Налаштування WireGuard

Матеріал з K2 ERP Wiki Ukraine — База знань з автоматизації та санкцій в Україні
Версія від 20:57, 28 квітня 2026, створена R (обговорення | внесок) (Первинна версія документу)
(різн.) ← Попередня версія | Поточна версія (різн.) | Новіша версія → (різн.)
Перейти до навігації Перейти до пошуку

Шаблон:Картка документації

WireGuard — сучасне VPN-рішення для безпечного підключення користувачів і сервісів до внутрішніх мереж. У цій інструкції описано встановлення, налаштування, запуск, перевірку та перезапуск WireGuard на Linux і Windows.

Linux

Встановлення WireGuard

Для встановлення WireGuard у Linux використовується пакетний менеджер відповідного дистрибутива.

<syntaxhighlight lang="bash"> sudo apt install wireguard # або пакет для свого дистро </syntaxhighlight>

Генерація ключів

Після встановлення потрібно згенерувати приватний і публічний ключі клієнта.

<syntaxhighlight lang="bash"> wg genkey | tee ~/wg_private | wg pubkey > ~/wg_public cat ~/wg_public </syntaxhighlight>

Публічний ключ потрібно надіслати адміністратору для додавання користувача до VPN-сервера.

Конфігурація wg0.conf

Файл конфігурації створюється за шляхом:

<syntaxhighlight lang="text"> /etc/wireguard/wg0.conf </syntaxhighlight>

Приклад конфігурації split-tunnel до мереж датацентру:

<syntaxhighlight lang="ini"> [Interface] Address = 10.7.0.ОтриматиВідАдміна/32

  1. ip-адреса надається адміністратором, наприклад:
  2. Address = 10.7.0.3/32

PrivateKey = <ВСТАВ ВМІСТ ~/wg_private> MTU = 1420

  1. PresharedKey = <якщо використовується>

[Peer] PublicKey = cx6KJsqfQSBRaG0+Rmy8+0JjbtUf/i/Ri3U+/el2aCY=

  1. PublicKey = <PUBLIC_KEY_ТВОГО_MIKROTIK>

Endpoint = 185.46.151.62:51820 AllowedIPs = 192.168.20.0/24, 192.168.21.0/24 PersistentKeepalive = 25 </syntaxhighlight>

У режимі full-tunnel у параметрі AllowedIPs потрібно вказати:

<syntaxhighlight lang="ini"> AllowedIPs = 0.0.0.0/0 </syntaxhighlight>

За потреби можна додати DNS= до внутрішнього DNS-сервера.

Запуск WireGuard

<syntaxhighlight lang="bash"> sudo wg-quick up wg0 </syntaxhighlight>

Щоб увімкнути автозапуск при старті системи:

<syntaxhighlight lang="bash"> sudo systemctl enable --now wg-quick@wg0 </syntaxhighlight>

Перевірка стану

<syntaxhighlight lang="bash"> wg show ip addr show wg0 </syntaxhighlight>

Перезапуск

М’який перезапуск через wg-quick:

<syntaxhighlight lang="bash"> sudo wg-quick down wg0 && sudo wg-quick up wg0 </syntaxhighlight>

Перезапуск через systemd, якщо сервіс увімкнений:

<syntaxhighlight lang="bash"> sudo systemctl restart wg-quick@wg0 </syntaxhighlight>

Зупинка

<syntaxhighlight lang="bash"> sudo wg-quick down wg0 </syntaxhighlight>

Щоб вимкнути автозапуск і зупинити тунель:

<syntaxhighlight lang="bash"> sudo systemctl disable --now wg-quick@wg0 </syntaxhighlight>

Шпаргалка команд Linux

Дія Команда
Старт sudo wg-quick up wg0
Зупинка sudo wg-quick down wg0
Перезапуск sudo wg-quick down wg0 && sudo wg-quick up wg0
Стан і лічильники wg show
Увімкнути автозапуск sudo systemctl enable --now wg-quick@wg0
Вимкнути автозапуск sudo systemctl disable --now wg-quick@wg0
Перевірити сервіс systemctl status wg-quick@wg0

Windows

Встановлення клієнта

Для Windows використовується офіційний клієнт WireGuard.

Створення нового тунелю

  1. Відкрити WireGuard.
  2. Натиснути Add Tunnel.
  3. Обрати Add empty tunnel….
  4. Клієнт автоматично згенерує Private Key і Public Key.
  5. Натиснути іконку Copy public key.
  6. Надіслати публічний ключ адміністратору.

Налаштування конфігурації

Для редагування тунелю потрібно натиснути кнопку Edit і заповнити конфігурацію.

<syntaxhighlight lang="ini"> [Interface] PrivateKey = ВставляєтьсяАвтоматичноПриГенераціїНеМіняти Address = IPОтриманийВідАдміна MTU = 1420

[Peer] PublicKey = cx6KJsqfQSBRaG0+Rmy8+0JjbtUf/i/Ri3U+/el2aCY= Endpoint = 185.46.151.62:51820 AllowedIPs = 192.168.20.0/24, 192.168.21.0/24

  1. або 0.0.0.0/0 для full-tunnel

PersistentKeepalive = 25 </syntaxhighlight>

Після збереження конфігурації потрібно натиснути Activate. У вікні клієнта має з’явитися Latest Handshake, а також повинні зростати показники Transfer RX/TX.

Перезапуск у Windows

У застосунку WireGuard:

  1. Натиснути Deactivate.
  2. Потім натиснути Activate.

Якщо тунель встановлено як сервіс, його можна перезапустити командою:

<syntaxhighlight lang="powershell"> "C:\Program Files\WireGuard\wireguard.exe" /restarttunnelservice "<ім'я_тунелю>" </syntaxhighlight>

Перевірка роботи

Для перевірки роботи VPN можна пропінгувати IP-адресу всередині мережі датацентру.

Приклад:

<syntaxhighlight lang="bash"> ping 192.168.20.225 </syntaxhighlight>

Якщо VPN працює коректно, має бути відповідь з обміном пакетами.

Чому обрали WireGuard

Коротка версія

  • Безпека рівня “сьогодні” — сучасна криптографія: Curve25519, ChaCha20-Poly1305, BLAKE2s.
  • Швидкість і стабільність — WireGuard працює в ядрі Linux, має низькі затримки та високу пропускну здатність.
  • Простота — один UDP-порт, короткий конфіг, можливість використання QR-коду для телефону.
  • Роумінг без розривів — автоматичне перемикання між Wi-Fi, 4G, 5G, NAT і CGNAT.
  • Кросплатформеність — Windows, macOS, Linux, iOS, Android, MikroTik v7+.
  • Енергоефективність — менше навантаження на CPU і батарею.
  • Гнучкість доступу — підтримка full-tunnel і split-tunnel.

Детальніше для бізнесу

  1. Закриття RDP та адміністративних сервісів з Інтернету. Доступ відбувається лише через зашифрований тунель, що зменшує ризики брутфорсу та бекдорів.
  2. Продуктивність. У порівнянні з OpenVPN WireGuard має менші накладні витрати, що покращує роботу з файлами, термінальними сесіями та базами даних.
  3. Надійність у польових умовах. WireGuard добре працює при перемиканні мереж, використанні мобільного інтернету та готельних Wi-Fi.
  4. Легке адміністрування. Використовуються ключі замість паролів, статичні peer-конфіги та проста сегментація доступу.
  5. Масштабування. Підходить для site-to-site, віддаленої роботи співробітників і сервісних підключень.

Як впроваджуємо

Наш бік

  • Піднімаємо WireGuard-шлюз.
  • Генеруємо ключі.
  • Визначаємо підмережі.
  • Вмикаємо маршрути та firewall.
  • Готуємо конфіги для ПК і телефонів.
  • За потреби готуємо QR-коди для мобільних пристроїв.

Ваш бік

  • Встановити застосунок або драйвер WireGuard для Windows, macOS, Linux, iOS або Android.
  • Якщо використовується MikroTik — додати peer і маршрут до офісу або сервера.

Режими доступу

  • Split-tunnel — доступ лише до внутрішніх ресурсів.
  • Full-tunnel — весь трафік іде через офіс або сервер.

Вибір режиму залежить від вимог безпеки, комплаєнсу та конкретних задач користувача.

Коли WireGuard особливо вигідний

  • Потрібно вимкнути публічний RDP, VNC або SSH і залишити безпечний доступ усередину мережі.
  • Є мобільні співробітники або підрядники з різних країн чи мереж.
  • Важливі швидкі термінальні сесії, робота з 1С, BAS, ERP, файловий обмін або резервні копії через Інтернет.
  • Потрібне просте рішення з мінімумом конфігурацій і швидким онбордингом нових користувачів.

Див. також

index.php?title=Категорія:VPN index.php?title=Категорія:WireGuard index.php?title=Категорія:Інструкції index.php?title=Категорія:Адміністрування Linux index.php?title=Категорія:Адміністрування Windows

Отримано з https://wiki.erp.kyiv.ua/index.php?title=Налаштування_WireGuard&oldid=57