新一代VPN WireGuard
這一篇用了相當多的時間整理, 不是因為設定困難。
是因為香港環境急速轉變,對網絡的監控情況日漸增加。
上年才笑著說香港未至於像國內要翻牆才能看國外網站。但到今天看到的事情發生,不寒而慄的環境和氣氛。距離不遠了。
情況就等於一頭自由奔跑的野生動物,被一個馴獸師捉住,放入一個大鐵籠,用不同的方法降服。再把大鐵籠的活動空間慢慢縮小。
鐵籠只有一道缺口,有能力者就可以逃離。冇能力者的只能服從。我們只能用可以做的能力保護自己。
WireGuard比OpenVPN的設定簡單,又能做到同等安全的數據連線。
我在一個Ubuntu 20.04 上安裝,不難的。只是有啲煩瑣,一步一步跟住做就可以了!
安裝WireGuard
apt update && apt install wireguard
安裝完畢, 到設定工作.
建立加密鎖匙PSK
建立私密匙和公鎖匙
把加密匙Copy 出來, 放在你的Notepad 上。往後要放在客戶端。
cat psk
cat publickey
設定WireGuard
用nano 打開設定檔
nano /etc/wireguard/wg0.conf
把以下的都Copy 然後貼上(Orcale 網絡卡預定是ens3)
[Interface]
Address = 10.192.122.1/24
SaveConfig = false
PostUp = iptables -A FORWARD -i %i -j ACCEPT;iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT;iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o ens3 -j MASQUERADE
ListenPort = 51820
把privatekey 寫進設定檔
Firewall 設定
echo “net.ipv4.ip_forward = 1” >> /etc/sysctl.conf
sysctl -p
iptables -A INPUT -p udp -m state — state NEW -m udp — dport 51820 -m comment — comment WireGuard -j ACCEPT
試起動
wg
起動成功後,把WireGuard設定為一個長註的服務器, 請Copy 貼上運行
wg-quick down wg0
systemctl start wg-quick@wg0.service
systemctl enable wg-quick@wg0.service
systemctl status wg-quick@wg0.service
加客戶端
先暫停咗個服務器
systemctl stop wg-quick@wg0.service
在客戶端安裝和開啟軟件, 按新增
回到伺服器上運行這些指令
echo >> /etc/wireguard/wg0.conf
echo [Peer] >> /etc/wireguard/wg0.conf
echo PublicKey = >> /etc/wireguard/wg0.conf
echo PresharedKey = $(cat /etc/wireguard/psk) >> /etc/wireguard/wg0.conf
echo AllowedIPs = >> /etc/wireguard/wg0.conf
打開設定檔
把在客戶端上的Public Key Copy , 貼在PublicKey = 的後面
AllowedIPS 要依次序加上,不能重覆. 本例子是會用 10.192.122.2/32
存檔後離開,把檔案加上保護權限。
k,/etc/wireguard/publickey}
重啟Wireguard.
systemctl start wg-quick@wg0.service
把Orcale VPS 的 UDP Port 開啟(上一篇有講, 不再多說了)
回到客戶端
完成後開啓試試, 當在Transfer 的rx 和tx 有數字跳動, 即是連線成功了!
我已經介紹了兩個簡單的VPN 架設, 接下來的目標是DNS 的安全.
在連上VPN 後, 都會有機會被別有用心的人知道你去了那個網址. 下一篇會說.
