WireGuard 是一种安全、快速且现代的 VPN 协议。通过交换公钥建立 WireGuard VPN 连接,其性能显著优于 OpenVPN。
和IPsec相比,它有一个很大的优势是端口可修改,在一些封锁IPsec端口的线路上,使用可修改端口的WireGuard可以多一种可用的选择。
而且,Linux在内核中加入了对WireGuard的支持,Windows,MacOS也都有相应的WireGuard工具,这使得WireGuard成为一种广为支持的协议。
当然,它也有相应的缺点,它只能使用UDP协议,在有部分运营商限制UDP流量的线路上,使用WireGuard会产生数据断流,所以必须根据实际情况来选择适合自己线路的VPN协议。
目前,在Vigor 2927系列,Vigor 2962,Vigor 3910,Vigor 3912,Vigor 3912S上,我们都已经加入了对WireGuard的支持。(如果您使用这些型号看不到WireGuard功能,请升级到最新版固件)
除了常见的WireGuard单机拨入外,Vigor的工程师们还增加了LAN to LAN模式,这使得Vigor设备的LAN to LAN的协议支持变得更为丰富,本文以Vigor 2927和Vigor 2962为例,讲解如何设置WireGuard LAN to LAN VPN。Vigor 2927作为拨出端,Vigor 2962作为被拨入端(服务器端)。
注意:由于WireGuard协议采用了公私钥加密+预共享密钥的安全方式,在拥有很强安全性的同时,它的设置对于多数对加密了解不多的用户来说,会显得比较难以理解,因此,请在设置的时候,仔细阅读本文中标红的内容,才能做到成功连接
被拨入端(服务器端)设置:
1. 首先,在VPN和远程访问 >> 远程访问控制 页面,启用WireGuard VPN服务。
接着,在VPN和远程访问 >> WireGuard 页面,点击生成密钥组,设置Wireguard接口IP(你的LAN 接口IP),以及侦听端口51820(WireGuard的默认端口,如果想要更安全,可以将这个端口改为一个其他端口,注意,如果修改了端口,那么客户端在设置拨过来的时候,也要拨到修改后的端口才行),设置完成,点击确定,保存设置。
然后,在VPN和远程访问 >> LAN to LAN 页面,点开一个VPN设置档前方的数字,打开VPN设置。首先启用配置档,点击“拨入”,将闲置超时修改为0(服务器端不主动断开VPN连接;默认的300指如果300秒没有任何数据流过VPN隧道,服务器将断开VPN连接。该选项可以根据实际需求来自行设置)
勾选WireGuard,会弹出下图的页面。
[Interface]是指本机的设置,点击生成密钥组,会自动随机生成一堆私钥和公钥。(顾名思义,私钥是自己保存的,公钥是给别人的,拿到公钥的设备可以解密你发给它的VPN数据)
请注意!!!这里的公钥需要复制下来,放到客户端Vigor 2927的拨出设置里的[Peer]栏位
[Peer] 是指远端设定,所以要在2927端生成密钥对后,把2927的公钥复制到下面截图的公钥栏位。
双方都必须拥有对方正确的公钥,才能成功解密对方的数据,实现VPN的连接。
点击预共享密钥右边的生成,生成一个预共享密钥,可以将这个预共享密钥复制到客户端设置那里的Peer中。这个预共享密钥可以让任意一端来生成,但是务必要要确保两端使用完全相同的预共享密钥。
预共享密钥负责提供额外的加密安全,建议要设置(可选)
在TCP/IP网络设置这里,将本地网络和远程网络设定好
最后点击保存即可完成设定。(建议两台设备同时进行设置,以方便互相拷贝公钥和预共享密钥)
客户端(拨出端Vigor 2927)设置
首先,在VPN和远程访问 >> 远程访问控制 页面,启用WireGuard VPN服务。
接着,在VPN和远程访问 >> WireGuard 页面,点击生成密钥组,设置Wireguard接口IP(你的LAN 接口IP),以及侦听端口51820(WireGuard的默认端口,如果想要更安全,可以将这个端口改为一个其他端口。
然后,在VPN和远程访问 >> LAN to LAN 页面,点开一个VPN设置档前方的数字,打开VPN设置。首先启用配置档,点击“拨出”,勾选一直在线。
拨出类型选择WireGuard。
设置服务器端IP为正确的IP或者域名
在[Interface]栏位,点击生成密钥组,然后点复制到剪切板,将公钥复制,然后粘贴到前面Vigor 2962 Wireguard设置中的[Peer]栏位中的公钥。
在[Peer]栏位,将Vigor 2962 [Interface]栏位中生成的公钥粘贴到这里,把Vigor2962 的[Peer]栏位的预共享密钥复制到下面截图中的[Peer]里。
在TCP/IP网络设置这里,将本地网络和远程网络设定好
最后点击保存即可完成设定。(建议两台设备同时进行设置,以方便互相拷贝公钥和预共享密钥)
到VPN连接管理页面,稍后片刻,如果设置没错的话,就会看到VPN连接成功。