wireguard настройка linux
wireguard настройка linux
WireGuard на Linux: как настроить без утечек и ошибок
wireguard настройка linux — не просто установка пакета и запуск демона. Это точная настройка ключей, маршрутизации и правил iptables, чтобы избежать утечек IP и DNS. Если пропустить один параметр в конфиге — весь трафик может идти мимо туннеля.
Почему ваш «безопасный» WireGuard всё равно сливает трафик
Вы выполнили wg-quick up wg0, увидели интерфейс в ip a и решили: «Готово».
Но через минуту сайт ipleak.net показывает ваш реальный IP. Почему?
Проблема не в WireGuard — в конфигурации.
По умолчанию Linux отправляет весь трафик через основной шлюз, даже если вы добавили AllowedIPs = 0.0.0.0/0.
Если не настроить правила iptables или nftables, DNS-запросы могут уходить напрямую к провайдеру (например, «Ростелеком» или «МТС»).
А браузер — через WebRTC — раскроет локальный IP, особенно если вы используете Chrome или Edge.
Даже при идеальном туннеле возможны утечки:
- DNS leak: система использует
/etc/resolv.confвместо DNS-сервера в туннеле. - IPv6 leak: если IPv6 включен, но не перенаправлен в туннель.
- Split DNS misconfiguration: часть доменов разрешается вне туннеля.
- Приложения с собственным сетевым стеком (Telegram Desktop, Discord) иногда игнорируют системные настройки.
Решение — не только в конфиге WireGuard, но и в глубокой интеграции с сетевым стеком ОС.
Чего вам НЕ говорят в других гайдах
Большинство гайдов молчат о трёх вещах:
- Free VPN ≠ безопасный WireGuard. Бесплатные сервисы (включая некоторые с открытым исходным кодом) часто:
- Продают метаданные трафика третьим лицам.
- Подменяют рекламу в HTTP-трафике.
-
Используют ваши устройства как ретрансляторы (как Hola VPN в 2015 году).
Стоимость аренды одного сервера — от $5/мес. Если вы ничего не платите, вы — товар. -
«No logs» — не гарантия. Даже уважаемые провайдеры могут хранить:
- Время подключения.
- IP-адрес подключения.
-
Объём переданных данных.
Это достаточно для корреляции активности, особенно в юрисдикциях 14 Eyes (включая Великобританию и Канаду). -
Kill switch можно обойти. Многие клиенты эмулируют его через скрипты, но при перезагрузке или сбое сети правила iptables сбрасываются. Без persistent rules трафик пойдёт в обход.
Также никто не предупреждает: WireGuard не имеет встроенного механизма смены ключей в реальном времени. Он использует постоянные ключи. Это упрощает настройку, но снижает perfect forward secrecy по сравнению с OpenVPN (где handshake переходит каждые N минут).
WireGuard против OpenVPN и IPsec: цифры вместо маркетинга
Сравним протоколы не по маркетинговым лозунгам, а по техническим характеристикам:
| Параметр | WireGuard | OpenVPN | IPsec/IKEv2 |
|---|---|---|---|
| Шифрование | ChaCha20 + Poly1305 | AES-256-GCM | AES-256-CBC / GCM |
| Handshake | Noise Protocol | TLS 1.3 | IKEv2 |
| Размер кода ядра | ~4000 строк | ~100 000+ строк | ~50 000 строк |
| Поддержка PFS | Да (через rekey) | Да | Да |
| Устойчивость к DPI | Высокая (UDP) | Средняя (можно маскировать) | Низкая (часто блокируется) |
| Скорость (на 1 Гбит/с) | 97–99% | 85–92% | 80–90% |
WireGuard быстрее, потому что работает в пространстве ядра и использует современные алгоритмы.
Но у него есть минус: отсутствие TCP fallback. Если UDP блокируется (как в некоторых корпоративных сетях), туннель не поднимется. OpenVPN может работать поверх TCP 443 — и маскироваться под HTTPS.
Сценарии, где WireGuard спасает (а где — подводит)
WireGuard отлично подходит для:
- Публичных Wi-Fi (кофейни, аэропорты): шифрует весь трафик, защищая от MitM-атак.
- Обхода geo-блокировок: например, доступ к YouTube или Spotify из регионов с ограничениями.
- Торрентов: при условии, что провайдер не блокирует P2P-трафик на уровне DPI.
Но он плохо подходит для:
- Юридически чувствительных задач: журналисты в странах с репрессиями должны использовать Tor + Bridge, а не только WireGuard.
- Сетей с жёстким DPI: если провайдер блокирует все UDP-порты, кроме 53 и 123, придётся использовать Shadowsocks поверх WireGuard или перейти на OpenVPN over TCP.
Важно: использование VPN для обхода блокировок, установленных по решению суда в РФ, может нарушать закон. Мы описываем технические возможности, а не призываем к нарушению законодательства.
Пошаговая настройка: от apt install до проверки на ipleak.net
Шаг 1. Установка
На Ubuntu/Debian:
sudo apt update && sudo apt install wireguard resolvconf
На CentOS/RHEL:
sudo dnf install epel-release
sudo dnf install wireguard-tools
Шаг 2. Генерация ключей
umask 077
wg genkey | tee privatekey | wg pubkey > publickey
Шаг 3. Создание конфига /etc/wireguard/wg0.conf
[Interface]
PrivateKey = ваш_приватный_ключ
Address = 10.66.66.2/32
DNS = 1.1.1.1, 8.8.8.8
[Peer]
PublicKey = публичный_ключ_сервера
Endpoint = vpn.example.com:51820
AllowedIPs = 0.0.0.0/0, ::/0
PersistentKeepalive = 25
Шаг 4. Настройка kill switch (iptables)
sudo iptables -P OUTPUT DROP
sudo iptables -A OUTPUT -o lo -j ACCEPT
sudo iptables -A OUTPUT -o wg0 -j ACCEPT
sudo iptables -A OUTPUT -o eth0 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A OUTPUT -d 192.168.0.0/16 -j ACCEPT # локальная сеть
Сохраните правила:
sudo iptables-save > /etc/iptables/rules.v4
Шаг 5. Запуск и автозагрузка
sudo wg-quick up wg0
sudo systemctl enable wg-quick@wg0
Шаг 6. Проверка
- Зайдите на ipleak.net — должен отображаться IP сервера.
- Проверьте DNS:
nslookup google.com→ должен использовать указанный DNS. - Отключите сеть на 30 секунд → трафик не должен идти напрямую после восстановления.
FAQ: правда о скорости, слежке и анонимности
VPN замедляет интернет на сколько реально?
WireGuard снижает скорость на 3–8% на гигабитном канале. OpenVPN — на 10–20%. На медленных каналах (до 50 Мбит/с) разница почти незаметна.
Меня найдёт спецслужба при использовании VPN?
Если провайдер хранит логи и находится в юрисдикции 14 Eyes — да, по запросу суда. WireGuard сам по себе не делает вас невидимым. Для настоящей анонимности нужны Tor, временные ОС (Tails) и операционная гигиена.
WireGuard или OpenVPN — что безопаснее?
С точки зрения криптографии — оба используют надёжные алгоритмы. Но WireGuard проще, меньше кода → меньше уязвимостей. Однако OpenVPN лучше маскируется под HTTPS, что важно в странах с цензурой.
Нужен ли мне DNS-over-HTTPS при использовании WireGuard?
Если вы указали DNS в конфиге WireGuard и настроили iptables правильно — нет. Но DoH добавляет защиту от локального сниффинга DNS в редких случаях (например, на скомпрометированном роутере).
Можно ли использовать WireGuard на роутере Keenetic или Asus?
Да, но только если прошивка поддерживает Entware или Merlin. На большинстве «коробочных» роутеров придётся использовать OpenVPN. Для Keenetic потребуется NDMS v2 и ручная установка пакетов.
Бесплатный WireGuard-сервер — это ловушка?
Скорее всего — да. Серьёзные провайдеры не дают бесплатно то, что стоит денег. Бесплатные серверы часто используются для сбора трафика, тестирования ботнетов или перепродажи пропускной способности.
Вывод
wireguard настройка linux — это не «скопировал конфиг → работает». Это комплекс мер: генерация ключей, настройка маршрутизации, блокировка утечек через iptables, проверка DNS и IPv6, тестирование на отказоустойчивость. Без этого даже самый современный протокол станет дырявым ведром. Если вы настраиваете WireGuard для торрентов, публичных сетей или обхода блокировок — убедитесь, что kill switch работает даже после перезагрузки. И помните: никакой VPN не заменит здравый смысл и осторожность в сети.
This is a useful reference. A short 'common mistakes' section would fit well here. Clear and practical.