تثبيت وتكوين WireGuard على Ubuntu 22.04: دليل شامل وعملي
يشرح هذا الدليل كيفية تثبيت وتكوين برنامج WireGuard على نظام Ubuntu 22.04.

تثبيت وتكوين WireGuard على Ubuntu 22.04: دليل شامل وعملي

  • 10 المشاهدات
  • قراءة دقيقة واحدة
توضح لك هذه المقالة كيفية تثبيت وتكوين WireGuard على Ubuntu 22.04.
إلهي
  • 16 ديسمبر 2025
0 الأسهم
0
0
0
0
0
الأسهم
0
0
0
0
  1. لماذا يجب عليك اختيار WireGuard على نظام Ubuntu 22.04؟
  2. المتطلبات الأساسية
  3. تثبيت برنامج WireGuard على نظام Ubuntu 22.04
  4. توليد المفاتيح وبنية الملفات
  5. تهيئة الخادم - مثال عملي wg0.conf
  6. تهيئة العميل (لينكس، ويندوز، الجوال)
  7. تفعيل توجيه بروتوكول الإنترنت (IP) وترجمة عناوين الشبكة (NAT).
  8. جدار الحماية (UFW/nftables/iptables)
  9. إعداد خدمة WireGuard
  10. تحسين MTU و Keepalive و AllowedIPs
  11. أنواع الأنفاق وعناوين IP المسموح بها
  12. توصيات الخبراء لحالات الاستخدام المختلفة
    1. 1) خادم افتراضي خاص للتداول (الفوركس/العملات الرقمية)
    2. 2) خادم افتراضي للألعاب
    3. 3) الحوسبة السحابية لوحدات معالجة الرسومات، والذكاء الاصطناعي، والمعالجة الرسومية
    4. 4) استضافة المواقع الإلكترونية وقواعد البيانات
  13. الأمن، وتداول المفاتيح، والمراقبة
  14. تكوين واستخدام متعدد النظراء في بيئة الإنتاج
  15. استكشاف الأخطاء وإصلاحها بسرعة
  16. نصائح عملية وتجريبية
  17. الاتصال بخدمات الشركة (أكثر من 85 موقعًا وخدمة)
  18. خاتمة
  19. عرض الخطط والدعم
  20. الأسئلة الشائعة

لماذا يجب عليك اختيار WireGuard على نظام Ubuntu 22.04؟

إذا كنت تبحث عن خدمة VPN حديث، أسلوب، آمن ومع كفاءة عالية لربط خوادم الحوسبة السحابية، أو الخوادم الافتراضية الخاصة (VPS) لأغراض التداول أو الألعاب أو الوصول إلى مجموعات وحدات معالجة الرسومات (GPU)، شبكة سلكية إنه أحد أفضل الخيارات.

يقدم هذا الدليل تعليمات خطوة بخطوة لتثبيت وتكوين وتحسين ونصائح أمنية لإعداد WireGuard على أوبونتو 22.04 يغطي هذا الكتاب أمثلة عملية، وأوامر لينكس، وتكوين الخادم/العميل.

المتطلبات الأساسية

قبل أن تبدأ، ستحتاج إلى:

  • خادم أوبونتو 22.04 مع صلاحيات المستخدم الجذر أو المستخدم ذي صلاحيات sudo.
  • افتح منفذ UDP في جدار الحماية (افتراضيًا) 51820).
  • الوصول إلى جهاز الخادم عبر SSH.
  • اقتراح: استخدم أحد خوادم VPS أو الخوادم السحابية التابعة للشركة مع أكثر من 85 موقعًا عالميًا للحصول على أقل زمن استجابة (ping) وأفضل مسار لبروتوكول BGP.

تثبيت برنامج WireGuard على نظام Ubuntu 22.04

في أوبونتو 22.04، تتوفر حزمة WireGuard عادةً في المستودعات الرسمية. يمكنك استخدام PPA أو Backports إذا كنت بحاجة إلى أحدث إصدار، ولكن حزمة التوزيع الرسمية عادةً ما تكون كافية ومستقرة.

apt update && apt upgrade -y
apt install -y wireguard qrencode iptables-persistent

توليد المفاتيح وبنية الملفات

يوضح المثال التالي كيفية إنشاء مفاتيح الخادم ونموذج عميل. يجب حفظ الملفات بصلاحيات مناسبة لحماية المفاتيح الخاصة.

mkdir -p /etc/wireguard
cd /etc/wireguard
umask 077
wg genkey | tee server_private.key | wg pubkey > server_public.key
wg genkey | tee client_private.key | wg pubkey > client_public.key
chmod 600 /etc/wireguard/*key

تهيئة الخادم - مثال عملي wg0.conf

يوجد ملف تكوين خادم نموذجي في المسار /etc/wireguard/wg0.conf يبدو الأمر كالتالي. استبدل القيم بين قوسين بالقيم الفعلية للمفتاح والبوابة. لاحظ أنه في بيئات الحوسبة السحابية، قد يكون اسم واجهة الشبكة eth0 ليس (على سبيل المثال) ens3 أو ens5).

[Interface]
Address = 10.10.0.1/24
ListenPort = 51820
PrivateKey = <محتوای سرور_private.key>
SaveConfig = true

# NAT هنگام بالا آمدن اینترفیس
PostUp = ip -4 rule add from 10.10.0.0/24 table 51820 || true
PostUp = ip -4 route add default via <SERIAL_IF_GATEWAY> dev eth0 table 51820 || true
PostUp = iptables -t nat -A POSTROUTING -s 10.10.0.0/24 -o eth0 -j MASQUERADE
PostDown = iptables -t nat -D POSTROUTING -s 10.10.0.0/24 -o eth0 -j MASQUERADE

تهيئة العميل (لينكس، ويندوز، الجوال)

نموذج لتكوين عميل Linux أو عميل جوال يقوم بإنشاء نفق كامل:

[Interface]
PrivateKey = <محتوای client_private.key>
Address = 10.10.0.2/32
DNS = 1.1.1.1

[Peer]
PublicKey = <محتوای server_public.key>
Endpoint = your.server.ip.or.hostname:51820
AllowedIPs = 0.0.0.0/0, ::/0
PersistentKeepalive = 25
MTU = 1420

لإنشاء رمز الاستجابة السريعة (QR) للهواتف المحمولة:

qrencode -t ansiutf8 < client.conf

تفعيل توجيه بروتوكول الإنترنت (IP) وترجمة عناوين الشبكة (NAT).

لكي تمر حركة البيانات عبر الخادم، يجب تمكين إعادة توجيه IP وتعيين قواعد NAT المناسبة.

sysctl -w net.ipv4.ip_forward=1
# برای دائمی کردن:
echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/99-wg-forward.conf

جدار الحماية (UFW/nftables/iptables)

فيما يلي نموذج لإعدادات UFW و nftables. إذا كنت تستخدم UFW، فيجب عليك أيضًا تفعيل ip_forward وإضافة قواعد NAT.

ufw allow 51820/udp
ufw allow OpenSSH
echo "net/ipv4/ip_forward=1" > /etc/ufw/sysctl.conf
# اضافه کردن قوانین NAT ممکن است در /etc/ufw/before.rules یا با iptables-persistent انجام شود

مثال على nftables (بديل لـ iptables):

nft add table ip wg
nft 'add chain ip wg postrouting { type nat hook postroute priority 100; }'
nft add rule ip wg postrouting oifname "eth0" ip saddr 10.10.0.0/24 masquerade

إعداد خدمة WireGuard

بعد التكوين، يمكنك تفعيل الخدمة وتشغيلها والتحقق من حالتها.

systemctl enable wg-quick@wg0
systemctl start wg-quick@wg0
wg show
ip a show wg0

تحسين MTU و Keepalive و AllowedIPs

MTU: القيمة الافتراضية 1420 غالباً ما يكون ذلك مناسباً؛ في الحالات ذات التكاليف العامة الأعلى، قد يكون من الضروري التخفيض إلى 1380 يكون.

خاصية البقاء على قيد الحياة المستمرة: كمية 25 مناسب للعملاء لتجنب انقطاع اتصال NAT.

عناوين IP المسموح بها: في برنامج WireGuard، يعمل كجهاز توجيه ومرشح في آن واحد - قم بتكوينه بعناية.

أنواع الأنفاق وعناوين IP المسموح بها

نمطان شائعان:

  • نفق كاملعناوين IP المسموح بها = 0.0.0.0/0، ::/0
  • نفق منفصل: لا تتضمن عناوين IP المسموح بها إلا الشبكات التي يجب أن تمر عبر VPN (على سبيل المثال 10.10.0.0/24 أو 192.168.1.0/24).

توصيات الخبراء لحالات الاستخدام المختلفة

1) خادم افتراضي خاص للتداول (الفوركس/العملات الرقمية)

لأغراض التداول، من المهم اختيار موقع قريب من خوادم البورصة. من بين أكثر من 85 موقعًا، اختر أقرب مركز بيانات مزود بمسار BGP منخفض زمن الاستجابة لتقليل زمن الوصول.

إعدادات: نفق كامل مع جدار حماية مقيد ووحدة نقل بيانات قياسية، مع خاصية إبقاء الاتصال ثابتة.

حماية: قم بتقييد الوصول عبر SSH إلى عنوان IP الداخلي لشبكة VPN واستخدم خادمًا مخصصًا أو خادمًا افتراضيًا خاصًا مزودًا بحماية ضد هجمات DDoS.

2) خادم افتراضي للألعاب

للألعاب، اختر موقعًا قريبًا من خوادم اللعبة أو مزود خدمة الإنترنت الخاص باللاعب. يمكن لتقنية النفق المقسم، التي تُمرر بيانات اللعبة فقط عبر الشبكة الافتراضية الخاصة (VPN)، أن تُحسّن زمن الاستجابة (ping).

تقليل زمن الاستجابة (ping): يوصى باستخدام بروتوكول UDP، و MTU المناسب، وخادم مزود بواجهة شبكة بسرعة 10 جيجابت في الثانية.

3) الحوسبة السحابية لوحدات معالجة الرسومات، والذكاء الاصطناعي، والمعالجة الرسومية

يُعدّ WireGuard مناسبًا للوصول الآمن والسريع إلى خوادم وحدات معالجة الرسومات أو مجموعات العرض. ويُعدّ اختيار موقع ذي اتصالات مباشرة بمراكز بيانات الذكاء الاصطناعي أو البنية التحتية للشبكة أمرًا بالغ الأهمية لنقل البيانات الضخمة.

إعدادات: تقتصر عناوين IP المسموح بها على الشبكة الفرعية للمجموعة وتستخدم معلمات جودة الخدمة على مستوى الشبكة.

4) استضافة المواقع الإلكترونية وقواعد البيانات

يمكنك استخدام WireGuard كشبكة خاصة معزولة لتأمين الاتصال بين خوادم الويب وقواعد البيانات. يتم الاحتفاظ بحركة بيانات الإدارة على الشبكة العامة عبر VPN والويب العام.

الأمن، وتداول المفاتيح، والمراقبة

أهم نصائح الصيانة والسلامة:

  • الصيانة الأساسية: لا ينبغي نشر المفتاح الخاص مطلقًا؛ ويوصى باستخدام نظام ملفات مشفر للخوادم الحساسة.
  • تدوير المفتاح: ضع جدولاً زمنياً لتجديد المفاتيح؛ أضف نظراء جدد قبل حذف المفاتيح القديمة لتجنب حدوث انقطاع.
  • التسجيل والمراقبة: من أدوات مثل wgاستخدم iptables و fail2ban وسجلات Prometheus/Grafana للمراقبة.
  • تقييد الوصول: قم بتقييد كل نظير بعنوان IP/خدمة محددة وتجنب استخدام عناوين IP المسموح بها عالميًا دون سبب.

تكوين واستخدام متعدد النظراء في بيئة الإنتاج

لإضافة عدة عملاء، ما عليك سوى النقر على القسم. [نظير] أضف خادمًا لحظر البيانات لكل عميل. يُعدّ WireGuard مناسبًا لعدد كبير من النظراء، ولكن عند التعامل مع آلاف العملاء، يُنصح باستخدام نظام تنسيق أو موازن أحمال.

[Peer]
PublicKey = <client1_pubkey>
AllowedIPs = 10.10.0.2/32

[Peer]
PublicKey = <client2_pubkey>
AllowedIPs = 10.10.0.3/32

استكشاف الأخطاء وإصلاحها بسرعة

نصائح وإرشادات لحل المشكلات:

  • عرض wg: تحقق من الحالة، وإحصائيات الاستقبال/الإرسال، وآخر عملية مصافحة.
  • journalctl -u wg-quick@wg0 -e: عرض سجلات الخدمة.
  • tcpdump -i wg0: فحص الطرود داخل النفق.
  • إذا لم تنجح عملية المصافحة، فتأكد من أن منفذ UDP مفتوح على جدار الحماية الخاص بك ومزود NAT (تتطلب بعض شبكات NAT المنزلية إعادة توجيه المنفذ).

نصائح عملية وتجريبية

تجارب عملية للشركات الناشئة المستدامة:

  • في الشبكات التي تستخدم تقنية ترجمة عناوين الشبكة الخاصة بالناقل (Carrier NAT)، قد يكون من الضروري استخدام منافذ غير عادية أو استخدام جهاز ترحيل/جسر.
  • بالنسبة للعملاء المتنقلين والعملاء ذوي عناوين IP الديناميكية، فإن استخدام خاصية PersistentKeepalive مفيد.
  • يمكن أن يؤدي وضع بوابة WireGuard في موقع متصل مباشرة بشبكة توصيل المحتوى (CDN) إلى تحسين الحمل وزمن الاستجابة.

الاتصال بخدمات الشركة (أكثر من 85 موقعًا وخدمة)

إذا كنت ترغب في تطبيق بروتوكول WireGuard على بنية تحتية عالمية، فضع في اعتبارك أكثر من 85 موقعًا يمكنك اختيار أقرب موقع لمركز بيانات الشركة لتقليل زمن الاستجابة وتحسين المسار. تشمل الخدمات المقدمة ما يلي:

  • خادم افتراضي خاص (VPS) للتداول مع زمن استجابة منخفض وحماية من هجمات DDoS
  • خادم افتراضي خاص للألعاب بواجهة شبكة منخفضة زمن الاستجابة
  • خادم رسومات (سحابة وحدة معالجة الرسومات) للذكاء الاصطناعي والعرض مع وصول آمن عبر WireGuard
  • خوادم مخصصة وخوادم سحابية مزودة ببروتوكول BGP/Direct Connect واتصال CDN لحركة مرور الويب
  • استضافة GitLab وقاعدة البيانات على شبكة WireGuard الداخلية لمزيد من الأمان

خاتمة

WireGuard عبارة عن شبكة افتراضية خاصة (VPN) سريعة وبسيطة وآمنة، سهلة التثبيت والإعداد على نظام Ubuntu 22.04. باتباع النصائح المذكورة أعلاه، يمكنك توفير نفق آمن ومنخفض التأخير وموثوق به للتداول أو الألعاب أو الذكاء الاصطناعي أو الشبكات الداخلية.

من أجل السلامة دائماً المفتاح الخاص احمِ شبكتك، وقم بإعداد جدار حماية مناسب، و عناوين IP المسموح بها اجعله محدوداً.

عرض الخطط والدعم

يمكنك الاختيار من بين باقات الشركة للخوادم الافتراضية الخاصة (VPS) والخوادم المخصصة وحلول الحوسبة السحابية المدعومة بوحدات معالجة الرسومات (GPU Cloud) للانطلاق على بنية تحتية عالمية المستوى. فريق الشركة التقني جاهز لتقديم الدعم اللازم للتكوين الاحترافي، واختيار الموقع الأمثل، وإعداد شبكة WireGuard، عند الحاجة.

الأسئلة الشائعة

في هذه المقالة:
تم كتابة التدوينة بواسطة:
يتبع
المقال السابق
المقال التالي
قد يعجبك أيضاً