Follow

Настраиваем собственный сервер VPN WireGuard (с IPv4 и IPv6) для настольного компьютера и смартфона Android

В данной статье мы рассказываем, что такое WireGuard и как поднять собственный сервер VPN на основе этого протокола. Сейчас имеется информация о его частичной блокировке на территории России. Мы эту информацию подтвердить не смогли. В любом случае, решение может оказаться временным. Однако даже в этой ситуации простота и высокая эффективность протокола позволят легко направить его в более скрытный тоннель, например TCP, Tor или Shadowsocks с опциональной обфускацией, о чём мы постараемся рассказать в будущих статьях. К тому же, WireGuard является одним из самых передовых протоколов VPN, о котором стоит знать.

Веб-сайт: causa-arcana.com/blog/2021/09/
Medium: medium.com/causa-arcana/wiregu
IPNS: k51qzi5uqu5ditckag7gw12c301kwx
Tor: a4xu7f2nwqxrraaj3qfiao5cgfyrkp
Yggdrasil: y.causa-arcana.com/blog/2021/0


@rf

@causa_arcana > В файле /etc/sysctl.conf раскомментируем следующие строки

Для это есть /etc/sysctl.d/

> узнать его можно командой sudo ifconfig

Оно как бы deprecated. "ip l" или "ip a"

> или использовать очень длинный пароль (минимум 32 большие и маленькие цифры и буквы)

Совет прям 10 из 10. =\

И нигде не написано, что ядро должно быть минимум версии 5.10, в которой wireguard приняли в дерево. До более старых ядер модуль собирается с помощью dkms.

@radjah Обратная совместимость /etc/sysctl.conf и ifconfig сохраняются, так что оправдаем себя требованием упрощения статьи и собственной привычкой соответственно.

Что не так с рекомендацией по паролю?

Про версию ядра мы не указали, опять же, ради упрощения. Сейчас вроде уже редко встречаются старые ядра. В крайнем случае пользователь сам разберётся.

@causa_arcana > /etc/sysctl.conf
Для юзерских конфигов есть каталог /etc/sysctl.d. Редактировать сам файл не надо, он может быть перезаписан при обновлении.

> Обратная совместимость
Тогда можно вообще в rc.local писать.

> Что не так с рекомендацией по паролю?

Такую белиберду сложно запомнить и легко забыть.

> Сейчас вроде уже редко встречаются старые ядра.
Debian 10 - 4.19
Debian 11 - 5.10. Обновление вышло совсем недавно.

> В крайнем случае пользователь сам разберётся.

Тогда можно было просто дать линк на официальный мануал WG или wg-quick. Там всё то же самое.

@radjah Вроде бы конкретно в Ubuntu 20.04 в самом файле /etc/sysctl.conf написано, что его можно редактировать. Но я проверю. В целом вы правы, конечно. Я не уверен, что это очень важно, но изучу этот вопрос и учту.

Не предполагается, что пароль будет запоминаться. Он должен быть записан или сохранён в менеджере паролей.

Ситуацию с Debian 10 я действительно не учёл. Не пользуюсь им давно как раз из-за медленного обновления версий. Надеюсь, для неопытного пользователя это не будет проблемой, потому что он последует инструкциям и выберет Ubuntu 20.04. А опытный сам разберётся.

В статье есть некоторые тонкости, которые не ясны просто из документации WireGuard. Да и неопытному пользователю проще воспользоваться инструкцией, даже если чего-то в ней не хватает. Я старался учесть всё, но это непросто.

@rf @causa_arcana Но зачем направлять тоннель в "более скрытный тоннель"?

Вся прелесть WG в простоте настройки для популярных сценариев и его высокой производительности.

Если нужен обход блокировок, то надо сразу брать предназначенные для этого средства, чтобы не заниматься двойной работой. WG несколько не про это.

@shuro @rf Проблема в том, что обход блокировок теперь нужен будет всегда. К тому же сами Tor и Shadowsocks не умеют тунеллировать весь трафик. Tor вообще не может работать м UDP. Так что здесь разные уровни просто выполняют разные задачи.

@causa_arcana @rf видел чье-то сообщение в тг чате о блокировке wg. Вылечилось сменой порта на более общеупотребимый, в их том случае на 80.
У меня на 1985м как работало, так и работает, сбоев не было. Оператор Мегафон.

Вот скрипт-инсталлятор, для сокращения количества действий
github.com/angristan/wireguard

Sign in to participate in the conversation
Qoto Mastodon

QOTO: Question Others to Teach Ourselves. A STEM-oriented instance.

An inclusive free speech instance.
All cultures and opinions welcome.
Explicit hate speech and harassment strictly forbidden.
We federate with all servers: we don't block any servers.