wireguard研究

最新推荐文章于 2025-10-01 18:01:01 发布
原创 最新推荐文章于 2025-10-01 18:01:01 发布 · 2.6k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #linux #运维

WireGuard测试报告

wireguard简介
WireGuard 是由 Jason Donenfeld 等人用 C 语言编写的一个开源 VPN 协议,被视为下一代 VPN 协议,旨在解决许多困扰 IPSec/IKEv2、OpenVPN 或 L2TP 等其他 VPN 协议的问题。它与 Tinc 和 MeshBird 等现代 VPN 产品有一些相似之处,即加密技术先进、配置简单。从 2020 年 1 月开始,它已经并入了 Linux 内核的 5.6 版本,这意味着大多数 Linux 发行版的用户将拥有一个开箱即用的 WireGuard。

一、测试环境
环境说明
在这里插入图片描述

1 R2跟R3之间通过R1(用武汉办华为交换机替代)跨网段互联互通,R1交换机缺省指定到武汉办出口设备NetMizer模拟运营商线路。

interface Vlanif66
ip address 192.168.66.1 255.255.255.0
ip address 22.22.22.1 255.255.255.252 sub

interface Vlanif77
ip address 22.22.23.1 255.255.255.252
ip address 192.168.77.1 255.255.255.0 sub

interface GigabitEthernet0/0/3
description LINK_TO_GEN8_SERVICE
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 66 77

ip route-static 0.0.0.0 0.0.0.0 192.168.0.254

2 PC将各自的缺省路由指定到对应的汇聚路由。

3 R4、R5缺省给R2,R6、R7缺省给R3。

4 R2 R3上面安装wireguard

Sudo apt install wireguard

5 R2 R3指定各自PC网段路由。

二、测试目的
1 测试wirguard路由能否通过脚本或配置文件自动生成。

2 测试客户路由能否通过wirguard隧道实现三层的互通。

3 测试wirguard之间能否建立双隧道。

4 测试wirguard能否实现双隧道之间的三层互通。

三、测试结论
1 路由生成

1 R2 R3之间建立wirguard隧道,R2-wg0使用隧道地址10.10.10.1/30,R3-wg0使用隧道地址10.10.10.2/30
1 生成key
Cd/etc/wireguard
wg genkey | tee privatekey | wg pubkey > publickey

2 wirguard配置
R2
root@pengxiao-virtual-machine:/etc/wireguard# cat wg0.conf
[Interface]
PrivateKey = EDUMmc9hXfLJ05Cod6XgaFaKFD6TTHb2u7xILjFaC1k=
ListenPort = 56560
Address = 10.10.10.1/32

[Peer]
PublicKey = HUCKOLKXBV53bpiqGCtY61RbNrvbotYCCKcWifjjb2c=
AllowedIPs = 10.10.10.2/32
Endpoint = 22.22.23.2:56560
root@pengxiao-virtual-machine:/etc/wireguard#

R3

[Interface]
PrivateKey = eFvJdS8Tz5h05HqJLcb1mo/EKenoblEMM/BUqkL0t1k=
ListenPort = 56560
Address = 10.10.10.2/32

[Peer]
PublicKey = 94JDbWR6sj8jzZlLkWFt1bgqTn8I2Guyzbj/k01Pv20=
AllowedIPs = 10.10.10.1/32
Endpoint = 22.22.22.2:56560

3 R3 通过wg-quick的方式起隧道。

可以看见10.10.10.2 被写入系统路由

4 通过wg setconf起路由

可以看见10.10.10.2 没有被写入系统路由

结论:原生wg setconf wg0方式不会写入系统路由,wg-quick会根据脚本自动读取生成AllowedIPs里面ip段的路由,并加入系统路由。

2 路由三层互通

1 在R2上面指定目标为172.16.18.0/24网段走wirguard隧道wg0, 在R3上指定目标为172.16.16.0/24网段走wirguard隧道wg0。

R2

[Interface]
PrivateKey = EDUMmc9hXfLJ05Cod6XgaFaKFD6TTHb2u7xILjFaC1k=
ListenPort = 56560
#Address = 10.10.10.1/32

[Peer]
PublicKey = HUCKOLKXBV53bpiqGCtY61RbNrvbotYCCKcWifjjb2c=
AllowedIPs = 10.10.10.2/32,172.16.18.0/24
Endpoint = 22.22.23.2:56560

R3

[Interface]
PrivateKey = eFvJdS8Tz5h05HqJLcb1mo/EKenoblEMM/BUqkL0t1k=
ListenPort = 56560
Address = 10.10.10.2/32

[Peer]
PublicKey = 94JDbWR6sj8jzZlLkWFt1bgqTn8I2Guyzbj/k01Pv20=
AllowedIPs = 10.10.10.1/32,172.16.16.0/24
Endpoint = 22.22.22.2:56560

2 测试172.16.18.0/24网段的pc能否穿越wirguard隧道wg0 ping通172.16.16.0/24网段的pc。

PC 5 PING PC1

PING 172.16.16.2 (172.16.16.2) 56(84) bytes of data.
64 bytes from 172.16.16.2: icmp_seq=1 ttl=60 time=5.05 ms

PC5:tracepach PC1

1?: [LOCALHOST] pmtu 1500
1: _gateway 0.138ms
1: _gateway 0.111ms
2: 11.11.13.1 0.194ms
3: 11.11.13.1 0.313ms pmtu 1420
3: 10.10.10.1 0.778ms
4: no reply
5: 172.16.16.2 17.521ms reached

结论:172.16.18.0/24网段的client能够穿越wirguard隧道wg0 ping通172.16.16.0/24网段的pc。

3 双隧道建立

1 R2、R3 复制wg0配置文件,命名为wg1修改wg1 AllowedIPs,以及ListenPort。

R2-wg1

[Interface]
PrivateKey = EDUMmc9hXfLJ05Cod6XgaFaKFD6TTHb2u7xILjFaC1k=
ListenPort = 56561
Address = 10.10.11.1/32

[Peer]
PublicKey = HUCKOLKXBV53bpiqGCtY61RbNrvbotYCCKcWifjjb2c=
AllowedIPs = 10.10.11.2/32
Endpoint = 22.22.23.2:56561

R3-wg1

[Interface]
PrivateKey = eFvJdS8Tz5h05HqJLcb1mo/EKenoblEMM/BUqkL0t1k=
ListenPort = 56561
Address = 10.10.11.2/32

[Peer]
PublicKey = 94JDbWR6sj8jzZlLkWFt1bgqTn8I2Guyzbj/k01Pv20=
AllowedIPs = 10.10.11.1/32
Endpoint = 22.22.22.2:56561

2 R2 R3分别通过wg-quick建立wireguird隧道

3 测试wg1隧道地址互通性,同时确保wg0未受影响。

R3->R2 wg0

PING 10.10.10.1 (10.10.10.1) 56(84) bytes of data.
64 bytes from 10.10.10.1: icmp_seq=1 ttl=64 time=0.467 ms

R3-R2 wg1

PING 10.10.11.2 (10.10.11.2) 56(84) bytes of data.
64 bytes from 10.10.11.2: icmp_seq=1 ttl=64 time=0.018 ms

结论:wg1互通性正常,wg0也没受影响。

4 双隧道三层路由

1 在R2上面指定目标为172.16.19.0/24网段走wirguard隧道wg1, 在R3上指定目标为172.16.17.0/24网段走wirguard隧道wg1。
R2

172.16.19.0 0.0.0.0 255.255.255.0 U 0 0 0 wg1

R3

172.16.17.0 0.0.0.0 255.255.255.0 U 0 0 0 wg1

2 测试172.16.19.0/24网段的PC7能否穿越wirguard隧道wg1 ping通172.16.17.0/24网段的PC3,同时在PC5上查看之前走wg0隧道的业务是否受到影响。

PC 7-PC3-ping

PING 172.16.17.2 (172.16.17.

最低0.47元/天 解锁文章
抗量子攻击的WireGuard协议改造
qq_42568323的博客
03-11 341
随着量子计算技术的迅速发展,传统的公钥密码算法(例如RSA和ECC)已难以抵御量子计算机的攻击。WireGuard作为一种新兴的VPN协议,以其简洁高效、易于部署的特点在全球范围内得到了广泛应用。然而,WireGuard目前所依赖的加密算法(例如Curve25519密钥交换和ChaCha20-Poly1305加解密)在量子计算机面前将面临严重威胁。为此,如何在保持WireGuard高性能优势的前提下,引入抗量子攻击的加密技术,成为当今密码学和网络安全领域亟待解决的重要问题。
WireGuard基本原理
曹世宏的博客
11-13 3万+
WireGuard:下一代内核网络隧道 摘要: WireGuard是一个安全的网络隧道,在第3层运行,作为Linux的内核虚拟网络接口实现,其目标是在大多数情况下取代IPsec,以及流行的用户空间和/或基于tls的解决方案,如Openvnp,同时更安全、性能更高且更易于使用。虚拟隧道接口基于安全隧道的基本原则:对等公钥和隧道源IP地址之间的关联。它使用基于NoiseIK的单次往返密钥交换,并使用新的计时器状态机机制对用户透明地处理所有会话创建。短的预共享静态密钥(Curve25519点)用于OpenSSH风
使用WireGuard组建大内网环境
最新发布
heStudio
10-01 1705
本次我们搭建 WireGuard 所利用的就是专用网络(可以理解为局域网)这个属性,使得我们可以使用安全的方式链接到我们的局域网中的设备。并防止未经授权的登陆。 我们可以使用 WireGuard 建立专用网络环境,但是我们的所有局域网节点设备均没有公网 IP,无法建立连接,需要有一台在公网环境下的服务器用于中转流量。我们在公网服务器上搭建 WireGuard 的服务端,然后让每个局域网节点设备均作为客户端进行工作。
Wireguard配置文件详解
衡水铁头哥的博客
03-02 1万+
正文共:1888 字 10 图,预估阅读时间:2 分钟我们前面在介绍Wireguard时(使用8条命令即可完成的VPN配置!CentOS快速配置WireGuard全互联组网),Linux系统下是通过命令配置的,格式如下:wg set wg0 peer ZTwqy6eA2exFjIp4Gqll57FFu99ND97wRCkPv0ZNGVU= allowed-ips 10.1.1.2/32 endpo...
WireGuard 组网教程:快速构建安全高效的私密网络并实现内网穿透
热门推荐
pursuit的博客
11-16 3万+
通过阅读本文,读者将了解 WireGuard 的基本概念和原理,学会安装和配置 WireGuard,以及如何使用 WireGuard 实现内网穿透。此外,还介绍了一些与 WireGuard 相关的工具,以帮助读者更好地管理和使用 WireGuard
组网神器WireGuard安装与配置(实践笔记)
阿甘兄
10-29 1万+
Wireguard安装与配置实践
WireGuard 的工作原理
wq1205750492的博客
05-13 7093
WireGuard 的工作原理 官方:https://github.com/pirate/wireguard-docs 引用:WireGuard 教程:WireGuard 的工作原理 – 云原生实验室 一、简介 WireGuard 是由 Jason Donenfeld 等人用 C 语言编写的一个开源 VPN 协议,被视为下一代 VPN 协议,旨在解决许多困扰 IPSec/IKEv2、OpenVPN 或 L2TP 等其他 VPN 协议的问题。它与 Tinc 和 MeshBird 等现代 VPN 产品有一
精选资源
群晖NAS DS220+ 安装WireGuard保姆级教程(远程访问局域网非翻墙)
05-19
按照该教程可以有效的避开坑,经过本人2天的研究,终于可以完美的访问了! 一、首先需要部署一个WireGuard服务 在套件中心添加“套件来源”,这里我选的是“我不是矿神” 1)单击“套件中心” 2)点“设置” 3)点...
Vector:Wireguard 服务器端基于 Web 的用户界面
08-04
我有一段时间没有研究它,发现 Mistborn 项目要优越得多,而且运行它的人有一个很好的设置。 如果您正在寻找一个好的服务器端 Wireguard gui,我强烈建议您查看该项目。 Vector - WireGuard 服务器端的 Web UI 使用...
精选资源
Bypass_CGNAT:Wireguard设置可通过VPS绕过CGNAT
03-09
使用Wireguard绕过CGNAT ... 按照我想要的方式进行工作需要花费几天的研究,试验和错误。 对于有类似情况的人来说,这将是一个有用的教程。 本教程假定您具有有关如何从命令行使用Ubuntu的一些基本知识。 这是
Ubuntu 20.04配置WireGuard
Dexter's Laboratory
01-26 7246
参考文章: https://techviewleo.com/install-wireguard-vpn-server-on-ubuntu/ 安装包 $ sudo apt update $ sudo apt upgrade -y $ sudo apt install -y iptables wireguard 开启ipv4转发 $ sudo vim /etc/sysctl.conf 取消net.ipv4.ip_forward=1这一行的注释, 再执行下面命令生效 $ sudo sysctl -p 配.
wireguard-configure:Wireguard的命令行配置管理
04-27
线卫配置 wireguard-configure是一个命令行实用程序,可帮助管理Wireguard配置。 它假定一个基本设置,其中一个节点充当“路由器”,并且有多个客户端在中央路由器节点之间连接和路由通信。 它允许您生成和转储Wireguard配置以及bash脚本,这些脚本还配置接口和路由。 您必须具有可通过路径访问的命令行工具wg 。 这用于自动生成专用/公用线卫密钥。 配置存储在yaml中,可以从命令行修改,也可以直接在yaml文件中进行修改。 $ wireguard-configure --help wireguard-configure 0.0.1 Alex Eubanks <endeavor> Simple wireguard configuration USAGE: wireguard-configure [FLAGS]
wireguard-dissector:Wireshark解剖器(用Lua编写),用于解剖WireGuard隧道协议
02-03
用于WireGuard隧道协议的Wireshark解剖器 Wireshark解剖器(用Lua编写),用于解剖隧道协议。 此解剖器已过时,Wireshark 2.9.x中包含改进的版本。 有关更多说明,请参。 要求: Wireshark 2.0.2或更高版本(已通过Wireshark 2.3.x测试)。 和Libgcrypt 1.7提供(可选)解密支持。 计划最终将该原型改写为Wireshark主要资源随附的解剖器。 当前的开发版本(git master,2.9.x)包含一个改进的版本。 安装及使用 在安装 (通常是~/.config/wireshark/plugins/或~/.wir
Phantun: 一款突破运营商 QoS 封锁的高性能 UDP 流量伪装工具,支持 WireGuard 协议...
easylife206的专栏
10-11 1万+
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !原文链接????:https://icloudnative.io/posts/wireguard-over-tcp-using-phantun/????WireGuard作为一个更先进、更现代的 VPN 协议,比起传统的 IPSec、OpenVPN 等实现,效率更高,配置更简单,并且已经合并入 Linux 内核,使用起来更加方...
WireGuard简单配置
redwingz的博客
06-26 4212
WireGuard简单配置如下拓扑:|----------| |----------| | | 192.168.1.115 | | | server |---------------------------| peer | | | 192.168.1.117 | | |----------|
使用 WireGuard+Iptables 实现高性能内网穿透
maizaozao的专栏
01-08 766
wireguard 和 iptables 都是内核级的软件,理论上性能会高于 frp(没对比过实际的性能表现),感兴趣的可以试一试本文将以 debian12 作为演示。
wireguard命令行配置
weixin_46091531的博客
10-12 1898
wireguard 配置
Linux安装wireguard组网教程与详细配置,实现内网穿透功能
落叶
03-14 9599
因为家里宽带没有公网IP也不支持ipv6,一直使用frps 作为内网穿透的工具。后来发现了wireguard 将家里的服务器与具有公网IP的云服务器组网,实现内网穿透功能。这里介绍wireguard的安装以及本人用过的两种组网方式。
wireguard的安装与配置
李炜伦的博客
06-03 9109
centos7安装epel源 cat << EOF > /etc/yum.repos.d/epel.repo [epel] name=Extra Packages for Enterprise Linux 7 - $basearch baseurl=https://mirrors.bfsu.edu.cn/epel/7/$basearch #mirrorlist=https://mirrors.fedoraproject.org/metalink?repo=epel-7&arch=$
WireGuard安装
12-10
WireGuard是一款轻量级、高效且安全的网络隧道协议,用于创建点对点的加密连接。以下是简单的WireGuard安装步骤,假设您要在Linux系统上安装: 1. **获取依赖**: - 如果是Ubuntu或Debian系列,可以使用apt包管理器: ``` sudo apt update sudo apt install wireguard ``` 2. **下载配置文件模板**: 可能需要从官方GitHub仓库下载配置文件模板,然后编辑它以适应您的需求: ``` wget https://raw.githubusercontent.com/WireGuard/wg-tools/master/wg-gen.conf -O wg0.conf.sample ``` 3. **生成私钥和公共证书**: ``` wg genkey | tee /etc/wireguard/privatekey > /dev/null wg pubkey > /etc/wireguard/publickey ``` 将`privatekey`保存至合适的目录,并将`publickey`分发给合作伙伴。 4. **编辑配置文件**: 使用文本编辑器打开`wg0.conf`,替换示例内容并添加必要的信息,如地址分配、端口等。 5. **启动服务**: ``` sudo wg-quick up wg0 ``` 6. **管理连接**: 使用`wg-quick`命令行工具,比如添加、删除节点,以及查看状态。 7. **防火墙规则**: 确保允许 WireGuard 的端口通过防火墙(通常是51820),如果是IPv6,还要考虑64433端口。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值