WireGuard является одним из наиболее популярных и простых в использовании VPN-решений, предоставляющих безопасное сетевое соединение. Если вы ищете быстрый и простой способ развернуть собственный VPN-сервер WireGuard с WEB-интерфейсом, то Docker-контейнер представляет отличное решение. В этой статье мы рассмотрим, как установить и запустить Docker-контейнер WireGuard с WEB-интерфейсом за одну команду, а также как подключиться к нему с различных устройств.

Исходники

Сервер

Развертывание WireGuard WEB UI сервера через Docker

Предварительные настройки

Для начала необходимо установить Ansible. Это инструмент автоматизации развертывания приложений на удаленных серверах. Выполните следующую команду для установки Ansible:

sudo apt install ansible

Также чтобы ansible подключатся к удаленному серверу через пароль установите:

sudo apt install sshpass

Далее создайте файл inventory.yml, в котором нужно указать данные для подключения к серверу, например:

---
all:
    hosts:
        ИмяСервера1:
            ansible_host: IP_Адрес
            ansible_user: Пользователь
            # SSH порт
            ansible_port: 22
            # Для этого устанавливали sshpass
            ansible_ssh_pass: Пароль

Замените ИмяСервера, IP_Адрес, Пользователь и Пароль на соответствующие значения для вашего сервера.

Вот та единственная команда

Теперь можно выполнить команду для развертывания WireGuard WEB UI сервера с помощью Docker-контейнера:

Исходник install_wireguard_server.yml

ansible-playbook -i ./inventory.yml -l ИмяСервера1 ./script/install_wireguard_server.yml -e PasswordServer=990990

Здесь ИмяСервера - имя вашего сервера, PasswordServer - пароль для WEB-версии WireGuard. После успешного выполнения команды, WEB-версия WireGuard будет доступна по URL: IP_Адрес:51821. По умолчанию пароль 990990

Клиент

Телефон

Чтобы подключиться к VPN-серверу WireGuard с вашего телефона, выполните следующие шаги:

  1. Установите приложение WireGuard на свой телефон.

  2. Отсканируйте QR-код, как показано на скриншоте ниже:

  1. Нажмите "Добавить" и сохраните настройки VPN.

Linux

Для подключения к VPN-серверу WireGuard на Linux выполните следующие шаги:

Получите файл конфигурации для подключения к VPN-серверу. Выглядит он примерно так:

  1. Скопируйте файл конфигурации в папку /etc/wireguard/ с помощью следующей команды:

    cp ИмяКонфигурации.conf /etc/wireguard/
  2. Подключитесь к VPN-серверу WireGuard с помощью следующей команды:

    sudo wg-quick up ИмяКонфигурации
  3. Чтобы отключиться от VPN, выполните следующую команду:

    sudo wg-quick down ИмяКонфигурации

Теперь у вас есть свой собственный WireGuard VPN сервер с WEB-интерфейсом, развернутый с помощью Docker-контейнера. Вы можете подключиться к нему с различных устройств, включая телефоны и компьютеры с Linux. WireGuard предоставляет безопасное и эффективное шифрованное соединение, которое защищает вашу приватность и обеспечивает безопасность передачи данных в интернете.

Комментарии (16)


  1. Lev3250
    29.05.2023 19:19
    +11

    Всё то же самое, но без ansible можно сделать с официальной страницы wgeasy

    https://github.com/wg-easy/wg-easy

    P.S. доступ к админке лучше оставлять только из локальной сети. То есть сначала подключаемся к туннелю, а потом идём на :51821 по локальному адресу


  1. samponet
    29.05.2023 19:19
    +4

    Одна команда, говорите?


    1. needbmw
      29.05.2023 19:19

      Ну да, ./install.sh


    1. Armitage1986
      29.05.2023 19:19
      +10

      <#insomnia> Нужно выполнить всего три команды, чтобы поставить Gentoo

      <#insomnia> cfdisk /dev/hda && mkfs.ext4 /dev/sda1 && mount /dev/hda1 /mnt/gentoo/ && chroot /mnt/gentoo/ env-update && . /etc/profile && emerge --sync && cd /usr/portage && scripts/bootsrap.sh && emerge system && emerge vim && vi /etc/fstab && emerge gentoo-dev-sources && cd /usr/src/linux && make menuconfig && make install modules_install && emerge gnome mozilla-firefox openoffice && emerge grub && cp /boot/grub/grub.conf.sample /boot/grub/grub.conf && vi /boot/grub/grub.conf && grub && init 6

      <#insomnia> это первая


  1. M0Peterson
    29.05.2023 19:19
    +2

    в целом наверное хорошо, но ваергард детектится любыми DPI в т.ч. бесплатным ваершарком. В реалиях обхода блокировок довольно бесполезное решение - ваергард хорош как быстрой роадворриор ВПН для жителей свободных стран.


    1. Lev3250
      29.05.2023 19:19
      +4

      Детектится, но пока не обрубают. Протокол очень быстрый, и хотя в нём минимальный набор функций, по сути не имеет конкурентов в случаях, если один из клиентов за NAT.

      А перейти на shadowsocks всегда успеем


      1. Dolios
        29.05.2023 19:19
        +1

        Детектится, но пока не обрубают

        Кто не обрубает? Я тут в Узбекистан недавно съездил и с удивлением обнаружил, что все мои впн в тыкву превратились...


    1. aborouhin
      29.05.2023 19:19

      Для road warrior VPN он тоже не очень хорош в чистом виде из-за рудиментарных возможностей конфигурирования клиентов. Даже IP динамически не выдать, не говоря уж про то, чтобы push'нуть адрес DNS или маршруты. Но если обернуть в Tailscale / Headscale - уже вполне. Хотя OpenVPN всё равно универсальнее.

      WG неплохо работает между серверами/роутерами в SOHO сегменте, в т.ч. из-за отличной поддержки в любимых этим сегментом Микротиках. Канал за рубеж на нём тоже, пока не блокируют по DPI, вполне спокойно можно держать, к свойственной этому каналу высокой latency протокол крайне толерантен.

      Но вообще, чтобы подготовиться к возможному закручиванию гаек, надо уже сейчас VPN-сервер для клиентов размещать в России, а от него уже отдельный VPN-туннель за рубеж. Для клиентов выбираем потокол, который удобен для настройки на любых устройствах, гибок в конфигурировании со стороны сервера и т.п. А протокол канала за рубеж с российского сервера в такой схеме хоть каждый день можно, не трогая клиентов, менять на новый.


      1. MiraclePtr
        29.05.2023 19:19
        +1

        Но вообще, чтобы подготовиться к возможному закручиванию гаек, надо уже сейчас VPN-сервер для клиентов размещать в России, а от него уже отдельный VPN-туннель за рубеж.

        Учитывая, что "ТСПУ" (DPI), стоят на бордерах интернет-провайдеров около абонентов, а не на трансграничных магистралях, то весьма вероятно, что такой трюк не сработает.


        1. aborouhin
          29.05.2023 19:19

          Учитывая, что VPN используются не только для обхода блокировок, но и для того, чтобы друг с другом имели связь куча офисов, магазинов, банкоматов, умных устройств, удалённых сотрудников и т.п. внутри самой России, весьма маловероятно, что резать протоколами будут где-то, кроме как на трансграничных магистралях.

          Ну максимум могут вернуться к один раз уже пробегавшей идее регистрации корпоративных VPN. Ну так зарегистрируем, в чём проблема.


          1. MiraclePtr
            29.05.2023 19:19
            +1

            весьма маловероятно, что резать протоколами будут где-то, кроме как на трансграничных магистралях.

            Неа. Чтобы резать на трансграничных магистралях, нужно ставить туда ещё кучу этого самого оборудования для DPI. Оно дорогое, а в стране сейчас все деньги на немножко другие цели направлены. А ТСПУ - они уже закуплены, отгружены и настроены сотнями и тысячами, уже стоят и работают у провайдеров, достаточно только конфигурацию подкрутить.

            но и для того, чтобы друг с другом имели связь куча офисов, магазинов, банкоматов, умных устройств, удалённых сотрудников и т.п. внутри самой России

            Офисы, магазины, банкоматы и терминалы обычно работают не по простому VPN по интернету, в случае мобильного подключения им обычно выделяется свой APN, а в случае наземного подключения - отдельный VLAN. По сути дела это все тоже VPN в его классическом понимании, но блокировка VPN-протоколов в этом случае их не затронет.

            А что до остальных - проблемы индейцев шерифа не волнуют. Вообще никак. Несколько лет назад РКН ковровыми бомбардировками целых подсетей положил сдесяток сервисов, и ему было абсолютно насрать на то что у кого-то что-то там сломалось и что бизнес теряет деньги. И ничего ему за это не было.

            Опять же, на ТСПУ могут фильтровать абонентам по разным меткам (юрлица давать доступ без ограничений, физлицам резать). Ну и да, упомянутые белые списки для адресов назначения (куда организации внесут свои сервера), тоже вариант.

            Ну так зарегистрируем, в чём проблема.

            И оформиться в них действительно будет проблема, потому что для этого во-первых нужно быть юрлицом (а ИП скорее всего будет недостаточно, это для крупняка), во-вторых, могуь разрешить только православные VPN-ы на сертифицированном и подконтрольном РКН оборудовании и софте (с ГОСТ-шифрованием, лол), и в-третьих законы о том что внутри VPN трафик должен фильтроваться и контролироваться уже есть, достаточно добавит статью и давать за его нарушение (если вдруг случайно где-то прокололся) уголовку лет так на десять - и мало какой директор юрлица захочет ввязываться в подобные авантюры. Напоминаю, вы играете в карты с матёрым шулером его же колодой, и всерьез надеетесь его при этом обыграть.


    1. avelor
      29.05.2023 19:19

      Да не очень он для роадворриоров. Для них лучше ssl vpn, вроде any(open)connect - желательно без необходимости локального конфига. Работает лучше через разных стрёмных провайдеров, блочить сложнее, можно выдавать адреса из пула и пушить наборы маршрутов-резолверов


    1. Vincent1
      29.05.2023 19:19

      Почему бесполезное? fb + insta работают


      1. MiraclePtr
        29.05.2023 19:19

        Речь о том, что пока работают. Но могут быть элементарно заблокированы по щелчку пальца.


    1. papanin
      29.05.2023 19:19

      Можно попробовать вот такое решение
      https://www.wiresock.net/


  1. sergeygeygeygey
    29.05.2023 19:19
    +1

    хороший веб интерфейс для WG, но есть нюанс, это уязвимости авторизации. Не забудьте или настроить фаерволл, или вообще тогда не поднимать данное решение.