Cài đặt WireGuard VPN trên Debian 12

[theanh]

Wireguard là một giao thức VPN nguồn mở thay thế cho IPSec, IKEv2 và OpenVPN. Wiruguard được thiết kế cho hệ điều hành Linux và Unix, chạy trên không gian hạt nhân Linux, giúp Wireguard nhanh hơn và đáng tin cậy hơn. Wireguard được sử dụng để tạo kết nối đường hầm an toàn giữa hai máy tính trở lên.

Wireguard hướng đến mục tiêu thay thế các giao thức VPN như IPSec, IKEv2 và OpenVPN. Wireguard nhẹ hơn, nhanh hơn, dễ thiết lập và hiệu quả hơn. Đồng thời, Wiregurad không hy sinh khía cạnh bảo mật của giao thức VPN. Wireguard hỗ trợ mật mã hiện đại như khung giao thức Noise, Curve25519, ChaCha20, Poly1305, BLAKE2, SipHash24, HKDF và các cấu trúc đáng tin cậy an toàn.

Hướng dẫn này sẽ chỉ cho bạn cách cài đặt Wireguard VPN trên máy chủ Debian 12 và cấu hình máy khách Wireguard trên máy Linux.

Điều kiện tiên quyết​

Trước khi bắt đầu, hãy đảm bảo bạn có các yêu cầu sau:

• Máy chủ Linux chạy Debian 12.
• Người dùng không phải root có quyền sudo.
• Máy khách - Trong trường hợp này sử dụng bản phân phối dựa trên Debian.

Chuẩn bị hệ thống​

Trước khi cài đặt Wireguard, bạn phải chuẩn bị máy chủ Debian bằng cách thực hiện các thay đổi sau:

• Bật Chuyển tiếp cổng qua /etc/sysctl.conf
• Cài đặt và cấu hình UFW

Bây giờ chúng ta hãy bắt đầu.

Bật chuyển tiếp cổng​

Để bật chuyển tiếp cổng, bạn phải bật mô-đun hạt nhân net.ipv4.ip_forward cho IPv4 hoặc net.ipv6.conf.all.forwarding cho IPv6. Các mô-đun hạt nhân đó có thể được kích hoạt thông qua tệp /etc/sysctl.conf.

Mở tệp /etc/sysctl.conf bằng lệnh trình chỉnh sửa nano sau.

sudo nano /etc/sysctl.conf

Chèn cấu hình sau để kích hoạt chuyển tiếp cổng cho cả IPv4 và IPv6 (nếu cần).

# Port Forwarding for IPv4
net.ipv4.ip_forward=1

# Port forwarding for IPv6
net.ipv6.conf.all.forwarding=1

Lưu tệp và thoát khỏi trình chỉnh sửa khi hoàn tất.

Bây giờ hãy áp dụng các thay đổi thông qua lệnh sysctl bên dưới.

sudo sysctl -p

data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22435%22%20height=%22142%22%3E%3C/svg%3E

Cài đặt UFW​

Tường lửa mặc định trên Debian là iptables và bây giờ bạn sẽ cài đặt UFW. Bạn sẽ sử dụng cả UFW và iptables cho máy chủ Wirguard.

Thực hiện lệnh apt bên dưới để cập nhật kho lưu trữ và cài đặt UFW vào hệ thống Debian của bạn.

sudo apt update && sudo apt install ufw -y

data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22684%22%20height=%22439%22%3E%3C/svg%3E


Tiếp theo, chạy lệnh ufw bên dưới để thêm hồ sơ ứng dụng OpenSSH và bật UFW. Gõ y và nhấn ENTER để xác nhận, và bạn sẽ nhận được thông báo "Tường lửa đang hoạt động và được bật khi khởi động hệ thống".

sudo ufw allow OpenSSH
sudo ufw enable

data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22721%22%20height=%22194%22%3E%3C/svg%3E


Cuối cùng, hãy xác minh trạng thái UFW bằng lệnh bên dưới.

sudo ufw status

Nếu đang chạy, bạn sẽ nhận được đầu ra "Trạng thái: đang hoạt động." Bạn cũng sẽ thấy rằnghồ sơ ứng dụng OpenSSH được thêm vào UFW.


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22497%22%20height=%22181%22%3E%3C/svg%3E

Cài đặt Máy chủ Wireguard​

Sau khi cấu hình máy chủ Debian, bạn đã sẵn sàng tạo Máy chủ VPN Wireguard trên máy Debian của mình. Hoàn thành nhiệm vụ sau để đạt được mục tiêu:

• Cài đặt Wireguard
• Tạo khóa máy chủ Wireguard
• Tạo khóa máy khách Wireguard
• Cấu hình giao diện Wireguard
• Thiết lập NAT cho giao diện Wireguard

Chúng ta hãy thực hiện điều này.

Cài đặt Wireguard​

Trước tiên, hãy cài đặt gói wireguard vào máy chủ Debian của bạn bằng cách thực hiện lệnh sau.

sudo apt install wireguard

Nhập y để tiếp tục cài đặt.


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22275%22%3E%3C/svg%3E

Tạo khóa máy chủ Wireguard​

Sau khi gói wireguard được cài đặt, nhiệm vụ tiếp theo là tạo chứng chỉ máy chủ, có thể thực hiện bằng công cụ dòng lệnh wg.

Thực hiện lệnh sau để tạo khóa riêng của máy chủ wireguard thành /etc/wireguard/server.key. Sau đó, thay đổi quyền của khóa riêng của máy chủ thành 0400, nghĩa là bạn sẽ vô hiệu hóa quyền ghi vào tệp.

wg genkey | sudo tee /etc/wireguard/server.key
sudo chmod 0400 /etc/wireguard/server.key

Tiếp theo, chạy lệnh sau để tạo khóa chung của máy chủ wireguard thành /etc/wireguard/server.pub.

sudo cat /etc/wireguard/server.key | wg pubkey | sudo tee /etc/wireguard/server.pub

data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22168%22%3E%3C/svg%3E


Bây giờ bạn đã tạo khóa riêng cho /etc/wireguard/server.key và khóa công khai cho /etc/wireguard/server.pub cho máy chủ wireguard của bạn. Bạn có thể thực hiện lệnh cat bên dưới để hiển thị nội dung của cả khóa riêng tư và khóa công khai.

cat /etc/wireguard/server.key
cat /etc/wireguard/server.pub

Bạn có thể có đầu ra khác, nhưng các khóa được tạo trông giống như sau:


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22457%22%20height=%22142%22%3E%3C/svg%3E

Đang tạo Wireguard Client Khóa​

Với khóa máy chủ wireguard đã tạo, nhiệm vụ tiếp theo là tạo khóa cho máy khách. Bạn có thể tạo khóa máy khách cho từng người dùng, nhưng bạn cũng có thể sử dụng một khóa duy nhất cho nhiều người dùng.

Trong ví dụ này, bạn sẽ tạo khóa máy khách cho một người dùng cụ thể alice.

Để bắt đầu, hãy thực hiện lệnh sau để tạo một thư mục mới để lưu trữ khóa máy khách. Trong trường hợp này, khóa công khai và khóa riêng tư cho người dùng alice sẽ được tạo trong thư mục /etc/wireguard/clients/alice.

mkdir -p /etc/wireguard/clients/alice

Bây giờ, hãy chạy lệnh sau để tạo khóa riêng tư /etc/wireguard/clients/alice/alice.key và khóa công khai /etc/wireguard/clients/alice/alice.pub cho người dùng alice.

wg genkey | tee /etc/wireguard/clients/alice/alice.key
cat /etc/wireguard/clients/alice/alice.key | wg pubkey | tee /etc/wireguard/clients/alice/alice.pub

data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22127%22%3E%3C/svg%3E


Cuối cùng, chạy lệnh bên dưới để hiển thị nội dung của khóa riêng tư và khóa công khai cho người dùng alice.

cat /etc/wireguard/clients/alice/alice.key
cat /etc/wireguard/clients/alice/alice.pub

Kết quả tương tự như sau sẽ được hiển thị:


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22577%22%20height=%22146%22%3E%3C/svg%3E

Cấu hình giao diện Wireguard​

Bây giờ bạn đã tạo khóa riêng tư và khóa công khai cho cả máy chủ và máy khách, nhiệm vụ tiếp theo là cấu hình giao diện Wireguard và đối tác. Bạn sẽ cấu hình giao diện cho VPN và đối tác mạng Wireguard sẽ thiết lập giữa máy khách và máy chủ.

Tạo cấu hình Wireguard mới /etc/wireguard/wg0.conf bằng lệnh nano editor sau.

sudo nano /etc/wireguard/wg0.conf

Chèn cấu hình sau vào file.

[Interface]
# Wireguard Server private key - server.key
PrivateKey = cNBb6MGaKhmgllFxSq/h9BdYfZOdyKvo8mjzb2STbW8=

# Wireguard interface will be run at 10.10.0.1
Address = 10.10.0.1/24

# Clients will connect to UDP port 51820
ListenPort = 51820

# Ensure any changes will be saved to the Wireguard config file
SaveConfig = true

Dưới đây là các thông số chi tiết sẽ được sử dụng trong phần [Giao diện]:

• PrivateKey: Nhập khóa riêng của máy chủ wireguard server.key.
• Address: địa chỉ IP sẽ được gán cho giao diện Wireguard. Trong trường hợp này, giao diện wireguard sẽ có địa chỉ IP là 10.10.0.1.
• ListenPort: Đây là cổng sẽ được máy khách sử dụng để kết nối với máy chủ wireguard. Trong trường hợp này, cổng 51820 sẽ được sử dụng.
• SaveConfig: giá trị true có nghĩa là mọi thay đổi sẽ được lưu từ trạng thái hiện tại của giao diện cho đến khi tắt máy.

Bây giờ hãy thêm phần [Peer] sau cho các máy khách wireguard.

[Peer]
# Wireguard client public key - alice.pub
PublicKey = 3ZoaoVgHOioZnKzCrF/XALAv70V4vyJXpl/UO7AKYzA=

# clients' VPN IP addresses you allow to connect
# possible to specify subnet ⇒ [10.10.0.0/24]
AllowedIPs = 10.10.0.2/24

Dưới đây là các tham số được sử dụng trong phần [Peer]:

PublicKey: Nhập khóa công khai của máy khách wireguard vào tham số này. Trong trường hợp này, nội dung của khóa công khai alice.pub.
AllowedIPs: Xác định địa chỉ IP cho máy khách và định tuyến lưu lượng đến giao diện wireguard.

Lưu và đóng tệp khi bạn hoàn tất.

Cuối cùng, chạy lệnh sau để mở cổng 51820/udp cho các kết nối máy khách.

sudo ufw allow 51820/udp

Thiết lập NAT cho Giao diện Wireguard​

Trước tiên, chạy lệnh sau để hiển thị giao diện cổng mặc định được sử dụng để kết nối với internet.

sudo ip route list default

Trong trường hợp này, cổng internet mạng mặc định là giao diện eth0.


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22424%22%20height=%22114%22%3E%3C/svg%3E


Bây giờ hãy mở cấu hình wireguard /etc/wireguard/wg0.conf bằng trình chỉnh sửa nano sau lệnh.

sudo nano /etc/wireguard/wg0.conf

Thêm cấu hình sau vào phần [Giao diện] và đảm bảo thay đổi giao diện eth0 bằng giao diện cổng internet mặc định.

[Interface]
...

PostUp = ufw route allow in on wg0 out on eth0
PostUp = iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE
PostUp = ip6tables -t nat -I POSTROUTING -o eth0 -j MASQUERADE

PreDown = ufw route delete allow in on wg0 out on eth0
PreDown = iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
PreDown = ip6tables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

Lưu và đóng tệp khi hoàn tất.

Tại thời điểm này, bạn đã cấu hình xong máy chủ Wireguard của mình.

Quản lý dịch vụ Wireguard​

Bây giờ quá trình cài đặt và cấu hình máy chủ Wireguard đã hoàn tất, bạn đã sẵn sàng để bắt đầu dịch vụ Wireguard trên hệ thống Debian của mình. Bạn có thể thực hiện việc này thông qua lệnh systemctl hoặc bằng cách sử dụng tiện ích wg-quick.

Để bắt đầu và kích hoạt máy chủ wireguard, hãy chạy lệnh systemctl sau. Với tên dịch vụ wg-quick@wg0, bạn sẽ khởi động Wireguard trong giao diện wg0, dựa trên cấu hình /etc/wireguard/wg0.conf.

sudo systemctl start [emailprotected]
sudo systemctl enable [emailprotected]

Bây giờ hãy xác minh dịch vụ wirguard@wg0 bằng cách sử dụng lệnh sau lệnh.

sudo systemctl status [emailprotected]

Nếu dịch vụ đang chạy, đầu ra sau sẽ được hiển thị.


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22332%22%3E%3C/svg%3E


Tiếp theo, chạy lệnh ip bên dưới để hiển thị thông tin chi tiết về giao diện wireguard wg0. Và bạn sẽ thấy giao diện wireguard wg0 có địa chỉ IP 10.10.0.1.

sudo ip a show wg0

data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22574%22%20height=%22176%22%3E%3C/svg%3E


Bạn cũng có thể khởi động hoặc dừng wireguard theo cách thủ công thông qua lệnh wg-quick bên dưới.

sudo wg-quick up /etc/wireguard/wg0.conf
sudo wg-quick down /etc/wireguard/wg0.conf

Với điều này, bạn đã cấu hình máy chủ wireguard và khởi động nó ở chế độ nền thông qua lệnh systemctl. Máy khách của bạn hiện đã sẵn sàng kết nối với máy chủ wireguard.

Thiết lập Máy khách Wireguard trên Bản phân phối dựa trên Debian​

Trong phần sau, bạn sẽ cấu hình máy khách wireguard cho bản phân phối dựa trên Debian. Bạn sẽ cài đặt các công cụ wireguard, tạo cấu hình máy khách wireguard, kết nối với máy chủ wireguard, xác minh kết nối thông qua tiện ích wg và truy cập Internet.

Cài đặt gói wireguard-tools vào máy khách thông qua APT. Máy khách là bản phân phối dựa trên Debian, do đó trình quản lý gói APT sẽ được sử dụng.

sudo apt install wireguard-tools resolvconf

data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22616%22%20height=%22243%22%3E%3C/svg%3E


Sau khi cài đặt wireguard-tools, hãy tạo cấu hình máy khách wireguard mới /etc/wireguard/wg-alice.conf bằng cách sử dụng trình soạn thảo nano sau.

sudo nano /etc/wireguard/wg-alice.conf

Chèn cấu hình sau vào tệp.

[Interface]
# Define the IP address for the client - must be matched with wg0 on the Wireguard Server
Address = 10.10.0.2/24

# specific DNS Server
DNS = 1.1.1.1

# Private key for the client - alice.key
PrivateKey = cPDg6SQHz/3l2R83lMWPzmR6/mMKnKp9PNImbtB6nGI=

[Peer]
# Public key of the Wireguard server - server.pub
PublicKey = APyBQvTkYVm0oakzcQUQViarwx1aIYz5wb/g2v2xdUE=

# Allow all traffic to be routed via Wireguard VPN
AllowedIPs = 0.0.0.0/0

# Public IP address of the Wireguard Server
Endpoint = 192.168.128.15:51820

# Sending Keepalive every 25 sec
PersistentKeepalive = 25

Lưu và đóng tệp khi bạn hoàn tất.

Dưới đây là một số tham số trong phần [Giao diện] dành cho máy khách wireguard:

• Địa chỉ: chỉ định địa chỉ IP nội bộ của giao diện wireguard trên máy khách.
• DNS: thiết lập máy chủ DNS mặc định cho máy khách.
• PrivateKey: khóa riêng của máy khách wireguard, trong trường hợp này, là alice.key.

Và trong phần [Peer] trên cấu hình máy khách wireguard:

• PublicKey: đây là khóa công khai của máy chủ wireguard, là server.pub.
• AllowedIPs: Cho phép mọi truy cập được định tuyến qua giao diện wireguard.
• Điểm cuối: địa chỉ IP và cổng của máy chủ wireguard.
• PersistentKeepalive: gửi keepalive sau mỗi x giây để duy trì kết nối.

Tiếp theo, chạy lệnh wg-quick bên dưới để khởi động wireguard trên giao diện wg-alice.

sudo wg-quick up wg-alice

Nếu mọi thứ diễn ra tốt đẹp, đầu ra tương tự bên dưới sẽ được hiển thị.


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22508%22%20height=%22312%22%3E%3C/svg%3E


Sau đó, chạy lệnh ip bên dưới để kiểm tra thông tin chi tiết về giao diện wg-alice. Và bạn sẽ thấy giao diện wg-alice có địa chỉ IP cục bộ 10.10.0.2.

sudo ip a show wg-alice

data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22626%22%20height=%22173%22%3E%3C/svg%3E


Tiếp theo, hãy xác minh kết nối internet của máy khách bằng cách thực hiện lệnh sau lệnh.

ping -c3 10.10.0.1
ping -c3 1.1.1.1
ping -c3 duckduckgo.com

Nếu cài đặt máy chủ wireguard thành công, bạn sẽ nhận được câu trả lời từ mỗi máy chủ đích như sau:


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22725%22%20height=%22506%22%3E%3C/svg%3E


Ngoài ra, bạn cũng có thể chi tiết hóa các kết nối giữa máy chủ wireguard và máy khách bằng cách thực hiện lệnh sau trên máy chủ wireguard hoặc máy khách máy.

wg show

Đầu ra tương tự bên dưới sẽ được hiển thị.


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22567%22%20height=%22303%22%3E%3C/svg%3E


Cuối cùng, để dừng kết nối wireguard trên máy khách, hãy chạy lệnh wg-quick bên dưới.

sudo wg-quick down wg-alice

data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22541%22%20height=%22198%22%3E%3C/svg%3E

Kết luận​

Để kết thúc, bạn đã hoàn tất cài đặt Wireguard VPN trên máy chủ Debian 12 theo từng bước. Bạn cũng đã cấu hình máy khách dựa trên Debian với Wireguard và kết nối với Máy chủ Wireguard. Với điều này, giờ đây bạn có thể thêm nhiều máy khách hơn bằng cách thêm nhiều khóa Wireguard và cấu hình ngang hàng.