WireGuard является одним из наиболее популярных и простых в использовании VPN-решений, предоставляющих безопасное сетевое соединение. Если вы ищете быстрый и простой способ развернуть собственный VPN-сервер WireGuard с WEB-интерфейсом, то Docker-контейнер представляет отличное решение. В этой статье мы рассмотрим, как установить и запустить Docker-контейнер WireGuard с WEB-интерфейсом за одну команду, а также как подключиться к нему с различных устройств.
Сервер
Развертывание WireGuard WEB UI сервера через Docker
Предварительные настройки
Для начала необходимо установить Ansible
. Это инструмент автоматизации развертывания приложений на удаленных серверах. Выполните следующую команду для установки Ansible:
sudo apt install ansible
Также чтобы ansible
подключатся к удаленному серверу через пароль установите:
sudo apt install sshpass
Далее создайте файл inventory.yml
, в котором нужно указать данные для подключения к серверу, например:
---
all:
hosts:
ИмяСервера1:
ansible_host: IP_Адрес
ansible_user: Пользователь
# SSH порт
ansible_port: 22
# Для этого устанавливали sshpass
ansible_ssh_pass: Пароль
Замените ИмяСервера
, IP_Адрес
, Пользователь
и Пароль
на соответствующие значения для вашего сервера.
Вот та единственная команда
Теперь можно выполнить команду для развертывания WireGuard WEB UI сервера с помощью Docker-контейнера:
Исходник install_wireguard_server.yml
ansible-playbook -i ./inventory.yml -l ИмяСервера1 ./script/install_wireguard_server.yml -e PasswordServer=990990
Здесь ИмяСервера
- имя вашего сервера, PasswordServer
- пароль для WEB-версии WireGuard. После успешного выполнения команды, WEB-версия WireGuard будет доступна по URL: IP_Адрес:51821
. По умолчанию пароль 990990
Клиент
Телефон
Чтобы подключиться к VPN-серверу WireGuard с вашего телефона, выполните следующие шаги:
Установите приложение WireGuard на свой телефон.
Отсканируйте QR-код, как показано на скриншоте ниже:
Нажмите "Добавить" и сохраните настройки VPN.
Linux
Для подключения к VPN-серверу WireGuard на Linux выполните следующие шаги:
Получите файл конфигурации для подключения к VPN-серверу. Выглядит он примерно так:
-
Скопируйте файл конфигурации в папку
/etc/wireguard/
с помощью следующей команды:cp ИмяКонфигурации.conf /etc/wireguard/
-
Подключитесь к VPN-серверу WireGuard с помощью следующей команды:
sudo wg-quick up ИмяКонфигурации
-
Чтобы отключиться от VPN, выполните следующую команду:
sudo wg-quick down ИмяКонфигурации
Теперь у вас есть свой собственный WireGuard VPN сервер с WEB-интерфейсом, развернутый с помощью Docker-контейнера. Вы можете подключиться к нему с различных устройств, включая телефоны и компьютеры с Linux. WireGuard предоставляет безопасное и эффективное шифрованное соединение, которое защищает вашу приватность и обеспечивает безопасность передачи данных в интернете.
Комментарии (16)
samponet
29.05.2023 19:19+4Одна команда, говорите?
Armitage1986
29.05.2023 19:19+10<#insomnia> Нужно выполнить всего три команды, чтобы поставить Gentoo
<#insomnia> cfdisk /dev/hda && mkfs.ext4 /dev/sda1 && mount /dev/hda1 /mnt/gentoo/ && chroot /mnt/gentoo/ env-update && . /etc/profile && emerge --sync && cd /usr/portage && scripts/bootsrap.sh && emerge system && emerge vim && vi /etc/fstab && emerge gentoo-dev-sources && cd /usr/src/linux && make menuconfig && make install modules_install && emerge gnome mozilla-firefox openoffice && emerge grub && cp /boot/grub/grub.conf.sample /boot/grub/grub.conf && vi /boot/grub/grub.conf && grub && init 6
<#insomnia> это первая
M0Peterson
29.05.2023 19:19+2в целом наверное хорошо, но ваергард детектится любыми DPI в т.ч. бесплатным ваершарком. В реалиях обхода блокировок довольно бесполезное решение - ваергард хорош как быстрой роадворриор ВПН для жителей свободных стран.
Lev3250
29.05.2023 19:19+4Детектится, но пока не обрубают. Протокол очень быстрый, и хотя в нём минимальный набор функций, по сути не имеет конкурентов в случаях, если один из клиентов за NAT.
А перейти на shadowsocks всегда успеем
Dolios
29.05.2023 19:19+1Детектится, но пока не обрубают
Кто не обрубает? Я тут в Узбекистан недавно съездил и с удивлением обнаружил, что все мои впн в тыкву превратились...
aborouhin
29.05.2023 19:19Для road warrior VPN он тоже не очень хорош в чистом виде из-за рудиментарных возможностей конфигурирования клиентов. Даже IP динамически не выдать, не говоря уж про то, чтобы push'нуть адрес DNS или маршруты. Но если обернуть в Tailscale / Headscale - уже вполне. Хотя OpenVPN всё равно универсальнее.
WG неплохо работает между серверами/роутерами в SOHO сегменте, в т.ч. из-за отличной поддержки в любимых этим сегментом Микротиках. Канал за рубеж на нём тоже, пока не блокируют по DPI, вполне спокойно можно держать, к свойственной этому каналу высокой latency протокол крайне толерантен.
Но вообще, чтобы подготовиться к возможному закручиванию гаек, надо уже сейчас VPN-сервер для клиентов размещать в России, а от него уже отдельный VPN-туннель за рубеж. Для клиентов выбираем потокол, который удобен для настройки на любых устройствах, гибок в конфигурировании со стороны сервера и т.п. А протокол канала за рубеж с российского сервера в такой схеме хоть каждый день можно, не трогая клиентов, менять на новый.
MiraclePtr
29.05.2023 19:19+1Но вообще, чтобы подготовиться к возможному закручиванию гаек, надо уже сейчас VPN-сервер для клиентов размещать в России, а от него уже отдельный VPN-туннель за рубеж.
Учитывая, что "ТСПУ" (DPI), стоят на бордерах интернет-провайдеров около абонентов, а не на трансграничных магистралях, то весьма вероятно, что такой трюк не сработает.
aborouhin
29.05.2023 19:19Учитывая, что VPN используются не только для обхода блокировок, но и для того, чтобы друг с другом имели связь куча офисов, магазинов, банкоматов, умных устройств, удалённых сотрудников и т.п. внутри самой России, весьма маловероятно, что резать протоколами будут где-то, кроме как на трансграничных магистралях.
Ну максимум могут вернуться к один раз уже пробегавшей идее регистрации корпоративных VPN. Ну так зарегистрируем, в чём проблема.
MiraclePtr
29.05.2023 19:19+1весьма маловероятно, что резать протоколами будут где-то, кроме как на трансграничных магистралях.
Неа. Чтобы резать на трансграничных магистралях, нужно ставить туда ещё кучу этого самого оборудования для DPI. Оно дорогое, а в стране сейчас все деньги на немножко другие цели направлены. А ТСПУ - они уже закуплены, отгружены и настроены сотнями и тысячами, уже стоят и работают у провайдеров, достаточно только конфигурацию подкрутить.
но и для того, чтобы друг с другом имели связь куча офисов, магазинов, банкоматов, умных устройств, удалённых сотрудников и т.п. внутри самой России
Офисы, магазины, банкоматы и терминалы обычно работают не по простому VPN по интернету, в случае мобильного подключения им обычно выделяется свой APN, а в случае наземного подключения - отдельный VLAN. По сути дела это все тоже VPN в его классическом понимании, но блокировка VPN-протоколов в этом случае их не затронет.
А что до остальных - проблемы индейцев шерифа не волнуют. Вообще никак. Несколько лет назад РКН ковровыми бомбардировками целых подсетей положил сдесяток сервисов, и ему было абсолютно насрать на то что у кого-то что-то там сломалось и что бизнес теряет деньги. И ничего ему за это не было.
Опять же, на ТСПУ могут фильтровать абонентам по разным меткам (юрлица давать доступ без ограничений, физлицам резать). Ну и да, упомянутые белые списки для адресов назначения (куда организации внесут свои сервера), тоже вариант.
Ну так зарегистрируем, в чём проблема.
И оформиться в них действительно будет проблема, потому что для этого во-первых нужно быть юрлицом (а ИП скорее всего будет недостаточно, это для крупняка), во-вторых, могуь разрешить только православные VPN-ы на сертифицированном и подконтрольном РКН оборудовании и софте (с ГОСТ-шифрованием, лол), и в-третьих законы о том что внутри VPN трафик должен фильтроваться и контролироваться уже есть, достаточно добавит статью и давать за его нарушение (если вдруг случайно где-то прокололся) уголовку лет так на десять - и мало какой директор юрлица захочет ввязываться в подобные авантюры. Напоминаю, вы играете в карты с матёрым шулером его же колодой, и всерьез надеетесь его при этом обыграть.
avelor
29.05.2023 19:19Да не очень он для роадворриоров. Для них лучше ssl vpn, вроде any(open)connect - желательно без необходимости локального конфига. Работает лучше через разных стрёмных провайдеров, блочить сложнее, можно выдавать адреса из пула и пушить наборы маршрутов-резолверов
Vincent1
29.05.2023 19:19Почему бесполезное? fb + insta работают
MiraclePtr
29.05.2023 19:19Речь о том, что пока работают. Но могут быть элементарно заблокированы по щелчку пальца.
sergeygeygeygey
29.05.2023 19:19+1хороший веб интерфейс для WG, но есть нюанс, это уязвимости авторизации. Не забудьте или настроить фаерволл, или вообще тогда не поднимать данное решение.
Lev3250
Всё то же самое, но без ansible можно сделать с официальной страницы wgeasy
https://github.com/wg-easy/wg-easy
P.S. доступ к админке лучше оставлять только из локальной сети. То есть сначала подключаемся к туннелю, а потом идём на :51821 по локальному адресу