mitään:

cd /etc/wireguard/
umask 077

Tämä varmistaa, että Muut käyttäjät eivät välttämättä pysty lukemaan uusia tiedostojaTämä on kriittistä yksityisiä avaimia luotaessa. Luo palvelimen avainpari esimerkiksi näin:

wg genkey > privatekey
wg pubkey < privatekey > publickey

La yksityinen avain Sen on aina pysyttävä palvelimella eikä sitä saa koskaan poistaa sieltä; julkinen avain Kyllä, voit jakaa sen asiakkaiden kanssa. Vältä myös kolmansien osapuolten sovelluksia, jotka voisivat vaarantaa salaisuuksia; lue artikkeleita aiheesta [aihe puuttuu]. turvattomat VPN-sovellukset Jos sinulla on epäilyksiä asiakkaista.

chmod 600 privatekey

Jos haluat nähdä avaimet näytöllä kopioidaksesi ne myöhemmin, voit käyttää:

tail privatekey publickey

Luo ja muokkaa palvelimen wg0.conf-tiedostoa

Wireguardin VPN

WireGuard järjestää tunnelinsa sisään virtuaaliset rajapinnat Kutsutaan sopimuksen mukaan wg0:ksi, wg1:ksi jne. Jokaisella rajapinnalla on oma asetustiedostonsa /etc/wireguard/Aiomme luoda wg0.conf pääkäyttöliittymänä.

Jos pidät Nanosta eikä sinulla ole sitä asennettuna, voit lisätä sen komennolla:

apt install -y nano

Avaa asetustiedosto:

nano /etc/wireguard/wg0.conf

Ennen kuin kirjoitat mitään, selvitä sen verkkokortin nimi, joka muodostaa yhteyden internetiin (se, jolla on julkinen IP-osoite tai IP-osoite, jota käytät SSH-yhteyden muodostamiseen). Löydät sen seuraavasti:

ip a

Monissa VPS-palveluissa sitä kutsutaan eth0, ens3, enp0s3 tai jotain vastaavaa. Tarvitset sitä NAT-sääntöjä varten. Esimerkki kokonaisesta lohkosta voisi olla:


Address = 10.30.0.1/24
PrivateKey = <clave_privada_servidor>
ListenPort = 51820
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

Tässä annat palvelimelle IP-osoitteen 10.30.0.1 VPN-verkon sisällä, käsket sen kuuntelemaan UDP-porttia 51820 ja määrittelet iptables-säännöt, jotka ovat voimassa, kun wg0-rajapinta tulee käyttöön (PostUp) ja ne poistetaan, kun menet alas (PostDown). Ole varovainen vaihtaessasi eth0 lähtöliitännän varsinaisen nimen mukaan.

Nanossa säästät Ctrl + A ja lopetat Ctrl + XTämä wg0.conf-tiedosto on ydin, johon lisäät eri asiakkaat (vertaislaitteet).

Ota IP-edelleenlähetys käyttöön ja käynnistä WireGuard-palvelu

Jotta asiakkaasi voivat käyttää Internetiä tai VPN-palvelimen takana olevaa lähiverkkoa, järjestelmän on sallittava IPv4- ja IPv6-pakettien edelleenlähetysTätä ohjataan sysctl:llä.

Nopea tapa on lisätä vastaavat rivit /etc/sysctl.conf- tai tiedostoon kohdassa /etc/sysctl.d/ ja lataa uudelleen:

echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
echo "net.ipv6.conf.all.forwarding=1" >> /etc/sysctl.conf
sysctl -p

Jos nuo rivit olivat jo olemassa, mutta ne kommentoitiin pois (#-merkillä), riittää, että poista #tallenna ja käynnistä uudelleen sysctl -pIlman tätä vaihetta tunneli on pystyssä, mutta menetät pääsyn lähiverkkoon tai Internetiin asiakkailta.

Voit nyt nostaa WireGuardin avustuksella wg-nopea ja systemd:

systemctl start wg-quick@wg0

Jotta se käynnistyisi automaattisesti järjestelmän mukana:

systemctl enable wg-quick@wg0

Tarkista, että kaikki on vihreää, seuraavilla tavoilla:

systemctl status wg-quick@wg0

Ja nähdäksesi reaaliaikaiset tiedot käyttöliittymästä, avaimista, vertaiskäyttäjistä ja liikenteestä, käytä:

wg

Lisää asiakkaita: PC, Android-mobiili ja muut laitteet

Jokainen VPN-verkkoon yhdistetty laite määritellään vertaistuki omalla avaimellaan ja tunneloitulla IP-osoitteellaanVoit luoda avaimet itse palvelimella (kätevämpää) tai jokaisella asiakkaalla erikseen (turvallisempaa, koska yksityinen avain ei koskaan poistu sieltä).

Pöytätietokoneelle voisit tehdä esim. /etc/wireguard/:

wg genkey > mypc_privatekey
wg pubkey < mypc_privatekey > mypc_publickey

Ja Android-puhelimellasi:

wg genkey > myphone_privatekey
wg pubkey < myphone_privatekey > myphone_publickey

Tarkista tiedostot tällä:

ls

Ja se näyttää julkiset avaimet:

tail mypc_publickey myphone_publickey

Nuo julkiset avaimet ovat ne, jotka syötät sisään wg0.conf lohkojen sisällä Avaa palvelintiedosto uudelleen:

nano /etc/wireguard/wg0.conf

Ja hän lisää esimerkiksi:


PublicKey = <clave_publica_mypc>
AllowedIPs = 10.30.0.2/32

Julkinen avain =
SallitutIP: t = 10.30.0.3/32

Tekemällä näin varaat IP-osoitteen 10.30.0.2 PC:lle ja 10.30.0.3 Android-mobiililaitteille/32 osoittaa, että kyseessä on yksittäinen IP-osoite. Jokainen vertaiskone käyttää omaa yksilöllistä IP-osoitettaan VPN-aliverkossa.

Tallenna ja lataa palvelu uudelleen ottaaksesi muutokset käyttöön:

systemctl restart wg-quick@wg0

Luo asiakaskonfiguraatiotiedostot

Nyt on aika valmistaa .conf-tiedostot, joita asiakkaat käyttävätNe sisältävät yksityisen avaimesi, sisäisen IP-osoitteen, DNS- ja palvelintiedot (julkinen avain, IP/verkkotunnus ja portti).

Tietokoneelle, jonka voit luoda mypc.conf hakemistossa /etc/wireguard/ (tai missä tahansa haluat):

nano mypc.conf

Sisältötyyppi:


PrivateKey = <clave_privada_mypc>
Address = 10.30.0.2/24
DNS = 1.1.1.1

Julkinen avain =
Päätepiste = :51820
SallitutIP: t = 0.0.0.0/0
PersistentKeepalive = 20

Ensimmäisessä lohkossa määrittelet asiakkaan paikallisen "kasvon": sen yksityisen avaimen, VPN-IP-osoitteen ja käytettävän DNS-palvelimen. Toisessa lohkossa kuvaat palvelimen: sen julkisen avaimen, osoitteen ja portin. Rivi SallitutIP: t = 0.0.0.0/0 merkit Kaikki asiakasliikenne kulkee VPN:n kautta (täysi tunneli). Jos haluat käyttää vain etälähiverkkoasi, voit rajoittaa sen arvoon 10.30.0.0/24 ja/tai 192.168.x.0/24 verkostasi riippuen.

PysyväKeepalive NAT- tai mobiiliverkkojen takana oleville asiakkaille suositellaan 20–25 sekunnin välein tehtävää tiivistystä, koska se estää tunnelia näyttämästä passiiviselta ja palomuuria sulkemasta istuntoa.

Kuinka aktivoida VPN Androidilla
Aiheeseen liittyvä artikkeli:
Kuinka aktivoida VPN Androidilla ja estää vaarallinen liikenne

Android-asiakaskohtainen määritys

Androidilla prosessi on sama. Puhelimen on oltava yksityinen avain, tunnelin IP-osoite ja palvelimen tiedot. Voit käyttää uudelleen palvelimella luomiasi avaimia tai luoda ne suoraan sovelluksessa.

Esimerkkiä seuraten loit puhelimeni_yksityinen_avain ja puhelimeni_julkinen_avainPuhelimesi myphone.conf-tiedosto puuttuu:

nano myphone.conf

Jotain tällaista:


PrivateKey = <clave_privada_myphone>
Address = 10.30.0.3/24
DNS = 1.1.1.1

Julkinen avain =
Päätepiste = :51820
SallitutIP: t = 0.0.0.0/0
PersistentKeepalive = 20

Hankala osuus tässä on Kuinka lähettää tiedosto turvallisesti matkapuhelimeenLaboratorioympäristössä sen voisi ladata web-palvelimelle ja ladata, mutta tuotannossa on parasta välttää sen lähettämistä sähköpostitse tai tallentamista salaamattomiin palveluihin.

Puhtain tapa on yleensä käyttää qrencode luodaksesi QR-koodin, jonka WireGuard-sovellus Androidilla voi skannata:

apt install -y qrencode
qrencode -t ansiutf8 -r myphone.conf

Näet päätelaitteessa ASCII-merkeillä kirjoitetun QR-koodin. Avaa WireGuard-sovellus mobiililaitteellasi ja valitse ”Skannaa QR-koodista"(Skannaa QR-koodista) ja osoita näyttöä. Tällä tavoin sinun ei tarvitse jakaa .conf-tiedostoa epäilyttävien kanavien kautta."

Pääsy kotiverkon, DNS:n ja paikallisten nimien käyttöön

Tunnelin rakentamisen lisäksi, mikä siinä on mielenkiintoista? VPN WireGuardilla Androidilla turvalliseen kotiyhteyteen Kyse on siitä, että voit käyttää kaikkia kodin laitteitasi aivan kuin olisit siellä: NAS-laitteita, IP-kameroita, reitittimiä, mediapalvelimia jne., mieluiten käyttämällä paikalliset verkkotunnukset IP-osoitteiden sijaan.

Monissa reitittimissä, jotka integroivat WireGuard-palvelimen tai sisäisen DNS:n, on tällainen osio: VERKKO → DNS → Muokkaa isäntiä jossa voit luoda merkintöjä, kuten 192.168.1.50 nas-casa.localJos ohjaat VPN-asiakkaidesi DNS:n reitittimeen tai palvelimeen, joka selvittää nämä nimet, voit käyttää laitteitasi isäntänimen perusteella.

Joissakin WireGuardia sisältävissä reitittimien laiteohjelmistoissa on valintaruutuja, kuten "Salli lähiverkon etäkäyttö""Etäkäytön lähiverkon aliverkko" tai vastaava. Sinun on otettava nämä käyttöön, jotta etäasiakkaat voivat käyttää paikallinen aliverkko (192.168.xx) itse reitittimen ulkopuolella.

Tilanteissa, joissa WireGuard-palvelin toimii reitittimeen upotettuna, se usein sallii vie valmiiksi valmistetut .conf-profiilit mobiililaitteille tai muille asiakasreitittimille. Nämä profiilit sisältävät yleensä tunnelin IP-osoitteen, oikean DNS-osoitteen (yleensä reitittimen oman IP-osoitteen VPN-verkossa) ja oikein määritetyt sallitut IP-osoitteet.

Vahvistus, vianmääritys ja suojaus

Kun kokoonpano on tuotu Androidiin ja tunneli on aktivoitu, ensimmäinen tehtävä on tarkistaa, että Kättely tapahtuu oikein.WireGuard-sovellus itse näyttää tilan, lähetettyjen/vastaanotettujen tavun määrän ja viimeisen kättelyn aikaleiman.

Palvelimella, suorita:

wg

Siellä näet kunkin vertaiskoneen julkisen avaimen, etä-IP-osoitteen, josta se muodostaa yhteyden, viimeisimmän kättelyn ja vaihdetun liikenteen. Jos "Viimeinen kättely" -kenttä on tyhjä tai hyvin vanha, asiakas ei muodosta yhteyttä tai jokin estää sen.

Jos yhteyttä ei ole, tarkista, että UDP-portti (51820 tai kumpi tahansa käyttämäsi) on avoinna palvelimen palomuurissa (UFW, iptables, nftables) ja kaikissa välissä olevissa reitittimissä. Jos palvelin on kotireitittimen takana, määritä UDP-portin edelleenlähetys kyseisestä portista palvelimen sisäiseen IP-osoitteeseenOngelma saattaa vaikuttaa tiettyihin sovelluksiin; katso oppaamme aiheesta Mitä tehdä, jos sovellukset epäonnistuvat VPN:n ollessa käytössä.

Jos tunneli avautuu, mutta sinulla ei ole mobiilidataa, tarkista, että pakettien edelleenlähetys (net.ipv4.ip_forward ja valinnaisesti net.ipv6.conf.all.forwarding) on aktiivinen ja että NAT-säännöt osoittavat oikeaan lähtevään rajapintaan (eth0, ens3 jne.).

DNS-ongelmat havaitaan yleensä silloin, kun voit lähettää ping-kutsun tiettyyn IP-osoitteeseen (esimerkiksi 1.1.1.1), mutta et pysty selvittämään verkkotunnuksia. Tarkista tässä tapauksessa rivi DNS = Asiakkaan .conf-tiedostossa: voit käyttää julkista DNS:ää (8.8.8.8, 1.1.1.1) tai palvelimen tunnelin IP-osoitetta, jos se toimii sisäisenä resolverina.

Turvallisuuden kannalta WireGuardin kryptografian lisäksi on olemassa useita olennaisia ​​hyviä käytäntöjä:

  • Suojaa yksityiset avaimesiÄlä kopioi niitä vaarallisille sivustoille äläkä jaa niitä kenenkään kanssa.
  • Rajoittaa sallittuja IP-osoitteita vertaiskohtaisestiAntaa jokaiselle asiakkaalle pääsyn vain tarvitsemiinsa verkkoihin, ei vapaata kättä.
  • Käytä ei-triviaaleja UDP-portteja51820:n korvaaminen suuremmalla arvolla vähentää automaattisten skannausten kohinaa.
  • Pidä järjestelmäsi ja WireGuard ajan tasalla: laastareita joka päivä.
  • Suodataa pääsyn WireGuard-porttiin palomuurissa rajoittaaksesi sitä, kuka voi yrittää muodostaa yhteyden (lähde-IP:n mukaan, kun se on järkevää).

Kun sinulla on CGNAT tai haluat jotain edistyneempää: tunneloi VPS:n kautta

Jos operaattorisi on määrittänyt tilisi CGNAT:n alle tai haluat vain erottaa kotisi julkisen käytön kerroksen, voit ottaa käyttöön hieman monimutkaisemman mutta erittäin tehokkaan ratkaisun: Käytä VPS:ää keskusasemana ja kotipalvelintasi asiakkaana.Sitten muodostat yhteyden VPS:ään Androidista ja sen kautta käytät lähiverkkoasi.

Perusperiaate on tämä: pilvessä määrität WireGuard-palvelin (esimerkiksi Dockerilla ja pinolla, kuten linuxserver/wireguard tai valmiiksi rakennetulla repositoriolla), otat käyttöön edelleenlähetyksen ja NAT:in, ja kotona sinulla on Raspberry Pi tai PC aina päällä joka muodostaa yhteyden kyseiseen VPS:ään vertaispalvelimena. VPS:llä on julkinen IP-osoite, eikä CGNAT vaikuta siihen, joten voit avata portteja sinne ongelmitta.

Tyypillinen työnkulku Dockerin kanssa voisi olla seuraava:

  • VPS:lle asennat Dockerin ja Docker Composen, kloonaat WireGuard-määritystietovaraston ja Nostat kontin komennolla `docker-compose up -d`.
  • Säiliö luo automaattisesti palvelimen avaimet ja useiden vertaiskoneiden (peer1, peer2…) avaimet ja tallentaa niiden .conf-tiedostot config-kansioon.
  • Muokkaat palvelintiedostoa siten, että se sisältää kotialiverkko (esimerkiksi 192.168.1.0/24) kohdassa AllowedIPs Raspberry Pi -palvelimesi käyttämästä vertaiskoneesta ja määritä isännälle iptables tai vastaavat säännöt reitittämään liikennettä VPN:n ja kotiverkkosi välillä.
  • Kloonaa Raspberry Pillä sama repositorio (tai valmisteltu), luo wg0.conf-tiedosto peer1:lle luoduilla tiedoilla, ota käyttöön paikallinen NAT (jotta liikennettä voidaan lähettää takaisin lähiverkkoon) ja käynnistä WireGuard-asiakasohjelma Dockerissa tai natiivisti.

Sieltä millä tahansa muulla laitteella (mukaan lukien omasi) Android ja WireGuard-sovellusVoit käyttää yhteyden muodostamiseen jotakin VPS:n lisävertaisista (peer2, peer3…). Käytännössä muodostat aina yhteyden VPS:n IP-osoitteeseen, mutta päädyt kotiverkkosi palveluihin, jopa CGNAT:n kautta.

WireGuard verkkopaneeleilla: WireGuard Easy, EasyPanel ja yritys

Jos tämä kaikki kuulostaa liian raskaalta konsolilta, on olemassa erittäin käteviä ratkaisuja, jotka mahdollistavat Verkkopaneeli WireGuardin hallintaan yhdellä napsautuksellaEsimerkiksi palvelimella, jossa on EasyPanel, voit ottaa käyttöön sovelluksen, kuten WireGuard Easy mallin kautta ja unohda tiedostojen kirjoittaminen käsin.

Näiden paneelien työnkulku on yleensä seuraava:

  • Pääset paneeliin (EasyPanel tai muu) käyttäjätunnuksellasi.
  • Asennat mallin WireGuard Easy, määrittämällä parametrit, kuten verkkotunnus/julkinen IP-osoite (WG_HOST), UDP-portti, VPN-aliverkko ja DNS.
  • Järjestelmä käynnistää säilön, joka näyttää salasanalla suojatun verkkokäyttöliittymän, jossa näet vertaisluettelo, tilastot ja määritysvaihtoehdot.
  • Asiakkaan lisäämiseksi täytät vain lomakkeen heidän nimellään; paneeli luo avaimet, antaa heille IP-osoitteen ja näyttää QR-koodi valmis skannattavaksi Androidilla, ja sen lisäksi, että voit ladata .conf-tiedoston.

Tämä on erittäin kätevää ympäristöissä, joissa useampi ihminen käyttää VPN:ää (perhe, työporukka jne.), koska voit Aktivoi tai peruuta käyttöoikeus sekunneissa ilman, että sinun tarvitsee selittää mitään teknistä. Lisäksi, jos otat WireGuard Easyn käyttöön VPS:llä, keskität kaiken etäkäytön kotiverkkoosi ja muihin sijainteihin.

WireGuard muissa järjestelmissä: Windows, macOS, Linux, iOS

Vaikka keskitymme tässä Androidiin, WireGuard toimii yhtä hyvin myös pöytätietokoneet ja muut mobiililaitteetEsimerkiksi Windowsissa lataat virallisen asiakasohjelman, asennat sen ja painat "Lisää tunneli”, valitset ”Lisää tyhjä tunneli” tai ”Tuo tiedostosta”, ja ohjelma itse voi luoda avainparin puolestasi.

Konfiguraatiomuoto on sama: lohko omalla Yksityinen avain, osoite ja DNSja estä Palvelimen, päätepisteen ja sallittujen IP-osoitteiden julkinen avainKun olet tallentanut tiedot, paina vain "Aktivoi" käynnistääksesi käyttöliittymän ja aloittaaksesi liikenteen kulun.

iOS:ssä prosessi on hyvin samanlainen kuin Androidissa: asennat WireGuard-sovelluksen App Storesta, luot uuden tunnelin ja voit Tuo .conf-tiedosto tai skannaa QR-koodi jonka loit qrencodella tai esimerkiksi WireGuard Easyn kaltaisesta paneelista. Sitten aktivoit tunnelin kytkimellä ja olet jo kotiverkossasi.

Linux-työpöytäversiossa voit käyttää itse komentorivityökalua (wg-pikalata wg0tai integroi se NetworkManageriin tuomalla .conf-tiedosto graafisesta käyttöliittymästä. Saatavilla on myös virallinen macOS-asiakasohjelma, jonka käyttökokemus on hyvin samanlainen kuin Windows-versiossa.

Lopulta on sama protokolla ja konfigurointitapa kaikilla alustoilla Se yksinkertaistaa elämää paljon: kopioit logiikan asiakkaalta toiselle muuttamalla vain avaimia ja tunnelin IP-osoitetta.

Android VPN
Aiheeseen liittyvä artikkeli:
Parhaat VPN:t Androidille: Täydellinen opas, joka sisältää kaikki vaihtoehdot, riskit ja vinkit vuodelle 2025 ja sen jälkeen

Tämän yhdistelmän avulla – hyvin konfiguroitu Linux- tai Docker-palvelin, mahdollinen VPS-tuki, jos sinulla on CGNAT, web-paneelit hallinnan yksinkertaistamiseksi ja WireGuard-sovellus Androidilla – voit määrittää Kestävä, nopea ja turvallinen VPN kotiin jonka avulla voit käyttää kotiverkkoasi, tiedostojasi ja palveluitasi sekä selata turvallisesti julkisessa WiFi-verkossa ilman, että olet riippuvainen kolmansista osapuolista tai läpinäkymättömistä kaupallisista ratkaisuista. Jaa tämä tieto, jotta muutkin tietävät uudesta ominaisuudesta.