Cara Mengatur VPN WireGuard di Debian 10

WireGuard adalah VPN tujuan umum (Virtual Private Network) yang menggunakan kriptografi canggih. Dibandingkan dengan solusi VPN populer lainnya, seperti IPsec dan OpenVPN , WireGuard umumnya lebih cepat, lebih mudah dikonfigurasi, dan memiliki footprint yang lebih kecil. Ini lintas platform dan dapat berjalan hampir di mana saja, termasuk Linux, Windows, Android, dan macOS.

Wireguard adalah VPN peer-to-peer; itu tidak menggunakan model client-server. Tergantung pada konfigurasi, rekan dapat bertindak sebagai server atau klien tradisional. Ia bekerja dengan membuat antarmuka jaringan pada setiap perangkat rekan yang bertindak sebagai terowongan. Peer mengotentikasi satu sama lain dengan bertukar dan memvalidasi kunci publik, meniru model SSH. Kunci publik dipetakan dengan daftar alamat IP yang diizinkan di terowongan. Lalu lintas VPN dienkapsulasi dalam UDP.

Artikel ini menjelaskan cara menginstal dan mengkonfigurasi WireGuard di Debian 10 yang akan bertindak sebagai server VPN. Kami juga akan menunjukkan cara mengonfigurasi WireGuard sebagai klien di Linux, Windows, dan macOS. Lalu lintas klien akan dialihkan melalui server Debian 10.

Pengaturan ini dapat digunakan sebagai perlindungan terhadap serangan Man in the Middle, menjelajahi web secara anonim, melewati konten yang dibatasi oleh Geo, atau memungkinkan kolega Anda yang bekerja dari rumah untuk terhubung ke jaringan perusahaan dengan aman.

Prasyarat #

Untuk mengikuti panduan ini, Anda memerlukan mesin dengan Debian 10 terinstal. Anda juga memerlukan root atau [akses sudo](https://linuxize.com/post/how-to-create-a-Sudo-user-on-debian/ untuk menginstal paket dan membuat perubahan pada sistem.

Menyiapkan Server WireGuard #

Kita akan mulai dengan menginstal paket WireGuard pada mesin Debian dan mengaturnya untuk bertindak sebagai server. Kami juga akan mengonfigurasi sistem untuk merutekan lalu lintas klien melaluinya.

Instal WireGuard di Debian 10#

WireGuard tersedia dari repositori backports Debian. Untuk menambahkan repositori ke sistem Anda, jalankan:

echo 'deb http://ftp.debian.org/debian buster-backports main' | sudo tee /etc/apt/sources.daftar.d/buster-backports.daftar

Setelah repositori diaktifkan, perbarui cache apt dan instal modul dan alat WireGuard:

sudo apt updatesudo apt install wireguard

Mengonfigurasi WireGuard #

Anda dapat mengonfigurasi dan mengelola antarmuka WireGuard dengan wg dan wg-cepat alat baris perintah.

Setiap perangkat di jaringan VPN WireGuard harus memiliki kunci pribadi dan publik. Jalankan perintah berikut untuk menghasilkan pasangan kunci:

wg genkey | sudo tee /etc/wireguard/privatekey | wg pubkey | sudo tee /etc/wireguard/publickey

File-file tersebut dihasilkan di /etc/wireguard direktori. Menggunakan kucing atau kurang perintah untuk melihat isi file. Kunci pribadi tidak boleh dibagikan dengan siapa pun dan harus selalu dijaga keamanannya.

Wireguard juga mendukung kunci yang dibagikan sebelumnya, yang menambahkan lapisan tambahan kriptografi kunci simetris. Kunci ini opsional dan harus unik untuk setiap pasangan sebaya.

Langkah selanjutnya adalah mengkonfigurasi perangkat terowongan yang akan merutekan lalu lintas VPN.

Perangkat dapat diatur baik dari baris perintah menggunakan aku p dan wg perintah, atau dengan membuat file konfigurasi secara manual. Kami akan membuat konfigurasi dengan editor teks.

Buka editor Anda dan buat file baru bernama wg0.konf dengan isi sebagai berikut:

sudo nano /etc/wireguard/wg0.konf

[Antarmuka] Alamat = 10.0.0.1/24 SaveConfig = true ListenPort = 51820 PrivateKey = SERVER_PRIVATE_KEY PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTINGAN -o ens3 -j MASQUERADE PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o ens3 -j MASQUERADE 

Anda dapat memberi nama antarmuka apa pun yang Anda inginkan. Namun disarankan untuk menggunakan sesuatu seperti wg0 atau wgvpn0.

Pengaturan di bagian antarmuka memiliki arti sebagai berikut:

• Alamat - Daftar alamat IP v4 atau v6 yang dipisahkan koma untuk wg0 antarmuka. Anda dapat memberi Anda alamat IP dari rentang yang disediakan untuk jaringan pribadi (10.0.0.0/8, 172.16.0.0/12 atau 192.168.0.0/16).

• ListenPort - Port mendengarkan.

• PrivateKey - Kunci pribadi yang dihasilkan oleh wg genkey perintah. (Untuk melihat isi dari jenis file: sudo cat /etc/wireguard/privatekey)

• SaveConfig - Saat disetel ke true, status antarmuka saat ini disimpan ke file konfigurasi saat dimatikan.

• PostUp - Perintah atau skrip yang dijalankan sebelum membuka antarmuka. Dalam contoh ini, kami menggunakan iptables untuk mengaktifkan penyamaran. Ini memungkinkan lalu lintas meninggalkan server, memberikan klien VPN akses ke Internet.

  Pastikan untuk mengganti id3 setelah -SEBUAH POSTINGAN untuk mencocokkan nama antarmuka jaringan publik Anda. Anda dapat dengan mudah menemukan antarmuka dengan:

  ip -o -4 menunjukkan rute ke default | awk 'cetak $5'

• PostDown - Perintah atau skrip yang dijalankan sebelum menurunkan antarmuka. Aturan iptables akan dihapus setelah antarmuka mati.

Itu wg0.konf dan kunci pribadi file seharusnya tidak dapat dibaca oleh pengguna biasa. Menggunakan chmod untuk mengatur izin file ke 600:

sudo chmod 600 /etc/wireguard/privatekey,wg0.conf

Setelah selesai, bawa wg0 antarmuka menggunakan atribut yang ditentukan dalam file konfigurasi:

sudo wg-percepat wg0

Outputnya akan terlihat seperti ini:

[#] ip link tambahkan wg0 ketik wireguard [#] wg setconf wg0 /dev/fd/63 [#] alamat ip -4 tambahkan 10.0.0.1/24 dev wg0 [#] ip link set mtu 1420 ke atas dev wg0 [#] iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE 

Untuk memeriksa status dan konfigurasi antarmuka, jalankan:

sudo wg tampilkan wg0

antarmuka: wg0 kunci publik: +Vpyku+gjVJuXGR/OXXt6cmBKPdc06Qnm3hpRhMBtxs= kunci pribadi: (tersembunyi) mendengarkan port: 51820 

Anda juga dapat memverifikasi status antarmuka dengan ip a show wg0:

ip a show wg0

4: wg0:  mtu 1420 qdisc status noqueue grup UNKNOWN default qlen 1000 link/none inet 10.0.0.1/24 lingkup global wg0 valid_lft selamanya prefered_lft selamanya 

WireGuard dapat dikelola dengan Systemd. Untuk menghadirkan antarmuka WireGuard saat boot, jalankan perintah berikut:

sudo systemctl aktifkan wg-quick@wg0

Jaringan Server dan Konfigurasi Firewall #

Penerusan IP harus diaktifkan agar NAT berfungsi. Buka /etc/sysctl.konf file dan tambahkan atau batalkan komentar pada baris berikut:

sudo nano /etc/sysctl.konf

bersih.ipv4.ip_forward=1

Simpan file dan terapkan perubahan:

sudo sysctl -p

bersih.ipv4.ip_forward = 1 

Jika Anda menggunakan UFW untuk mengelola firewall Anda, Anda perlu membuka lalu lintas UDP di port 51820:

sudo ufw izinkan 51820/udp

Itu dia. Rekan Debian yang akan bertindak sebagai server telah disiapkan.

Pengaturan Klien Linux dan macOS #

Petunjuk penginstalan untuk semua platform yang didukung tersedia di https://wireguard.com/instal/ . Di sistem Linux, Anda dapat menginstal paket menggunakan manajer paket distribusi dan di macOS dengan buatan.

Setelah terinstal, ikuti langkah-langkah di bawah ini untuk mengonfigurasi perangkat klien.

Proses untuk menyiapkan klien Linux dan macOS hampir sama seperti yang Anda lakukan untuk server. Pertama, buat kunci publik dan pribadi:

wg genkey | sudo tee /etc/wireguard/privatekey | wg pubkey | sudo tee /etc/wireguard/publickey

Buat filenya wg0.konf dan tambahkan konten berikut:

sudo nano /etc/wireguard/wg0.konf

[Antarmuka] PrivateKey = CLIENT_PRIVATE_KEY Alamat = 10.0.0.24/2 [Peer] PublicKey = SERVER_PUBLIC_KEY Endpoint = SERVER_IP_ADDRESS:51820 IP yang Diizinkan = 0.0.0.0/0 

Pengaturan di bagian antarmuka memiliki arti yang sama seperti saat mengatur server:

• Alamat - Daftar alamat IP v4 atau v6 yang dipisahkan koma untuk wg0 antarmuka.
• PrivateKey - Untuk melihat konten file di mesin klien, jalankan: sudo cat /etc/wireguard/privatekey

Bagian rekan berisi bidang-bidang berikut:

• PublicKey - Kunci publik dari rekan yang ingin Anda sambungkan. (Isi dari server /etc/wireguard/publickey mengajukan).
• Endpoint - IP atau nama host dari rekan yang ingin Anda sambungkan, diikuti dengan titik dua dan kemudian nomor port yang didengarkan oleh rekan jarak jauh.
• AllowedIPs - Daftar alamat IP v4 atau v6 yang dipisahkan koma dari mana lalu lintas masuk untuk rekan diizinkan dan ke mana lalu lintas keluar untuk rekan ini diarahkan. Kami menggunakan 0.0.0.0/0 karena kami merutekan lalu lintas dan ingin rekan server mengirim paket dengan IP sumber apa pun.

Jika Anda perlu mengonfigurasi klien tambahan, ulangi saja langkah yang sama menggunakan alamat IP pribadi yang berbeda.

Pengaturan Klien Windows #

Unduh dan instal paket msi Windows dari situs web WireGuard .

Setelah terinstal, buka aplikasi WireGuard dan klik “Add Tunnel” -> “Add empty tunnel…” seperti terlihat pada gambar di bawah ini:

Sepasang kunci publik secara otomatis dibuat dan ditampilkan di layar.

Masukkan nama untuk terowongan dan edit konfigurasi sebagai berikut:

[Antarmuka] PrivateKey = CLIENT_PRIVATE_KEY Alamat = 10.0.0.24/2 [Peer] PublicKey = SERVER_PUBLIC_KEY Endpoint = SERVER_IP_ADDRESS:51820 IP yang Diizinkan = 0.0.0.0/0 

Di bagian antarmuka, tambahkan baris baru untuk menentukan Alamat terowongan klien.

Di bagian rekan, tambahkan bidang berikut:

• PublicKey - Kunci publik dari server Debian (/etc/wireguard/publickey mengajukan).
• Endpoint - Alamat IP server Debian diikuti oleh titik dua dan port WireGuard (51820).
• IP yang Diizinkan - 0.0.0.0/0

Setelah selesai, klik tombol "Simpan".

Tambahkan Rekan Klien ke Server #

Langkah terakhir adalah menambahkan kunci publik dan alamat IP klien ke server. Untuk melakukannya, jalankan perintah berikut di server Debian:

sudo wg set wg0 rekan CLIENT_PUBLIC_KEY diperbolehkan-ips 10.0.0.2

Pastikan untuk mengubah CLIENT_PUBLIC_KEY dengan kunci publik yang Anda buat di mesin klien (sudo cat /etc/wireguard/publickey) dan sesuaikan alamat IP klien jika berbeda. Pengguna Windows dapat menyalin kunci publik dari aplikasi WireGuard.

Setelah selesai, kembali ke mesin klien dan buka antarmuka tunneling.

Klien Linux dan macOS #

Jalankan perintah berikut untuk memunculkan antarmuka:

sudo wg-percepat wg0

Sekarang Anda harus terhubung ke server Debian, dan lalu lintas dari mesin klien Anda harus diarahkan melaluinya. Anda dapat memeriksa koneksi dengan:

sudo wg

antarmuka: kunci publik wg0: gFeK6A16ncnT1FG6fJhOCMPMeY4hZa97cZCNWis7cSo= kunci pribadi: (tersembunyi) port mendengarkan: 53527 fwmark: 0xca6c rekan: r3imyh3MCYggaZACmkx+CxlD6uAmICI8pe/PGq.XXX.XXX.XXX:51820 ip yang diizinkan: 0.0.0.0/0 jabat tangan terakhir: 53 detik yang lalu transfer: 3.23 KiB diterima, 3.50 KiB terkirim 

Anda juga dapat membuka browser Anda, ketik "apa ip saya", dan Anda akan melihat alamat IP server Debian Anda.

Untuk menghentikan tunneling, turunkan bring wg0 antarmuka:

sudo wg-cepat turun wg0

Klien Windows #

Jika Anda menginstal WireGuard di Windows, klik tombol "Aktifkan". Setelah rekan terhubung, status terowongan akan berubah menjadi Aktif:

Kesimpulan #

Kami telah menunjukkan kepada Anda cara menginstal WireGuard di Debian 10 dan mengonfigurasinya sebagai server VPN. Pengaturan ini memungkinkan Anda menjelajahi web secara anonim dengan menjaga kerahasiaan data lalu lintas Anda.

Jika Anda menghadapi masalah, jangan ragu untuk meninggalkan komentar.