Instalación y configuración de WireGuard en Ubuntu 22.04: una guía completa y práctica

¿Por qué debería elegir WireGuard en Ubuntu 22.04?

Si estás buscando una VPN Moderno, Estilo, Seguro Y con Alta eficiencia Para conectar servidores en la nube, VPS para comercio, juegos o acceder a clústeres de GPU, WireGuard Es una de las mejores opciones.

Esta guía proporciona instrucciones paso a paso para instalar, configurar, optimizar y consejos de seguridad para configurar WireGuard en Ubuntu 22.04 Cubre ejemplos prácticos, comandos de Linux y configuración de servidor/cliente.

Requisitos previos

Antes de empezar necesitas:

• Un servidor Ubuntu 22.04 Con acceso de usuario root o sudo.
• Abrir el puerto UDP en el firewall (predeterminado) 51820).
• Acceso SSH a la máquina servidor.
• Sugerencia: Utilice uno de los servidores VPS o en la nube de la empresa con Más de 85 ubicaciones en todo el mundo Para el ping más bajo y la mejor ruta BGP.

Instalación de WireGuard en Ubuntu 22.04

En Ubuntu 22.04, el paquete Wireguard suele estar disponible en los repositorios oficiales. Puedes usar PPA o versiones anteriores si necesitas la última versión, pero el paquete de distribución oficial suele ser suficiente y estable.

apt update && apt upgrade -y
apt install -y wireguard qrencode iptables-persistent

Generación de claves y estructura de archivos

El siguiente ejemplo muestra la generación de claves de servidor y un cliente de muestra. Los archivos deben guardarse con los permisos adecuados para proteger las claves privadas.

mkdir -p /etc/wireguard
cd /etc/wireguard
umask 077
wg genkey | tee server_private.key | wg pubkey > server_public.key
wg genkey | tee client_private.key | wg pubkey > client_public.key
chmod 600 /etc/wireguard/*key

Configuración del servidor: ejemplo práctico wg0.conf

Un archivo de configuración de servidor de muestra en la ruta /etc/wireguard/wg0.conf Se ve así. Reemplace los valores entre paréntesis con los valores reales de clave y puerta de enlace. Tenga en cuenta que en entornos de nube, el nombre de la interfaz de red puede ser... eth0 No (por ejemplo) ens3 O ens5).

[Interface]
Address = 10.10.0.1/24
ListenPort = 51820
PrivateKey = <محتوای سرور_private.key>
SaveConfig = true

# NAT هنگام بالا آمدن اینترفیس
PostUp = ip -4 rule add from 10.10.0.0/24 table 51820 || true
PostUp = ip -4 route add default via <SERIAL_IF_GATEWAY> dev eth0 table 51820 || true
PostUp = iptables -t nat -A POSTROUTING -s 10.10.0.0/24 -o eth0 -j MASQUERADE
PostDown = iptables -t nat -D POSTROUTING -s 10.10.0.0/24 -o eth0 -j MASQUERADE

Configuración del cliente (Linux, Windows, móvil)

Una configuración de muestra para un cliente Linux o móvil que crea un túnel completo:

[Interface]
PrivateKey = <محتوای client_private.key>
Address = 10.10.0.2/32
DNS = 1.1.1.1

[Peer]
PublicKey = <محتوای server_public.key>
Endpoint = your.server.ip.or.hostname:51820
AllowedIPs = 0.0.0.0/0, ::/0
PersistentKeepalive = 25
MTU = 1420

Para generar un código QR para móvil:

qrencode -t ansiutf8 < client.conf

Habilitación del reenvío de IP y NAT

Para que el tráfico pase a través del servidor, se debe habilitar el reenvío de IP y se deben configurar reglas NAT adecuadas.

sysctl -w net.ipv4.ip_forward=1
# برای دائمی کردن:
echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/99-wg-forward.conf

Cortafuegos (UFW/nftables/iptables)

Aquí tienes un ejemplo de configuración para UFW y nftables. Si usas UFW, también debes habilitar ip_forward y agregar reglas NAT.

ufw allow 51820/udp
ufw allow OpenSSH
echo "net/ipv4/ip_forward=1" > /etc/ufw/sysctl.conf
# اضافه کردن قوانین NAT ممکن است در /etc/ufw/before.rules یا با iptables-persistent انجام شود

Ejemplo de nftables (alternativa a iptables):

nft add table ip wg
nft 'add chain ip wg postrouting { type nat hook postroute priority 100; }'
nft add rule ip wg postrouting oifname "eth0" ip saddr 10.10.0.0/24 masquerade

Configuración del servicio WireGuard

Después de la configuración, puede habilitar y ejecutar el servicio y verificar su estado.

systemctl enable wg-quick@wg0
systemctl start wg-quick@wg0
wg show
ip a show wg0

Optimización de MTU, Keepalive y AllowedIPs

Unidad de medida máxima: Valor predeterminado 1420 A menudo es apropiado; en casos con gastos generales más altos, puede ser necesario reducir a 1380 Ser.

Persistente Keepalive: Cantidad 25 Adecuado para que los clientes eviten tiempos de espera de NAT.

IPs permitidas: En WireGuard, actúa como enrutador y filtro: configúrelo con cuidado.

Tipos de túneles e IP permitidas

Dos patrones comunes:

• Túnel completo:IPs permitidas = 0.0.0.0/0, ::/0
• Túnel dividido:PermitidoIPs solo incluye redes que deben pasar a través de la VPN (por ejemplo, 10.10.0.0/24 o 192.168.1.0/24).

Recomendaciones de expertos para diferentes casos de uso

1) VPS para trading (Forex/Criptomonedas)

Para operar, es importante elegir una ubicación cercana a los servidores de intercambio. De entre más de 85 ubicaciones, elija el centro de datos más cercano con una ruta BGP de baja latencia para reducirla.

Configuración: Túnel completo con firewall restrictivo y MTU estándar, keepalive fijo.

Seguridad: Restrinja el acceso SSH a la IP interna de la VPN y utilice un servidor dedicado o VPS con Anti-DDoS.

2) VPS para juegos

Para jugar, elige una ubicación cercana a los servidores del juego o al ISP del jugador. El túnel dividido, que envía solo el tráfico del juego a través de la VPN, puede proporcionar un mejor ping.

Reducir el ping: Se recomienda utilizar UDP, MTU adecuada y un servidor con una interfaz de red de 10 Gbps.

3) GPU Cloud, IA y renderizado

WireGuard es ideal para un acceso seguro y rápido a servidores GPU o clústeres de renderizado. Elegir una ubicación con conexiones directas a centros de datos de IA o redes troncales es fundamental para grandes transferencias de datos.

Configuración: Las IP permitidas están limitadas a la subred del clúster y utilizan parámetros de QoS a nivel de red.

4) Alojamiento web y base de datos

Puede usar WireGuard como una red privada aislada para la comunicación segura entre servidores web y bases de datos. El tráfico de administración se mantiene en la red pública mediante VPN y la web pública.

Seguridad, circulación de claves y monitoreo

Consejos clave de mantenimiento y seguridad:

• Mantenimiento de claves: La clave privada nunca debe publicarse; se recomienda utilizar un sistema de archivos cifrado para servidores sensibles.
• Rotación de claves: Tenga un cronograma para renovar claves; agregue nuevos pares antes de eliminar claves antiguas para evitar interrupciones.
• Registro y monitoreo: Desde herramientas como grupo de trabajoUtilice iptables, fail2ban y registros de Prometheus/Grafana para la supervisión.
• Restringir el acceso: Restrinja cada Peer a una IP/servicio específico y evite IP globales permitidas sin razón.

Configuración y uso multi-peer en entorno de producción

Para agregar varios clientes, simplemente haga clic en la sección [Par] Agregue un servidor de bloques para cada cliente. WireGuard es adecuado para una gran cantidad de pares, pero a escala de miles de clientes, se recomienda usar orquestación o un balanceador de carga.

[Peer]
PublicKey = <client1_pubkey>
AllowedIPs = 10.10.0.2/32

[Peer]
PublicKey = <client2_pubkey>
AllowedIPs = 10.10.0.3/32

Solución rápida de problemas

Consejos e instrucciones para la solución de problemas:

• espectáculo de wg:Verifique el estado, las estadísticas RX/TX y el último protocolo de enlace.
• journalctl -u wg-quick@wg0 -e:Ver registros de servicio.
• tcpdump -i wg0:Comprobación de paquetes dentro del túnel.
• Si el protocolo de enlace no funciona, asegúrese de que el puerto UDP esté abierto en su firewall y en su proveedor de NAT (algunas redes NAT domésticas requieren reenvío de puertos).

Consejos prácticos y experimentales

Experiencias prácticas para startups sostenibles:

• En redes con Carrier NAT, pueden requerirse puertos inusuales o el uso de un relé/puente.
• Para clientes móviles y clientes con IP dinámica, es útil utilizar PersistentKeepalive.
• Colocar la puerta de enlace WireGuard en una ubicación con una conexión directa a la CDN puede optimizar la carga y la latencia.

Conexión con servicios de la empresa (más de 85 ubicaciones y servicios)

Si desea implementar WireGuard en una infraestructura global, considere Más de 85 ubicaciones Puede elegir la ubicación más cercana al centro de datos de la empresa para reducir el ping y optimizar la ruta. Los servicios que se ofrecen incluyen:

• VPS para trading con ping bajo y Anti-DDoS
• VPS para juegos con interfaz de red de baja latencia
• Servidor de gráficos (GPU Cloud) para IA y renderizado con acceso seguro a través de WireGuard
• Servidores dedicados y en la nube con conectividad BGP/Direct Connect y CDN para tráfico web
• GitLab y alojamiento de bases de datos en la red interna de WireGuard para mayor seguridad

Conclusión

WireGuard es una VPN rápida, sencilla y segura, fácil de instalar y configurar en Ubuntu 22.04. Siguiendo los consejos anteriores, puede proporcionar un túnel seguro, de baja latencia y fiable para comercio, juegos, IA o redes internas.

Por seguridad siempre clave privada Proteja su red, configure un firewall adecuado y IP permitidas Mantenlo limitado.

Ver planes y soporte

Puede elegir entre los planes de VPS, servidores dedicados y GPU Cloud de la compañía para su lanzamiento en una infraestructura con capacidad global. El equipo técnico de la compañía está listo para brindar soporte para la configuración profesional, la selección de la ubicación óptima y la configuración de la red WireGuard, si es necesario.

Preguntas frecuentes