WireGuard是具有最新加密技术的简单现代的VPN（虚拟专用网）。
与其他类似的解决方案（例如IPsec和OpenVPN）相比，它更快，更易于配置且性能更高。

WireGuard是跨平台的，几乎可以在任何地方运行，包括Linux，Windows，Android和macOS。
Wireguard是对等VPN。
它不是基于客户端-服务器模型。
根据其配置，对等方可以充当传统的服务器或者客户端。

WireGuard通过在充当隧道的每个对等设备上创建网络接口来工作。

对等方通过交换和验证公共密钥来模仿彼此的身份，类似于SSH模型。
公钥与隧道中允许的IP地址列表进行映射。
VPN流量封装在UDP中。

本教程描述了如何在充当VPN服务器的CentOS 8计算机上设置WireGuard。
我们还将向我们展示如何将WireGuard配置为客户端。
客户端的流量将通过CentOS 8服务器进行路由。
此设置可用于防御中间人攻击，匿名浏览网络，绕过受地域限制的内容或者允许在家工作的同事安全地连接到网络。

准备工作

我们需要一台CentOS 8服务器，我们可以以root用户或者具有sudo特权的帐户访问。

设置WireGuard服务器

我们首先在CentOS计算机上安装WireGuard，然后将其设置为充当服务器。
我们还将配置该系统以通过它路由客户端的流量。

在CentOS 8上安装WireGuard

可从Epel和Elrepo信息库安装WireGuard工具和内核模块。
要将存储库添加到系统，请运行以下命令：

sudo dnf install epel-release elrepo-release

完成后，安装WireGuard软件包：

sudo dnf install kmod-wireguard wireguard-tools

可能会要求我们导入存储库GPG密钥。
出现提示时键入“ y”。

配置WireGuard

“ wireguard-tools”软件包包括两个名为“ wg”和“ wg-quick”的命令行工具，可用于配置和管理WireGuard接口。

我们将VPN服务器配置存储在“/etc/wireguard”目录中。
在CentOS上，不会在安装过程中创建此目录。
运行以下命令创建目录：

sudo mkdir /etc/wireguard

在“/etc/wireguard”目录中生成公钥和私钥。

wg genkey | sudo tee /etc/wireguard/privatekey | wg pubkey | sudo tee /etc/wireguard/publickey

我们可以使用'cat'或者'less'查看文件。

私钥绝对不能与任何人共享。

现在已经生成了密钥，下一步是配置将路由VPN通信的隧道设备。

可以使用“ ip”和“ wg”从命令行设置设备，也可以使用文本编辑器创建配置文件。

创建一个名为“ wg0.conf”的新文件，并添加以下内容：

sudo nano /etc/wireguard/wg0.conf

/etc/wireguard/wg0.conf

[Interface]
Address = 10.0.0.1/24
SaveConfig = true
ListenPort = 51820
PrivateKey = SERVER_PRIVATE_KEY
PostUp     = firewall-cmd --zone=public --add-port 51820/udp && firewall-cmd --zone=public --add-masquerade
PostDown   = firewall-cmd --zone=public --remove-port 51820/udp && firewall-cmd --zone=public --remove-masquerade

该接口可以命名为任意名称，但是建议使用诸如include'wg0'或者'wgvpn0'之类的名称。
界面部分中的设置具有以下含义：

• 地址-“ wg0”接口的v4或者v6 IP地址的逗号分隔列表。使用专用于专用网络的范围内的IP（10.0.0.0/8、172.16.0.0/12或者192.168.0.0/16）。
• ListenPort-WireGuard接受传入连接的端口。
• PrivateKey-由“ wg genkey”命令生成的私钥。 （要查看文件的内容，请运行：'sudo cat/etc/wireguard/privatekey'）
• SaveConfig-设置为true时，关闭时接口的当前状态将保存到配置文件中。
• PostUp-在启动界面之前执行的命令或者脚本。在此示例中，我们使用“ firewall-cmd”打开WireGuard端口并启用伪装。这将使流量离开服务器，从而使VPN客户端可以访问Internet。
• PostDown-在关闭接口之前执行的命令或者脚本。接口关闭后，防火墙规则将被删除。

普通用户不应读取“ wg0.conf”和“ privatekey”文件。
使用“ chmod”将权限设置为“ 600”：

sudo chmod 600 /etc/wireguard/{privatekey,wg0.conf}

完成后，使用配置文件中指定的属性打开“ wg0”界面：

sudo wg-quick up wg0

该命令将输出如下内容：

[#] ip link add wg0 type wireguard
[#] wg setconf wg0 /dev/fd/63
[#] ip -4 address add 10.0.0.1/24 dev wg0
[#] ip link set mtu 1420 up dev wg0
[#] iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE

要查看接口状态和配置，请运行：

sudo wg show wg0

interface: wg0
  public key: My3uqg8LL9S3XZBo8alclOjiNkp+T6GfxS+Xhn5a40I=
  private key: (hidden)
  listening port: 51820

我们还可以使用“ ip”命令来验证接口状态：

ip a show wg0

4: wg0: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000
    link/none 
    inet 10.0.0.1/24 scope global wg0
       valid_lft forever preferred_lft forever

要在引导时进入“ wg0”界面，请运行以下命令：

sudo systemctl enable wg-quick@wg0

服务器网络

为了使NAT正常工作，我们需要启用IP转发。
创建一个新文件'/etc/sysctl.d/99-custom.conf'，并添加以下行：

sudo nano /etc/sysctl.d/99-custom.conf

/etc/sysctl.d/99-custom.conf

net.ipv4.ip_forward=1

保存文件并使用'sysctl'应用更改：

sudo sysctl -p /etc/sysctl.d/99-custom.conf

net.ipv4.ip_forward = 1

已经设置了将充当服务器的CentOS对等体。

Linux和macOS客户端设置

有关所有受支持平台的安装说明，请访问https://wireguard.com/install/。

在Linux系统上，我们可以使用分发软件包管理器来安装软件包，而在具有'brew'的macOS上也可以安装该软件包。
安装WireGuard后，请按照以下步骤配置客户端设备。

设置Linux和macOS客户端的过程几乎与服务器相同。
首先生成公钥和私钥：

wg genkey | sudo tee /etc/wireguard/privatekey | wg pubkey | sudo tee /etc/wireguard/publickey

创建文件“ wg0.conf”并添加以下内容：

sudo nano /etc/wireguard/wg0.conf

/etc/wireguard/wg0.conf

[Interface]
PrivateKey = CLIENT_PRIVATE_KEY
Address = 10.0.0.2/24

[Peer]
PublicKey = SERVER_PUBLIC_KEY
Endpoint = SERVER_IP_ADDRESS:51820
AllowedIPs = 0.0.0.0/0

接口部分中的设置与设置服务器时的含义相同：

• 地址-“ wg0”接口的v4或者v6 IP地址的逗号分隔列表。
• PrivateKey-要在客户端计算机上查看文件的内容，请运行：'sudo cat/etc/wireguard/privatekey'

对等部分包含以下字段：

• PublicKey-我们要连接的对等方的公共密钥。 （服务器的“/etc/wireguard/publickey”文件的内容）。
• 端点-我们要连接的对等方的IP或者主机名，后跟冒号，然后是远程对等方侦听的端口号。
• AllowedIPs-v4或者v6 IP地址的逗号分隔列表，从该列表允许对等方的传入流量，并定向到该对等方的传出流量。我们使用0.0.0.0/0是因为我们正在路由流量，并希望服务器对等方发送具有任何源IP的数据包。

如果需要配置其他客户端，只需使用其他专用IP地址重复相同的步骤即可。

Windows客户端安装程序

从WireGuard下载并安装Windows msi软件包。

安装后，打开WireGuard应用程序，然后单击“添加隧道”->“添加空隧道…”，如下图所示：

将自动创建一个公钥对，并将其显示在屏幕上。

输入隧道的名称并按如下所示编辑配置：

[Interface]
PrivateKey = CLIENT_PRIVATE_KEY
Address = 10.0.0.2/24

[Peer]
PublicKey = SERVER_PUBLIC_KEY
Endpoint = SERVER_IP_ADDRESS:51820
AllowedIPs = 0.0.0.0/0

在接口部分中，添加新行以定义客户端隧道地址。

在对等部分中，添加以下字段：

• PublicKey-CentOS服务器的公共密钥（“/etc/wireguard/publickey”文件）。
• 端点-CentOS服务器的IP地址，后跟冒号和WireGuard端口（51820）。
• 允许的IP-0.0.0.0/0

完成后，单击“保存”按钮。

将客户端对等方添加到服务器

最后一步是将客户端公钥和IP地址添加到服务器：

sudo wg set wg0 peer CLIENT_PUBLIC_KEY allowed-ips 10.0.0.2

确保使用在客户端计算机上生成的公共密钥（“ sudo cat/etc/wireguard/publickey”）更改“ CLIENT_PUBLIC_KEY”，并调整客户端IP地址（如果不同）。
Windows用户可以从WireGuard应用程序复制公钥。

完成后，返回客户端计算机并打开隧道接口。

Linux和macOS客户端

在Linux客户端上，运行以下命令以打开界面：

sudo wg-quick up wg0

现在，我们应该已连接到CentOS服务器，并且来自客户端计算机的流量应通过该服务器进行路由。
我们可以使用以下方法检查连接：

sudo wg

interface: wg0
  public key: sZThYo/0oECwzUsIKTa6LYXLhk+Jb/nqK4kCCP2pyFg=
  private key: (hidden)
  listening port: 60351
  fwmark: 0xca6c
peer: My3uqg8LL9S3XZBo8alclOjiNkp+T6GfxS+Xhn5a40I=
  endpoint: XXX.XXX.XXX.XXX:51820
  allowed ips: 0.0.0.0/0
  latest handshake: 41 seconds ago
  transfer: 213.25 KiB received, 106.68 KiB sent

我们也可以打开浏览器，键入“ what is my ip”，然后我们应该会看到CentOS服务器IP地址。

要停止隧道，请关闭“ wg0”界面：

sudo wg-quick down wg0

Windows客户端

如果我们在Windows上安装了WireGuard，请单击“激活”按钮。
连接对等体后，隧道状态将更改为“活动”