Wireguard参考

待整理
## centos7安装Wireguard
```
sudo yum install epel-release elrepo-release -y
sudo yum install kmod-wireguard wireguard-tools -y

```
创建server端的公私钥
创建client端的公私钥
```
cd /etc/wireguard/
wg genkey | tee privatekey-server | wg pubkey > publickey-server
wg genkey | tee privatekey-client | wg pubkey > publickey-client

[root@localhost wireguard]# ls
privatekey-client  privatekey-server  publickey-client  publickey-server
```

其中privatekey为私钥，publickey为公钥

## 创建wg0.conf服务器配置文件

```
# 依旧在 /etc/wireguard 目录下执行
vi wg0.conf
```
# 复制以下参考配置
以下参考配置可以自行修改

```
[Interface] 区域为服务器端。
[Interface] - PrivateKey 为上文创建的服务器端私钥，即server.key。
Address 为服务端的内网 IP，可以自行选择例如192.168.0.1或10.0.0.1，但是需注意请勿和服务器所在内网网段冲突，例如博主家内网网段为 192.168.1.X，这台 CentOS 7 服务器的内网 IP 为 192.168.1.15，则不能使用 192.168.1.X 该网段。
ListenPort 为服务端口，需在防火墙开放此端口的UDP访问，或进行路由器端口映射。
DNS 服务器自行选择。
PostUp 为启动命令的 iptabls 配置，注意需要修改 ens192 为你的服务器网卡名。
PostDown 为停止命令的 iptabls 配置，注意需要修改 ens192 为你的服务器网卡名。
[Peer] 为客户端配置，必须为每个客户端分别配置。
[Peer] - PublicKey 为上文创建的客户端公钥，即macos.key.pub。
AllowedIPs 为该客户端指定 IP，注意不要和其他客户端冲突。
PresharedKey 为预共享密钥，根据上文可选设置。
```

```
[Interface]
PrivateKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Address = 10.0.0.1
ListenPort = 45678
DNS = 114.114.114.114
MTU = 1420

下面的防火墙策略内容本次没添加：
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -A FORWARD -o wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o ens192 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -D FORWARD -o wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o ens192 -j MASQUERADE

# client123
[Peer]
PublicKey =  xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
AllowedIPs = 10.0.0.2/32,10.10.0.0/16
```

注：
这段代码是针对iptables功能进行配置的，作用是在网络转发过程中允许流经"wg0"接口的数据包，并且将数据包从"ens192"接口上出去时进行源地址转换。
具体作用如下：
- PostUp：当网络接口"wg0"激活时，设置iptables规则，将通过"wg0"接口转发的数据包允许通过，并且设置"ens192"接口上出去的数据包进行源地址转换。
- PostDown：当网络接口"wg0"被关闭时，删除上述设置的iptables规则。

综上所述，这段代码的作用是为了配置网络转发和源地址转换规则，以实现指定接口的数据包流通和转发。

注：
如果不需要源地址转换功能，可以将上述代码的最后一行删除，只保留前两行即可，如下所示：
```
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -A FORWARD -o wg0 -j ACCEPT
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -D FORWARD -o wg0 -j ACCEPT

```
这样设置后，当网络接口"wg0"激活时，iptables将会允许通过"wg0"接口转发的数据包，同时也会允许从"wg0"接口传出的数据包通过。当网络接口"wg0"被关闭时，iptables将会删除上述设置的规则。

开启内核转发功能,系统其它设置打开转发：
```

echo 1 > /proc/sys/net/ipv4/ip_forward
echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
echo "net.ipv4.conf.all.proxy_arp = 1" >> /etc/sysctl.conf
sysctl -p
```

启动服务
执行以下命令启动服务，并设置开机自动启动。
```

wg-quick up wg0
# 启动
wg-quick down wg0
# 停止

systemctl enable wg-quick@wg0
# 设置开机自动启动
```

防火墙放通端口
```
iptables -I INPUT -p tcp -m tcp --dport 45678 -j ACCEPT
iptables -I INPUT -p udp -m udp --dport 45678 -j ACCEPT
netstat -ntulp
```

=================================
客户端
# 客户端配置 示例 iPhone
[Interface]
Address = 10.0.0.2/24
PrivateKey = 客户端私钥
DNS = 114.114.114.114

# 服务端配置
[Peer]
PublicKey = 服务器公钥
AllowedIPs = 0.0.0.0/0
Endpoint = 192.168.10.2:45678

===============
配置热重载
wg-quick并未提供重载相关的指令，但是提供了 strip 指令，可以将 conf 文件转换为 wg 指令可以识别的格式

# 实现热重载
`wg syncconf wg0 <(wg-quick strip wg0)`

```
查看信息
wg  或 wg show

查看接口信息

# 查看系统 VPN 接口信息
ip link show wg0# 查看 VPN 接口详细信息
wg show all
wg show wg0

```
Centos7 搭建wireguard隧道组建网络
https://www.365log.cn/archives/342/

CentOS 7 安装 WireGuard 详细教程
https://www.ioiox.com/archives/163.html

WireGuard 的使用与配置详解
http://www.taodudu.cc/news/show-2440772.html?action=onClick

centos 7 下安装 Wireguard
https://www.dianjilingqu.com/163634.html