Инструкции

Следуте нашим пошаговым инструкциям для настройки сети всего за минуту!

Установка WireGuard на маршрутизаторы с прошивкой OpenWrt с LuCI

Чтобы выполнять шаги этого руководства, необходимо иметь прошитый совместимый маршрутизатор с установленным на нем OpenWrt. LuCI, интерфейс веб-администрирования OpenWrt, используется для облегчения установки.

Последняя проверка актуальности этого руководства проводилось с использованием:

  • версии OpenWrt 18.06.2 r7676-cddd7b4c77
  • версии LuCI openwrt-18.06 (git-19.020.41695-6f6641d)

Некоторые шаги могут немного отличаться на момент чтения.

Установка пакета WireGuard в LuCI

  1. Подключитесь к интерфейсу администрирования LuCI через ваш любимый браузер. Обычно адрес маршрутизатора — 192.168.1.1.

  2. В строке меню наведите указатель мыши на Система > нажмите Программное обеспечение.

  3. В поле Загрузить и установить пакет введите luci-proto-wireguard, нажмите OK, чтобы установить WireGuard и все необходимые зависимости.

Генерация ключевой пары

  1. Подключитесь к маршрутизатору, набрав в консоли следующую команду:

    ssh root@192.168.1.1
    Показать необязательные шаги

    Создайте каталог для хранения ключей. Вы можете заменить wgkeys на имя по вашему выбору.

    mkdir wgkeys && cd wgkeys
  2. Сгенерируйте ключи с помощью следующей команды:

    wg genkey | tee privatekey | wg pubkey > publickey
  3. Выведите ключи командой ниже, они потребуются вам позже:

    cat privatekey && cat publickey

Обращение к API AzireVPN для получения информации о соединении

Если вы используете Linux или macOS, следующие шаги можно выполнить в консоли.

  1. Чтобы обратиться к AzireVPN API, необходимо установить ca-bundle и curl, используя следующие команды:

    opkg update
    opkg install ca-bundle curl
  2. Обратитесь к API, чтобы получить информацию о подключении с помощью следующей команды, они понадобятся вам позже. Замените se1 в URL-адресе API двухбуквенным кодом местоположения, к которому вы хотите подключиться. Вы можете найти коды в именах хостов наших серверов WireGuard на странице Статус:

    curl -d list=1 -d username=REPLACE --data-urlencode password=REPLACE --data-urlencode pubkey=REPLACE https://api.azirevpn.com/v1/wireguard/connect/se1

Создание интерфейса WireGuard

  1. В строке меню наведите указатель мыши на Сеть, выберите Интерфейсы.

  2. В разделе Основные настройки сети в поле IPv6 ULA-префикс введите подсеть делегирования префикса IPv6 и сетевую маску префикса IPv6, возвращенную ранее API (поля ipv6_pd_subnet и ipv6_pd_netmask). При вводе, адрес должен иметь вид 0:0:0:0::/0.

  3. Нажмите на Применить.

  4. Во вкладке «интерфейсы» нажмите на Добавить новый интерфейс…

  5. В поле Название введите wg.

  6. В поле Протокол выберите WireGuard VPN, нажмите на Создать интерфейс

Настройка интерфейса WireGuard

  1. В секции Общие настройки, в поле Приватный ключ введите приватный ключ, который вы сгенерировали ранее.

  2. В поле IP-Адреса введите внутренний адрес IPv4 и маску подсети, которые вы получили по API ранее (поля ipv4_addr и ipv4_addr_netmask). IP-адреса должны быть в формате 10.0.0.0/0.

  3. Правее от поля ввода IP-Адреса, нажмите на +, чтобы добавить ещё одно поле.

  4. В новосозданном поле введите публичный адрес IPv6 и маску подсети, которые вы получили по API (поля ipv6_addr и ipv6_addr_netmask). IP-адрес должен быть в формате 0:0:0:0::0/0.

  5. Во вкладке Узлы (peers), нажмите кнопку Добавить узел (peer).

  6. В поле Публичный ключ введите публичный ключ сервера WireGuard, который вы получили по API ранее (поле endpoint_pubkey).

  7. В Разрешенные IP-адреса укажите 0.0.0.0/0.

  8. Правее от поля Разрешенные IP-адреса, нажмите на +.

  9. В новосозданном поле введите ::/0.

  10. Установите галочку у опции Маршрутизировать разрешенные IP-адреса.

  11. В поле Конечный узел введите имя хоста IPv4 сервера WireGuard, который вы получили через API (поле endpoint_ipv4_addr). Если ваш интернет-провайдер предоставляет IPv6, вы можете подключаться к серверу по IPv6, для этого вводите содержание поля endpoint_ipv6_addr.

  12. В поле Порт конечного узла введите номер порта сервера WireGuard, который вы получили по API ранее (поле endpoint_ipv4_port)Если ваш интернет-провайдер предоставляет IPv6, вы можете подключаться к серверу по порту IPv6, для этого введите подержания поля endpoint_ipv6_port.

  13. Нажмите Сохранить.

Настройка межсетевого экрана

  1. В меню, наведите на пункт Сеть, нажмите на Межсетевой экран.

  2. В секции Зоны, нажмите Добавить.

  3. В поле Название введите wgzone.

  4. В списке Входящий трафик выберите отвергать.

  5. Установите галочку напротив пункта Маскарадинг.

  6. Установите галочку напротив пункта MSS Ограничение MSS.

  7. В списке Охватываемые сети отметьте wg.

  8. Нажмите Сохранить.

  9. В секции Зоны, в строке lan ⇒ wan нажмите кнопку Изменить.

  10. В секции Маршрутизация зон назначения, в списке Разрешить перенаправление в зоны назначения, снимите галочку напротив wan и установите напротив wgzone

  11. Нажмите Сохранить.

Настройка серверов DNS

Вам понадобятся DNS-серверы AzireVPN, так как их IP-адреса необходимо будет ввести позже. DNS-серверы AzireVPN перечислены на странице Локации и серверы.

При описанной ниже настройке DNS нет необходимости настраивать DNS-серверы Azire на каждом устройстве отдельно, так как сам маршрутизатор будет передавать их через DHCP, игнорируя серверы, предоставленные вашим интернет-провайдером.

  1. В меню сверху, наведите на пункт Сеть, нажмите на Интерфейсы.

  2. В секции Интерфейсы, в настройках интерфейса WAN нажмите кнопку Изменить.

  3. Нажмите на вкладку Дополнительные настройки.

  4. Снимите галочку с пункта Использовать объявляемые узлом DNS сервера.

  5. В поле Использовать собственные DNS сервера введите адрес IPv4 из выбранной локации.

  6. Нажмите кнопку Сохранить.

  7. Теперь выберите WAN6, нажмите «Изменить»

  8. Нажмите на вкладку Дополнительные настройки.

  9. Снимите галочку с пункта Использовать объявляемые узлом DNS сервера.

  10. В поле Использовать собственные DNS сервера введите адрес IPv4 из выбранной локации.

  11. Нажмите кнопку Сохранить.

Перезагрузка маршрутизатора

  1. Наведите курсор на меню Система, выберите пункт Перезагрузка.

  2. Нажмите на кнопку Выполнить перезагрузку.

  3. Подождите несколько минут, пока перезагрузка не закончится, а интерфейс WireGuard не заработает.

  4. Подключитесь к интерфейсу администрирования LuCI.

  5. Наведите курсор на меню Система, выберите пункт Система.

  6. В секции Общие настройки, нажмите на кнопку Скопир. из браузера. Время маршрутизатора должно быть синхронизировано, так как подключение к WireGuard требует корректно настроенного и точного времени. Эту процедуру необходимо выполнять после каждой перезагрузки маршрутизатора.

  7. Теперь вы можете проверить состояние соединения на странице проверки.