文章采用系统版本:Centos 7.7 64 bit,本篇目的是使用两个公网机器组建内网,必要条件,至少要有一台有静态ipv4地址的机器充当网关。
1.简要说明
wireguard可以说是目前最简单的内网穿透方案,类似的很多例如openvpn之列,相对来说配置较复杂点,另外,wireguard的服务端和客户端是相对的,已经安装的wireguard既可以充当客户端也可以充当服务端,重点在于配置。
2.安装wireguard
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
| # 重要!!!先升级系统内核
# 加入wireguard源
sudo curl -Lo /etc/yum.repos.d/wireguard.repo https://copr.fedorainfracloud.org/coprs/jdoss/wireguard/repo/epel-7/jdoss-wireguard-epel-7.repo
sudo yum install epel-release -y
sudo yum install wireguard-dkms wireguard-tools -y
# 开启ipv4转发
echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
sysctl -p
# 创建Publickey和PrivateKey
mkdir /etc/wireguard
cd /etc/wireguard
wg genkey | tee privatekey | wg pubkey > publickey
chmod 777 -R /etc/wireguard
# 编辑配置文件(下面会贴仔细的)
vi /etc/wireguard/wg0.conf
# 创建开机自启并启动
systemctl enable [email protected]
wg-quick up wg0
# 测试是否完成,理应显示为对面ip
curl zx2c4.com/ip
|
2.1 服务端配置
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
| [Interface]
# 为当前服务端分配的内网IP
Address = 10.0.0.1/24
# 端口
ListenPort = 56660
PrivateKey = < 这里填写 Server 上 privatekey 的内容 >
DNS = 8.8.8.8
MTU = 1200
# 如果你有多个客户端,追加多个peer就可以了
[Peer]
PublicKey = < 这里填写 Client 上 publickey 的内容 >
# 哪些IP段可以访问内网
AllowedIPs = 10.0.0.2/32
|
2.2客户端配置
1
2
3
4
5
6
7
8
9
10
11
12
13
| [Interface]
PrivateKey = < 这里填写 Client 上 privatekey 的内容 >
# 为当前客户端分配的内网IP
Address = 10.0.0.2/24
MTU = 1200
[Peer]
PublicKey = <这里填写 Server 上 publickey 的内容>
# 客户端哪些ip通过内网, 服务器慎重开启全局(有可能失联)
# 如果你的客户端是你的电脑(开启全局设置 0.0.0.0/0即可)
AllowedIPs = 10.0.0.0/24
Endpoint = 服务器端的公网IP:端口
PersistentKeepalive = 25
|
请注意,这种方案的优点在于,任何一台机器想要加入内网,只需要配置好客户端, 作为网关的服务器新增peer即可,但是缺点也很明显,AllowedIPs配置的IP段的任何流量都会经过网关节点,如果你要采用这种方案,请合理设计架构,当然你也可以灵活的相互配置,设立多个网关节点,保证线路不绕路。