Ubuntu 22.04'te WireGuard Kurulumu ve Yapılandırması: Kapsamlı ve Pratik Bir Kılavuz

Ubuntu 22.04'te WireGuard'ı neden tercih etmelisiniz?

Eğer bir VPN arıyorsanız Modern, Stil, Güvenli Ve bununla birlikte Yüksek verimlilik Bulut sunucularına, alım satım, oyun veya GPU kümelerine erişim için VPS'lere bağlanmak için, WireGuard Bu, en iyi seçeneklerden biridir.

Bu kılavuz, WireGuard'ı kurmak, yapılandırmak, optimize etmek ve güvenlik ipuçlarını ayarlamak için adım adım talimatlar sunmaktadır. Ubuntu 22.04 Pratik örnekler, Linux komutları ve sunucu/istemci yapılandırmasını kapsar.

Ön koşullar

Başlamadan önce şunlara ihtiyacınız var:

• Bir sunucu Ubuntu 22.04 Root veya sudo kullanıcı erişimiyle.
• Güvenlik duvarında UDP portunu açın (varsayılan) 51820).
• Sunucu makinesine SSH erişimi.
• Öneri: Şirketin VPS veya bulut sunucularından birini kullanın. 85'ten fazla küresel lokasyon En düşük ping ve en iyi BGP yönlendirmesi için.

Ubuntu 22.04'e WireGuard Kurulumu

Ubuntu 22.04'te WireGuard paketi genellikle resmi depolarda mevcuttur. En son sürüme ihtiyacınız varsa PPA veya backports kullanabilirsiniz, ancak resmi dağıtım paketi genellikle yeterli ve kararlıdır.

apt update && apt upgrade -y
apt install -y wireguard qrencode iptables-persistent

Anahtarların ve dosya yapısının oluşturulması

Aşağıdaki örnek, sunucu anahtarlarının ve örnek bir istemcinin oluşturulmasını göstermektedir. Özel anahtarları korumak için dosyalar uygun izinlerle kaydedilmelidir.

mkdir -p /etc/wireguard
cd /etc/wireguard
umask 077
wg genkey | tee server_private.key | wg pubkey > server_public.key
wg genkey | tee client_private.key | wg pubkey > client_public.key
chmod 600 /etc/wireguard/*key

Sunucu Yapılandırması — Pratik Örnek wg0.conf

Belirtilen yolda örnek bir sunucu yapılandırma dosyası. /etc/wireguard/wg0.conf Şöyle görünüyor. Parantez içindeki değerleri anahtar ve ağ geçidi için gerçek değerlerle değiştirin. Bulut ortamlarında ağ arayüzü adının farklı olabileceğini unutmayın. eth0 (Örneğin) Değil ens3 Veya ens5).

[Interface]
Address = 10.10.0.1/24
ListenPort = 51820
PrivateKey = <محتوای سرور_private.key>
SaveConfig = true

# NAT هنگام بالا آمدن اینترفیس
PostUp = ip -4 rule add from 10.10.0.0/24 table 51820 || true
PostUp = ip -4 route add default via <SERIAL_IF_GATEWAY> dev eth0 table 51820 || true
PostUp = iptables -t nat -A POSTROUTING -s 10.10.0.0/24 -o eth0 -j MASQUERADE
PostDown = iptables -t nat -D POSTROUTING -s 10.10.0.0/24 -o eth0 -j MASQUERADE

İstemci yapılandırması (Linux, Windows, mobil)

Linux veya mobil istemci için tam tünel oluşturan örnek bir yapılandırma:

[Interface]
PrivateKey = <محتوای client_private.key>
Address = 10.10.0.2/32
DNS = 1.1.1.1

[Peer]
PublicKey = <محتوای server_public.key>
Endpoint = your.server.ip.or.hostname:51820
AllowedIPs = 0.0.0.0/0, ::/0
PersistentKeepalive = 25
MTU = 1420

Mobil cihazlar için QR kodu oluşturmak için:

qrencode -t ansiutf8 < client.conf

IP Yönlendirme ve NAT'ı Etkinleştirme

Trafiğin sunucu üzerinden geçebilmesi için IP yönlendirmesinin etkinleştirilmesi ve uygun NAT kurallarının ayarlanması gerekmektedir.

sysctl -w net.ipv4.ip_forward=1
# برای دائمی کردن:
echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/99-wg-forward.conf

Güvenlik Duvarı (UFW/nftables/iptables)

İşte UFW ve nftables için örnek bir yapılandırma. UFW kullanıyorsanız, ip_forward'ı da etkinleştirmeniz ve NAT kuralları eklemeniz gerekir.

ufw allow 51820/udp
ufw allow OpenSSH
echo "net/ipv4/ip_forward=1" > /etc/ufw/sysctl.conf
# اضافه کردن قوانین NAT ممکن است در /etc/ufw/before.rules یا با iptables-persistent انجام شود

nftables örneği (iptables alternatifi):

nft add table ip wg
nft 'add chain ip wg postrouting { type nat hook postroute priority 100; }'
nft add rule ip wg postrouting oifname "eth0" ip saddr 10.10.0.0/24 masquerade

WireGuard hizmetinin kurulumu

Yapılandırmanın ardından, hizmeti etkinleştirebilir, çalıştırabilir ve durumunu kontrol edebilirsiniz.

systemctl enable wg-quick@wg0
systemctl start wg-quick@wg0
wg show
ip a show wg0

MTU, Keepalive ve AllowedIPs optimizasyonu

MTU: Varsayılan değer 1420 Genellikle uygundur; daha yüksek genel giderlerin olduğu durumlarda, azaltmak gerekebilir. 1380 Olmak.

KalıcıHayattaKaldır: Miktar 25 Müşterilerin NAT zaman aşımı sorunlarını önlemesi için uygundur.

İzin verilen IP adresleri: WireGuard'da hem yönlendirici hem de filtre görevi görür; bu nedenle dikkatlice yapılandırın.

Tünel türleri ve İzin Verilen IP adresleri

İki yaygın model:

• Tam tünel: İzin VerilenIP'ler = 0.0.0.0/0, ::/0
• Bölünmüş tünelAllowedIPs yalnızca VPN üzerinden geçmesi gereken ağları içerir (örneğin 10.10.0.0/24 veya 192.168.1.0/24).

Farklı kullanım durumları için uzman önerileri

1) Forex/Kripto para ticareti için VPS

Alım satım işlemleri için, borsa sunucularına yakın bir konum seçmek önemlidir. 85'ten fazla konum arasından, gecikmeyi azaltmak için düşük gecikmeli BGP rotasına sahip en yakın veri merkezini seçin.

Yapılandırma: Kısıtlayıcı güvenlik duvarı ve standart MTU ile tam tünel, sabit bağlantı kesme özelliği.

Güvenlik: SSH erişimini VPN'in dahili IP adresiyle sınırlandırın ve DDoS koruması bulunan özel bir sunucu veya VPS kullanın.

2) Oyun VPS'si

Oyun oynarken, oyun sunucularına veya oyuncunun internet servis sağlayıcısına yakın bir konum seçin. VPN üzerinden yalnızca oyun trafiğini göndermek için kullanılan bölünmüş tünelleme, daha iyi ping sağlayabilir.

Ping değerini düşürün: UDP, uygun MTU ve 10 Gbps ağ arayüzüne sahip bir sunucu kullanılması önerilir.

3) GPU Bulut, Yapay Zeka ve İşleme

WireGuard, GPU sunucularına veya işleme kümelerine güvenli ve hızlı erişim için uygundur. Büyük veri transferleri için yapay zeka veri merkezlerine veya ağ omurgalarına doğrudan bağlantısı olan bir konum seçmek önemlidir.

Yapılandırma: AllowedIP'ler küme alt ağıyla sınırlıdır ve ağ düzeyinde QoS parametrelerini kullanır.

4) Web barındırma ve veritabanı

WireGuard'ı web sunucuları ve veritabanları arasında güvenli iletişim için izole edilmiş özel bir ağ olarak kullanabilirsiniz. Yönetim trafiği VPN ve genel web üzerinden genel ağda tutulur.

Güvenlik, anahtar dolaşımı ve izleme

Önemli bakım ve güvenlik ipuçları:

• Anahtar bakımı: Özel anahtar asla yayınlanmamalıdır; hassas sunucular için şifrelenmiş bir dosya sistemi kullanılması önerilir.
• Tuş Döndürme: Anahtarların yenilenmesi için bir planınız olsun; aksaklıkları önlemek için eski anahtarları silmeden önce yeni eşleri ekleyin.
• Kayıt tutma ve izleme: Şu gibi araçlardan: wgİzleme için iptables, fail2ban ve Prometheus/Grafana günlüklerini kullanın.
• Erişimi kısıtla: Her bir Eş'i belirli bir IP/hizmetle sınırlandırın ve sebepsiz yere genel İzin Verilen IP'lerden kaçının.

Üretim ortamında çoklu eş yapılandırması ve kullanımı

Birden fazla müşteri eklemek için ilgili bölüme tıklamanız yeterlidir. [Akran] Her istemci için bir blok sunucusu ekleyin. WireGuard çok sayıda eş için uygundur, ancak binlerce istemci ölçeğinde orkestrasyon veya yük dengeleyici kullanılmalıdır.

[Peer]
PublicKey = <client1_pubkey>
AllowedIPs = 10.10.0.2/32

[Peer]
PublicKey = <client2_pubkey>
AllowedIPs = 10.10.0.3/32

Hızlı sorun giderme

Sorun giderme ipuçları ve talimatları:

• wg gösterisiDurumu, RX/TX istatistiklerini ve son el sıkışmayı kontrol edin.
• journalctl -u wg-quick@wg0 -eServis kayıtlarını görüntüle.
• tcpdump -i wg0Tünel içindeki paketler kontrol ediliyor.
• Eğer bağlantı kurulmazsa, güvenlik duvarınızda ve NAT sağlayıcınızda UDP portunun açık olduğundan emin olun (bazı ev NAT ağları port yönlendirmesi gerektirir).

Pratik ve deneysel ipuçları

Sürdürülebilir girişimler için pratik deneyimler:

• Carrier NAT kullanan ağlarda, alışılmadık portlar veya röle/köprü kullanımı gerekebilir.
• Mobil istemciler ve dinamik IP adresine sahip istemciler için PersistentKeepalive kullanmak faydalıdır.
• WireGuard ağ geçidini CDN'ye doğrudan bağlantısı olan bir konuma yerleştirmek, yükü ve gecikmeyi optimize edebilir.

Şirket hizmetlerine bağlantı (85'ten fazla lokasyon ve hizmet)

Küresel bir altyapıda WireGuard'ı uygulamak istiyorsanız, şunları göz önünde bulundurun: 85'ten fazla lokasyon Ping süresini azaltmak ve rotayı iyileştirmek için şirketin veri merkezine en yakın konumu seçebilirsiniz. Sağlanan hizmetler şunlardır:

• Düşük ping ve DDoS koruması ile işlem yapabileceğiniz VPS
• Düşük gecikmeli ağ arayüzüne sahip oyun VPS'si
• WireGuard üzerinden güvenli erişime sahip yapay zeka ve görüntü oluşturma için grafik sunucusu (GPU Cloud).
• Web trafiği için BGP/Direct Connect ve CDN bağlantısına sahip özel ve bulut sunucuları.
• GitLab ve veritabanı barındırma işlemleri, ek güvenlik için WireGuard iç ağında gerçekleştiriliyor.

Çözüm

WireGuard, Ubuntu 22.04'te kurulumu ve yapılandırması kolay, hızlı, basit ve güvenli bir VPN'dir. Yukarıdaki ipuçlarını izleyerek, alım satım, oyun, yapay zeka veya iç ağlar için güvenli, düşük gecikmeli ve güvenilir bir tünel sağlayabilirsiniz.

Güvenlik için her zaman özel anahtar Ağınızı koruyun, uygun bir güvenlik duvarı kurun ve İzin verilen IP adresleri Sınırlı tutun.

Planları ve desteği görüntüleyin

Şirketin VPS, özel sunucu ve GPU Bulut planlarından birini seçerek küresel ölçekte kullanılabilen bir altyapı üzerinde çalışmaya başlayabilirsiniz. Şirketin teknik ekibi, gerekirse profesyonel yapılandırma, en uygun konum seçimi ve WireGuard ağ kurulumu için destek sağlamaya hazırdır.

Sıkça Sorulan Sorular