Cómo configurar WireGuard VPN en Ubuntu 18.04

WireGuard es una tecnología VPN (red privada virtual) moderna con criptografía de última generación. En comparación con otras soluciones similares, como IPsec y OpenVPN , WireGuard es más rápido, más fácil de configurar y de mayor rendimiento. Es multiplataforma y puede ejecutarse en casi cualquier lugar, incluidos Linux, Windows, Android y macOS. Wireguard es una VPN punto a punto; no utiliza el modelo cliente-servidor. Dependiendo de su configuración, un par puede actuar como un servidor o cliente tradicional.

WireGuard funciona mediante la creación de una interfaz de red en cada dispositivo del mismo nivel que actúa como un túnel. Los pares se autentican entre sí intercambiando y validando claves públicas, imitando el modelo SSH. Las claves públicas se asignan con una lista de direcciones IP que están permitidas en el túnel. El tráfico VPN está encapsulado en UDP.

En este tutorial, configuraremos WireGuard en una máquina con Ubuntu 18.04 que actuará como un servidor VPN. También le mostraremos cómo configurar WireGuard como cliente. El tráfico del cliente se enrutará a través del servidor Ubuntu 18.04.

Esta configuración se puede utilizar como protección contra los ataques Man in the Middle, navegar por la web de forma anónima, pasar por alto el contenido restringido geográficamente o permitir que sus compañeros de trabajo se conecten de forma segura a la red de la empresa cuando trabajan de forma remota.

requisitos previos

Necesitará un servidor Ubuntu 18.04 al que pueda acceder como raíz o cuenta con privilegios sudo .

Configuración del servidor WireGuard

En esta sección, instalaremos WireGuard en la máquina Ubuntu y la configuraremos para que actúe como servidor. También configuraremos el sistema para enrutar el tráfico de los clientes a través de él.

Instalación de WireGuard en Ubuntu 18.04

WireGuard está incluido en los repositorios predeterminados de Ubuntu. Para instalarlo ejecuta los siguientes comandos:

sudo apt updatesudo apt install wireguard

WireGuard se ejecuta como un módulo del núcleo, que se compila como un módulo DKMS. En caso de éxito, verá el siguiente resultado:

wireguard:
Running module version sanity check.
 - Original module
   - No original module exists within this kernel
 - Installation
   - Installing to /lib/modules/4.15.0-88-generic/updates/dkms/

depmod...

DKMS: install completed.

Cuando actualice el kernel, el módulo WireGuard se compilará con el nuevo kernel.

Configuración de WireGuard

WireGuard se envía con dos herramientas de línea de comandos con nombre wgy wg-quickque le permiten configurar y administrar las interfaces de WireGuard.

Ejecute el siguiente comando para generar las claves pública y privada:

wg genkey | sudo tee /etc/wireguard/privatekey | wg pubkey | sudo tee /etc/wireguard/publickey

Los archivos se generarán en el /etc/wireguarddirectorio. Puede ver los archivos con cat o less . La clave privada nunca debe compartirse con nadie.

Ahora que se generaron las claves, necesitaremos configurar el dispositivo de túnel que enrutará el tráfico VPN.

El dispositivo se puede configurar desde la línea de comandos usando ip y wgo creando el archivo de configuración con un editor de texto.

Cree un nuevo archivo llamado wg0.confy agregue los siguientes contenidos:

sudo nano /etc/wireguard/wg0.conf

/etc/wireguard/wg0.conf

[Interface]
Address = 10.0.0.1/24
SaveConfig = true
ListenPort = 51820
PrivateKey = SERVER_PRIVATE_KEY
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o ens3 -j MASQUERADE

La interfaz puede tener cualquier nombre, sin embargo, se recomienda usar algo como wg0o wgvpn0. Los ajustes en la sección de la interfaz tienen el siguiente significado:

• Dirección: una lista separada por comas de direcciones IP v4 o v6 para la wg0interfaz. Utilice direcciones IP de un rango reservado para las redes privadas (10.0.0.0/8, 172.16.0.0/12 o 192.168.0.0/16).

• ListenPort: el puerto en el que WireGuard aceptará conexiones entrantes.

• PrivateKey: una clave privada generada por el wg genkeycomando. (Para ver el contenido del archivo ejecute: sudo cat /etc/wireguard/privatekey)

• SaveConfig: cuando se establece en verdadero, el estado actual de la interfaz se guarda en el archivo de configuración cuando se apaga.

• PostUp: comando o secuencia de comandos que se ejecuta antes de abrir la interfaz. En este ejemplo, estamos usando iptables para habilitar el enmascaramiento. Esto permitirá que el tráfico salga del servidor, dando a los clientes VPN acceso a Internet.

  Asegúrese de reemplazar ens3después -A POSTROUTINGpara que coincida con el nombre de su interfaz de red pública. Puede encontrar fácilmente la interfaz ejecutando el siguiente comando:

  ip -o -4 route show to default | awk '{print $5}'

• PostDown: comando o secuencia de comandos que se ejecuta antes de desactivar la interfaz. Las reglas de iptables se eliminarán una vez que la interfaz esté inactiva.

Los archivos wg0.confy privatekeyno deben ser legibles para los usuarios normales. Utilícelo chmod para establecer los permisos en 600:

sudo chmod 600 /etc/wireguard/{privatekey,wg0.conf}

Una vez hecho esto, abre la wg0interfaz usando los atributos especificados en el archivo de configuración:

sudo wg-quick up wg0

El comando producirá una salida similar a la siguiente:

[#] ip link add wg0 type wireguard
[#] wg setconf wg0 /dev/fd/63
[#] ip -4 address add 10.0.0.1/24 dev wg0
[#] ip link set mtu 1420 up dev wg0
[#] iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE

Ejecute wg show wg0para verificar el estado y la configuración de la interfaz:

sudo wg show wg0

interface: wg0
  public key: r3imyh3MCYggaZACmkx+CxlD6uAmICI8pe/PGq8+qCg=
  private key: (hidden)
  listening port: 51820

También puede ejecutar ip a show wg0para verificar el estado de la interfaz:

ip a show wg0

4: wg0: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000
    link/none 
    inet 10.0.0.1/24 scope global wg0
       valid_lft forever preferred_lft forever

Para traer la interfaz de WireGuard en el momento del arranque, ejecute el siguiente comando:

sudo systemctl enable wg-quick@wg0

Configuración de redes de servidor y firewall

Para que NAT funcione, debemos habilitar el reenvío de IP. Abra el /etc/sysctl.confarchivo y agregue o descomente la siguiente línea:

sudo nano /etc/sysctl.conf

/etc/sysctl.conf

net.ipv4.ip_forward=1

Guarde el archivo y aplique el cambio:

sudo sysctl -p

net.ipv4.ip_forward = 1

Si está utilizando UFW para administrar su firewall , debe abrir el tráfico UDP en el puerto 51820:

sudo ufw allow 51820/udp

Eso es todo. Se ha configurado el compañero de Ubuntu que actuará como servidor.

Configuración de clientes Linux y macOS

Las instrucciones de instalación para todas las plataformas compatibles están disponibles en https://wireguard.com/install/ . En sistemas Linux, puede instalar el paquete usando el administrador de paquetes de distribución y en macOS con brew. Una vez que instale WireGuard, siga los pasos a continuación para configurar el dispositivo cliente.

El proceso para configurar un cliente de Linux y macOS es más o menos el mismo que lo hizo para el servidor. Comience generando las claves pública y privada:

wg genkey | sudo tee /etc/wireguard/privatekey | wg pubkey | sudo tee /etc/wireguard/publickey

Cree el archivo wg0.confy agregue los siguientes contenidos:

sudo nano /etc/wireguard/wg0.conf

/etc/wireguard/wg0.conf

[Interface]
PrivateKey = CLIENT_PRIVATE_KEY
Address = 10.0.0.2/24


[Peer]
PublicKey = SERVER_PUBLIC_KEY
Endpoint = SERVER_IP_ADDRESS:51820
AllowedIPs = 0.0.0.0/0

Los ajustes en la sección de la interfaz tienen el mismo significado que al configurar el servidor:

• Dirección: una lista separada por comas de direcciones IP v4 o v6 para la wg0interfaz.
• PrivateKey: para ver el contenido del archivo en la máquina cliente, ejecute:sudo cat /etc/wireguard/privatekey

La sección de pares contiene los siguientes campos:

• PublicKey: una clave pública del par al que desea conectarse. /etc/wireguard/publickey(El contenido del archivo del servidor ).
• Punto final: una IP o nombre de host del par al que desea conectarse seguido de dos puntos y luego un número de puerto en el que escucha el par remoto.
• AllowedIPs: una lista separada por comas de direcciones IP v4 o v6 desde las que se permite el tráfico entrante para el par y hacia las que se dirige el tráfico saliente para este par. Usamos 0.0.0.0/0 porque estamos enrutando el tráfico y queremos que el par del servidor envíe paquetes con cualquier IP de origen.

Si necesita configurar clientes adicionales, simplemente repita los mismos pasos usando una dirección IP privada diferente.

Configuración de clientes de Windows

Descargue e instale el paquete msi de Windows desde el sitio web de WireGuard .

Una vez instalada, abra la aplicación WireGuard y haga clic en "Agregar túnel" -> "Agregar túnel vacío..." como se muestra en la imagen a continuación:

Un par de claves públicas se crea automáticamente y se muestra en la pantalla.

Ingrese un nombre para el túnel y edite la configuración de la siguiente manera:

[Interface]
PrivateKey = CLIENT_PRIVATE_KEY
Address = 10.0.0.2/24


[Peer]
PublicKey = SERVER_PUBLIC_KEY
Endpoint = SERVER_IP_ADDRESS:51820
AllowedIPs = 0.0.0.0/0

En la sección de interfaz, agregue una nueva línea para definir la dirección del túnel del cliente.

En la sección de pares, agregue los siguientes campos:

• PublicKey: la clave pública del servidor Ubuntu ( /etc/wireguard/publickeyarchivo).
• Endpoint: la dirección IP del servidor Ubuntu seguida de dos puntos y el puerto WireGuard (51820).
• IP permitidas - 0.0.0.0/0

Una vez hecho esto, haga clic en el botón "Guardar".

Agregue el cliente del mismo nivel al servidor

El último paso es agregar la clave pública del cliente y la dirección IP al servidor:

sudo wg set wg0 peer CLIENT_PUBLIC_KEY allowed-ips 10.0.0.2

Asegúrese de cambiar la CLIENT_PUBLIC_KEYclave pública que generó en la máquina cliente ( sudo cat /etc/wireguard/publickey) y ajuste la dirección IP del cliente si es diferente. Los usuarios de Windows pueden copiar la clave pública desde la aplicación WireGuard.

Una vez hecho esto, regrese a la máquina cliente y abra la interfaz de tunelización.

Clientes Linux y macOS

En los clientes de Linux, ejecute el siguiente comando para abrir la interfaz:

sudo wg-quick up wg0

Ahora debería estar conectado al servidor Ubuntu y el tráfico de su máquina cliente debería enrutarse a través de él. Puedes comprobar la conexión con:

sudo wg

interface: wg0
  public key: sZThYo/0oECwzUsIKTa6LYXLhk+Jb/nqK4kCCP2pyFg=
  private key: (hidden)
  listening port: 48052
  fwmark: 0xca6c

peer: r3imyh3MCYggaZACmkx+CxlD6uAmICI8pe/PGq8+qCg=
  endpoint: XXX.XXX.XXX.XXX:51820
  allowed ips: 0.0.0.0/0
  latest handshake: 1 minute, 22 seconds ago
  transfer: 58.43 KiB received, 70.82 KiB sent

También puede abrir su navegador, escribir "cuál es mi IP" y debería ver la dirección IP de su servidor Ubuntu.

Para detener la tunelización, baje la wg0interfaz:

sudo wg-quick down wg0

Clientes de Windows

Si instaló WireGuard en Windows, haga clic en el botón "Activar". Una vez que los pares estén conectados, el estado del túnel cambiará a Activo:

Conclusión

Le mostramos cómo instalar WireGuard en una máquina con Ubuntu 18.04 y configurarlo como un servidor VPN. Esta configuración le permite navegar por la web de forma anónima manteniendo la privacidad de sus datos de tráfico.

Si tiene algún problema, no dude en dejar un comentario.