7.7. 使用 RHEL web 控制台配置 WireGuard 服务器

流程

1. 在屏幕左侧的导航中选择 Networking 选项卡。
2. 在 Interfaces 部分中点 Add VPN。
3. 如果没有安装 wireguard-tools 和 systemd-resolved 软件包，Web 控制台会显示一条相应的通知。点 Install 安装这些软件包。
4. 输入您要创建的 WireGuard 设备的名称。

5. 配置此主机的密钥对：

   • 如果要使用 web 控制台已创建的密钥：

     1. 在 Private key 区域中保留预先选择的 Generated 选项。
     2. 注意 Public key 值。配置客户端时需要此信息。

   • 如果要使用现有的私钥：

     1. 在 Private key 区域中选择 Paste existing key。
     2. 将私钥粘贴到文本字段中。Web 控制台自动计算相应的公钥。

6. 为传入的 WireGuard 连接设置一个侦听端口号，如 51820。

   在主机上始终设置固定端口号，接收传入的 WireGuard 连接。如果您没有设置端口，WireGuard 会在每次激活接口时都使用一个随机的空闲端口。

7. 设置服务器的隧道 IPv4 地址和子网掩码。

   如果还要设置 IPv6 地址，您必须在创建连接后编辑它。

8. 为您要允许与此服务器进行通信的每个客户端添加对等配置：

   1. 单击 Add peer。
   2. 输入客户端的公钥。
   3. 将 Endpoint 字段留空。
   4. 将 Allowed IP 字段设置为允许向这个服务器发送数据的客户端的隧道 IP 地址。
   
9. 点 Add 创建 WireGuard 连接。

10. 如果您还想设置隧道 IPv6 地址：

    1. 在 Interfaces 部分中点 WireGuard 连接的名称。
    2. 点 IPv6 旁边的 edit。
    3. 将 Addresses 字段设置为 Manual，并输入服务器的隧道 IPv6 地址和前缀。
    4. 点击 Save。
11. 如果您在带有 DHCP 或无状态地址自动配置(SLAAC)的网络中使用此主机，则连接可能会受到重定向的影响。有关详情和缓解步骤，请参阅将 VPN 连接分配给专用路由表，以防止连接绕过隧道。

验证

1. 显示 wg0 设备的接口配置：

   # wg show wg0
   interface: wg0
     public key: UtjqCJ57DeAscYKRfp7cFGiQqdONRn69u249Fa4O6BE=
     private key: (hidden)
     listening port: 51820
   
   peer: bnwfQcC8/g2i4vvEqcRUM2e6Hi3Nskk6G9t4r26nFVM=
     allowed ips: 192.0.2.2/32, 2001:db8:1::2/128

   Copy to Clipboard

   要在输出中显示私钥，请使用 WG_HIDE_KEYS=never wg show wg0 命令。

2. 显示 wg0 设备的 IP 配置：

   # ip address show wg0
   20: wg0: <POINTOPOINT,NOARP,UP,LOWERUP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000
       link/none
       inet 192.0.2.1/24 brd 192.0.2.255 scope global noprefixroute wg0
          valid_lft forever preferred_lft forever
       inet6 2001:db8:1::1/32 scope global noprefixroute
          valid_lft forever preferred_lft forever
       inet6 fe80::3ef:8863:1ce2:844/64 scope link noprefixroute
          valid_lft forever preferred_lft forever

   Copy to Clipboard