يُعدّ إعداد خادم VPN خاص بك باستخدام WireGuard والاتصال من جهاز Android أحد أسهل الطرق للحصول على الوصول الآمن عن بعد إلى شبكتك المنزلية أو خادمك الافتراضي الخاصعلى الرغم من أن رؤية الأوامر والمفاتيح وملفات التكوين قد تبدو مخيفة للوهلة الأولى، إلا أن العملية في الواقع آلية تمامًا إذا اتبعت الخطوات بهدوء.
ستتعلم في هذا الدليل كيفية نشر خادم WireGuard على نظام Linux (على سبيل المثال، على خادم افتراضي خاص يعمل بنظام Ubuntu) والاتصال به من جهازك المحمول الذي يعمل بنظام Android لتتمكن من يمكنك الوصول إلى شبكتك المحلية (LAN) أو جهاز التخزين الشبكي (NAS) أو كاميرات IP أو أجهزة التوجيه (الراوتر) أو تصفح الإنترنت كما لو كنت في المنزل.بالإضافة إلى ذلك، يشرح هذا الدليل المفاهيم الأساسية، ونصائح الأمان، وأمثلة التكوين، وكيفية الاستفادة من أسماء النطاقات المحلية لجعل الوصول عن بعد مريحًا وسلسًا.
ما هو برنامج WireGuard ولماذا يُستخدم للوصول عن بُعد من نظام Android؟
يُعد WireGuard بروتوكول VPN حديثًا يتميز بكونه أبسط وأسرع وأكثر أمانًا بكثير مقارنةً بالبدائل التقليدية مثل OpenVPN أو IPsec، يتميز هذا النظام ببساطة تنفيذه (بضعة آلاف من أسطر التعليمات البرمجية) ويعتمد على أحدث تقنيات التشفير مثل Curve25519 وChaCha20 وPoly1305 وBLAKE2s.
تتمحور فلسفتهم حول كون التكوين بأوضح صورة ممكنة: كل جهاز لديه زوج من المفاتيح العامة والخاصةما عليك سوى تحديد بعض الخيارات (عنوان IP الداخلي، المنفذ، عناوين IP المسموح بها...)، وهذا كل ما تحتاجه لإنشاء نفق مشفر فعال. لا حاجة لعشرات المعلمات الغامضة أو ملفات مليئة بتوجيهات يصعب فهمها.
من حيث الأداء، يعمل WireGuard فقط عبر بروتوكول UDP، ويمكن دمجه حتى في نواة نظام Linux، وهو ما يترجم إلى زمن استجابة منخفض، وسرعات عالية، واستخدام فعال للموارديظهر هذا الأمر بشكل خاص عند الاتصال من نظام Android باستخدام شبكات الهاتف المحمول أو شبكة Wi-Fi ذات الجودة المتغيرة.
ومن المزايا القوية الأخرى أن WireGuard وهو متعدد المنصات ولديه تطبيقات رسمية لأنظمة Android و iOS و Windows و macOS و Linux.هذا يعني أنه يمكنك إعداد الخادم على خادم افتراضي خاص أو جهاز التوجيه المتوافق الخاص بك والاتصال من جهازك المحمول ببساطة عن طريق استيراد ملف .conf أو مسح رمز الاستجابة السريعة.
المتطلبات الأساسية قبل إعداد خادم WireGuard
قبل أن تبدأ في كتابة الأوامر، من الجيد التأكد من أن لديك العناصر الأساسية التي تحتاجها جاهزة. يمكن الوصول إلى خادم VPN الخاص بـ WireGuard من نظام Androidسيوفر لك هذا الكثير من الوقت والأخطاء السخيفة على طول الطريق.
النهج الأكثر شيوعًا هو استخدام خادم افتراضي خاص (VPS) أو خادم لينكس مخصص، حيث ستقوم بتثبيت الخدمة. يُعد نظام التشغيل أوبونتو 22.04 أحد أكثر الخيارات ملاءمة.لأنه يتضمن WireGuard في المستودعات الرسمية وهناك الكثير من الوثائق، ولكن أي توزيعة حديثة ستفي بالغرض.
ستحتاج أيضًا إلى مستخدم يتمتع بصلاحيات إدارية، إما الوصول المباشر إلى الجذر أو مستخدم لديه صلاحيات sudoبما أنك ستقوم بتثبيت الحزم وتعديل إعدادات الشبكة وتمكين إعادة توجيه IP، فمن المهم أن يكون لديك وصول SSH إلى الخادم وأن تعرف كيفية الاتصال من جهاز الكمبيوتر الخاص بك.
وأخيرًا، ستحتاج إلى برنامج عميل للاتصال بهذا الخادم: يمكن أن يكون برنامجك هاتف أندرويد مزود بتطبيق WireGuard الرسميولكن أيضًا أنظمة أخرى (ويندوز، ماك أو إس، لينكس، آي أو إس). سنركز في هذه المقالة تحديدًا على نظام أندرويد، مع العلم أن ملف الإعدادات متطابق تقريبًا في جميع هذه الأنظمة.
إعداد خادم لينكس: ترقية وتثبيت برنامج WireGuard
بعد تهيئة الخادم الافتراضي الخاص (VPS) وتثبيت نظام التشغيل أوبونتو 22.04 (أو إصدار مشابه) عليه، فإن الخطوة المنطقية الأولى هي تحديث حزم النظام لضمان أن كل شيء محدث وأنك لا تنقل أخطاء أو ثغرات معروفة.
اتصل بالخادم عبر SSH وقم بتشغيل الأمر التالي:
apt update
apt upgrade -y
يقوم الأمر الأول بتحديث قائمة الحزم في المستودعات، أما الأمر الثاني يقوم بتحديث الحزم المثبتة مسبقًا يتم تحديثها تلقائيًا إلى أحدث إصداراتها. قد يستغرق هذا بعض الوقت، خاصةً إذا كان الخادم جديدًا أو لم يتم تحديثه منذ فترة.
بمجرد تحديث النظام، تابع تثبيت WireGuard من المستودعات الرسمية باستخدام ما يلي:
apt install -y wireguard
سيقوم هذا الأمر بتثبيت الحزمة الرئيسية، بالإضافة إلى أدوات مساعدة مثل wg وwg-quick وإذا لزم الأمر، سيتم تحميل وحدة النواة المطلوبة. كما ستوضح بعض الدروس التعليمية استخدام ما يلي بشكل صريح:
modprobe wireguard
هذا الأمر ببساطة يجبر على تحميل وحدة WireGuard يدويًا في النواة، وهو أمر قد يكون مفيدًا. إذا لم يتم تحميل الوحدة تلقائيًا لأي سبب من الأسباب أو إذا كنت في بيئة غير عادية إلى حد ما.
توليد المفاتيح وبنية تكوين الخادم الأساسية
يكمن جوهر نظام WireGuard في إدارة المفاتيح، لذا فإن الخطوة التالية هي قم بإنشاء زوج المفاتيح الخاص والعام للخادمتوجد جميع الإعدادات عادةً في الدليل القياسي /etc/wireguard/.
ادخل إلى ذلك المجلد باستخدام:
cd /etc/wireguard/
لحماية المفاتيح، يُنصح أولاً بتعديل قناع الأذونات الافتراضي بحيث تتمتع الملفات التي تم إنشاؤها بـ أذونات مقيدة ولا يمكن قراءتها من قبل المستخدمين الآخرين من النظام. ويتم ذلك عن طريق:
umask 077
بعد ذلك، قم بإنشاء زوج مفاتيح الخادم بطريقة بسيطة:
wg genkey > privatekey
wg pubkey < privatekey > publickey
الملف PrivateKey يجب الحفاظ على المفتاح الخاص آمناً وعدم مشاركته مطلقاً، بينما يمكن توزيع المفتاح العام على العملاء المصرح لهم. ولتعزيز الأمان بشكل أكبر، يجب تعديل صلاحيات المفتاح الخاص بشكل صريح.
chmod 600 privatekey
إذا كنت ترغب في رؤية محتويات المفاتيح على الشاشة، يمكنك استخدام أمر tail بسيط:
tail privatekey publickey
سيعطيك هذا نظرة على السلاسل التي ستحتاج بعد ذلك إلى نسخها إلى ملف تكوين wg0.conf وتكوينات العميل. مع مراعاة ما هو عام وما هو خاص دائمًا.
إنشاء وتعديل ملف wg0.conf على الخادم
يتم تنظيم WireGuard بواسطة واجهات افتراضية، والتي تسمى عادةً وفقًا للعرف wg0، wg1، إلخ.لكل واجهة ملف تكوين خاص بها في المسار /etc/wireguard/. في حالتنا، سنقوم بإنشاء ملف wg0.conf كواجهة رئيسية.
لتحرير الملف، يمكنك استخدام أي محرر نصوص في وضع سطر الأوامر، ولكن العديد من الشروحات توصي باستخدام محرر nano لبساطته. إذا لم يكن مثبتًا لديك، يمكنك إضافته باستخدام الأمر التالي:
apt install -y nano
بمجرد حصولك عليه، قم بإنشاء ملف تكوين الخادم وافتحه:
nano /etc/wireguard/wg0.conf
قبل كتابة ملف التكوين، يُنصح بمعرفة اسم واجهة الشبكة الفعلية التي يتصل الخادم من خلالها بالإنترنت، لأن ستحتاج إليه لقاعدة NATللقيام بذلك، استخدم:
ip a
في العديد من الخوادم الافتراضية الخاصة، تسمى الواجهة ens3 أو eth0 أو enp0s3 أو ما شابه ذلك، وستكون هي التي يتم تعيين عنوان IP العام لها أو عنوان IP الداخلي الذي تتصل من خلاله عبر SSH.
مثال كامل على حظر على الخادم قد يكون كالتالي:
PrivateKey = <tu_clave_privada_servidor>
Address = 10.30.0.1/24
ListenPort = 51928
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o <nombre_interfaz_salida> -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o <nombre_interfaz_salida> -j MASQUERADE
في هذا المثال، تقوم بتعيين عنوان IP الداخلي للخادم. 10.30.0.1/24 داخل شبكة VPNتستمع على منفذ UDP 51928 وتضيف قواعد iptables للسماح بإعادة التوجيه وتطبيق NAT عندما يتم تشغيل واجهة wg0 (PostUp) وإزالة تلك القواعد عندما يتم إيقافها (PostDown).
تذكر أنه في برنامج نانو يمكنك الحفظ باستخدام CTRL + O واخرج مع CTRL + Xبمجرد حفظ الملف، سيكون wg0.conf هو الأساس الذي ستضيف عليه النظراء المختلفين (العملاء) لاحقًا.
قم بتمكين إعادة توجيه بروتوكول الإنترنت وخدمة WireGuard على الخادم
لكي يتمكن العملاء المتصلون عبر WireGuard من الوصول إلى الإنترنت أو الشبكات الأخرى خلف الخادم، من الضروري تفعيل إعادة توجيه حزم بروتوكول الإنترنت على مستوى النظام. ويتم ذلك عن طريق تعديل إعدادات sysctl.
في كثير من الحالات، يكفي مجرد إطلاق التطبيق:
echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
echo "net.ipv6.conf.all.forwarding=1" >> /etc/sysctl.conf
sysctl -p
يؤدي هذا إلى تفعيل إعادة التوجيه لكل من IPv4 وIPv6، وإعادة تحميل معلمات النواة باستخدام الأمر `sysctl -p`. من المهم عدم نسيان هذه الخطوة، لأنه في حال تعطيل إعادة التوجيه، سيكون لديك نفق، لكنك لن تتمكن من الوصول إلى الشبكة المحلية أو الإنترنت. من العملاء.
يمكنك الآن بدء خدمة WireGuard المرتبطة بـ wg0 باستخدام الأمر wg-quick، مما يبسط إدارة الواجهة بشكل كبير:
systemctl start wg-quick@wg0
إذا كنت ترغب في أن تبدأ واجهة WireGuard تلقائيًا عند كل عملية تشغيل للخادم، فقم بتمكين الخدمة باستخدام ما يلي:
systemctl enable wg-quick@wg0
للتحقق مما إذا كانت الخدمة نشطة، يمكنك الاطلاع على حالة الخدمة:
systemctl status wg-quick@wg0
يجب أن يظهر الوضع على النحو التالي: نشط (قيد التشغيل)بالإضافة إلى ذلك، يمكنك استخدام الأمر التالي:
wg
لعرض معلومات في الوقت الفعلي حول الواجهة والمفاتيح والأقران المُكوَّنين وحركة البيانات المتبادلة عبر النفق.
أضف عملاء إلى الخادم: أجهزة الكمبيوتر الشخصية، وأجهزة أندرويد المحمولة، وغيرها من الأجهزة
بمجرد تشغيل جزء الخادم، ستحتاج إلى البدء في إضافة العملاء الذين سيتصلون كأقران. لكل جهاز ترغب في توصيله (كمبيوتر، هاتف، جهاز لوحي، جهاز توجيه العميل، إلخ). يجب عليك إنشاء زوج مفاتيح جديد وتعيين عنوان IP له داخل شبكة VPN.
لتبسيط الأمور، يقوم العديد من المسؤولين بإنشاء مفاتيح العميل مباشرة على الخادم، على الرغم من أنه من وجهة نظر أمنية، فإن الحل الأمثل هو قم بإنشائها على جهاز العميل نفسه ونقل المفتاح العام فقط إلى الخادم. العملية نفسها، لذا سننظر في الحالة البسيطة لإنشاء المفاتيح في /etc/wireguard/.
على سبيل المثال، بالنسبة لجهاز كمبيوتر مكتبي، يمكنك القيام بما يلي:
wg genkey > mypc_privatekey
wg pubkey < mypc_privatekey > mypc_publickey
ولهاتفك المحمول الذي يعمل بنظام أندرويد:
wg genkey > myphone_privatekey
wg pubkey < myphone_privatekey > myphone_publickey
ببساطة:
ls
سترى جميع الملفات الرئيسية. ومع:
tail mypc_publickey myphone_publickey
ستتمكن من رؤية قيمها على الشاشة. هذه المفاتيح العامة هي ما ستلصقه في ملف wg0.conf الخاص بالخادم ضمن كتل منفصلة، مع تعيين عنوان IP الخاص بالنفق لكل منها.
افتح ملف wg0.conf مرة أخرى:
nano wg0.conf
وأضف تعريفات العميل، على سبيل المثال:
PublicKey = <clave_publica_mipc>
AllowedIPs = 10.30.0.2/32
المفتاح العام =
AllowIPs = 10.30.0.3/32
بهذه الأسطر، تشير إلى أن الطرف الآخر الذي يتطابق مفتاحه العام مع mypc_publickey سيستخدم عنوان IP 10.30.0.2 داخل شبكة VPN، وأن سيستخدم هاتف أندرويد الإصدار 10.30.0.3يشير استخدام عناوين IP المسموح بها مع /32 إلى أنها عنوان IP فردي، وهو أمر شائع في تكوينات محاربي الطرق.
احفظ التغييرات وأعد تشغيل الخدمة حتى يتمكن الخادم من قراءة التكوين الجديد:
systemctl restart wg-quick@wg0
عند تعديل ملف wg0.conf على الخادم (على سبيل المثال، لإضافة أو إزالة النظراء)، ستحتاج إلى إعادة شحن الخدمة لكي تدخل التغييرات حيز التنفيذ، سيؤكد الأمر الجديد `systemctl status wg-quick@wg0` أن كل شيء لا يزال باللون الأخضر.
إنشاء ملفات التكوين للعملاء
بعد تسجيل النظراء على الخادم، تتمثل الخطوة التالية في إعداد ملفات .conf التي سيستخدمها العملاء للاتصال. تحتوي هذه الملفات على المفتاح الخاص بالعميل، عنوان IP الخاص بالنفق, DNS وتفاصيل الخادم (المفتاح العام، عنوان IP والمنفذ).
باتباع المثال، يمكنك إنشاء ملف mypc.conf لجهاز الكمبيوتر الشخصي في المسار /etc/wireguard/:
nano mypc.conf
واكتب شيئًا مشابهًا لما يلي:
PrivateKey = <clave_privada_mipc>
Address = 10.30.0.2/32
DNS = 8.8.8.8
المفتاح العام =
نقطة النهاية = 51928
AllowIPs = 0.0.0.0/0
استمرار البقاء = 20
يصف هذا القسم جانب العميل: المفتاح الخاص بالجهاز، وعنوان IP الخاص به على شبكة WireGuard، وخادم DNS الذي سيستخدمه عند تفعيل النفق. يتم تعريف الخادم في قسم `defines`، حيث يتم تحديد... مفتاحك العام، أو عنوان IP أو النطاق الذي يمكنك من خلاله الوصول إليه والمنفذ الذي قمت بتكوينه سابقًا (51928 في هذا المثال).
يؤدي تعيين AllowedIPs = 0.0.0.0/0 إلى توجيه جميع بيانات العملاء عبر الشبكة الافتراضية الخاصة (VPN) (وهو أمر شائع عند الرغبة في إخفاء عنوان IP الحقيقي أو استخدام عنوان IP الخاص بالخادم دائمًا). إذا كنت ترغب فقط في الوصول إلى شبكات فرعية بعيدة محددة، فيمكنك تقييدها، على سبيل المثال، إلى 10.30.0.0/24 أو 192.168.0.0/24، وذلك حسب بنية شبكتك.
تُحافظ خاصية PersistentKeepalive على تبادل دوري صغير للحزم لمنع إغلاق الاتصال عندما يكون العميل خلف جدار حماية أو جدار NAT يقوم بحظر الاتصالات غير النشطة. عادةً ما تكون قيمة 20-25 ثانية مناسبة. للعملاء المتصلين عبر شبكات الجيل الرابع/الخامس.
تكوين خاص بعميل Android باستخدام WireGuard
بالنسبة لنظام Android، فإن النهج هو نفسه تمامًا كما هو الحال بالنسبة لأجهزة الكمبيوتر الشخصية: يحتاج الهاتف المحمول إلى مفتاحه الخاص، والذي يتم تعيينه له. يتم الرجوع إلى عنوان IP الخاص بالنفق والمفتاح العام للخادم.يمكنك إنشاء المفاتيح على الخادم نفسه (كما فعلنا من قبل) أو مباشرة من تطبيق Android.
باتباع الخطوات السابقة، يفترض أن يكون لديك بالفعل ملفي `myphone_privatekey` و`myphone_publickey` مُنشأين في `/etc/wireguard/`. ما زلت بحاجة إلى تسجيل إعدادات العميل، والتي ستقوم باستيرادها لاحقًا إلى جهازك المحمول. مثال على ملف لنظام أندرويد:
nano myphone.conf
وفي الداخل:
PrivateKey = <clave_privada_mitelefono>
Address = 10.30.0.3/32
DNS = 8.8.8.8
المفتاح العام =
نقطة النهاية = 51928
AllowIPs = 0.0.0.0/0
استمرار البقاء = 20
يحتوي هذا الملف على كل ما يلزم لتشغيل تطبيق WireGuard الرسمي على نظام Android أنشئ النفق وتفاوض على المصافحة مع الخادميكمن الجزء الصعب هنا في إيصال هذا الملف إلى الهاتف بشكل آمن، مع تجنب ترك أي آثار غير آمنة على طول الطريق قدر الإمكان.
في بيئة معملية، يمكنك إعداد خادم ويب (مثل أباتشي)، ونسخ ملف myphone.conf إلى مجلد الجذر، وتنزيله من متصفح أندرويد. مع ذلك، في سيناريو واقعي، يُنصح أكثر بـ... استخدم طرقًا مثل USB، أو أدوات المزامنة المشفرة، أو الأفضل من ذلك، رمز الاستجابة السريعة (QR code). تم إنشاؤه من الخادم نفسه.
للقيام بذلك، يمكنك تثبيت أداة qrencode على الخادم:
apt install -y qrencode
ومن دليل الإعدادات، قم بتنفيذ ما يلي:
qrencode -t ansiutf8 -r myphone.conf
سيعرض هذا الأمر رمز الاستجابة السريعة (QR) بالأحرف في الطرفية، والذي يمكنك مسحه ضوئيًا. مباشرة من تطبيق WireGuard على نظام Android استخدم خيار إضافة نفق جديد عبر "مسح رمز الاستجابة السريعة". بهذه الطريقة، لن تحتاج إلى إرسال الملف عبر البريد الإلكتروني أو تحميله إلى خدمات خارجية.
تهيئة الوصول عن بُعد إلى الشبكة المحلية، ونظام أسماء النطاقات (DNS)، وأسماء النطاقات المحلية
إلى جانب إنشاء النفق الأساسي، غالبًا ما ترغب في الوصول من هاتفك المحمول الذي يعمل بنظام Android إلى أجهزة الشبكة المحلية للخوادم، مثل NAS أو كاميرا IP أو جهاز توجيه أو خادم داخلي، باستخدام أسماء النطاقات المحلية الخاصة بها بدلاً من حفظ عناوين IP.
تحتوي بعض أجهزة التوجيه التي تعمل كخوادم WireGuard (على سبيل المثال، بعض العلامات التجارية التي تدمج خادم VPN في برامجها الثابتة) على قسم لإدارة هذه الأسماء المحلية. ستجد عادةً خيارات مثل هذه ضمن لوحة إدارة الويب. الشبكة ← نظام أسماء النطاقات ← تحرير المضيفين، والتي يمكنك من خلالها تحديد أزواج IP/الاسم (على سبيل المثال، 192.168.1.50 nas-casa.local).
إذا لم يقم جهاز التوجيه الخاص بك بحل أسماء النطاقات المحلية تلقائيًا بشكل صحيح، يمكنك إضافة إدخالات يدويًا للأجهزة التي تريد الوصول إليها عبر الشبكة الافتراضية الخاصة (VPN) وتطبيق التغييرات. يضمن هذا أن يتمكن كل من جهاز التوجيه نفسه وأي عملاء يستخدمون نظام أسماء النطاقات (DNS) الخاص به من حل المشكلة. قم بحل تلك الأسماء الداخلية بشكل صحيح.
غالبًا ما تحتوي خوادم WireGuard المدمجة في أجهزة التوجيه ذات إصدارات البرامج الثابتة المختلفة على إعدادات خاصة للسماح بالوصول عن بُعد إلى الشبكة المحلية. على سبيل المثال، توفر بعض الواجهات خيارات تُسمى "السماح بالوصول عن بُعد إلى الشبكة الفرعية المحلية" أو "الوصول عن بُعد إلى الشبكة المحلية"، والتي يجب تفعيلها في قسم تكوين خادم WireGuard.
يؤدي تمكين هذا الخيار إلى جعل جهاز التوجيه والأجهزة الموجودة على الشبكة المحلية قابلة للوصول من خلال النفق، مما يسمح لك بالوصول إليها من شبكة العميل (على سبيل المثال، شبكة LAN المنزلية الثانوية أو شبكة Android المحمولة). الخدمات الداخلية لجهاز توجيه الخادم والمعدات الموجودة على الشبكة المحلية الرئيسية.
في كثير من الحالات، تسمح لك هذه الموجهات بتصدير ملف تعريف تكوين WireGuard لاستخدامه على أجهزة عملاء خارجية. من علامة التبويب "خادم WireGuard"، يمكنك عادةً إنشاء ملف .conf يتضمن عنوان IP الخاص بالنفق، وDNS الصحيح (الذي يشير إلى عنوان IP الخاص بواجهة نفق الخادم)، وجميع المعلمات اللازمة للاتصال من موجه عميل آخر أو من تطبيق الهاتف المحمول.
التحقق، واستكشاف الأخطاء وإصلاحها، والأمان في WireGuard
بعد إعداد النفق واستيراد الإعدادات إلى نظام أندرويد، يتمثل الفحص الأول في التحقق من أن مصافحة تم إتمام العملية بنجاح. سيعرض تطبيق WireGuard على جهازك المحمول حالة النفق وأحدث الطوابع الزمنية لعملية المصافحة.
قم بتشغيل الأمر التالي على الخادم:
wg
سيعرض لك، لكل نظير، المفتاح العام، وعنوان IP الخاص بنقطة النهاية التي يتصل منها، وآخر عملية مصافحة، والبايتات المنقولة. إذا لاحظت أن آخر نشاط فارغ أو قديم جدًا، فمن المحتمل أن يكون العميل قد لا يكون الاتصال ممكناً، أو قد تكون هناك مشكلة في جدار الحماية أو إعادة توجيه المنافذ..
في حال عدم وجود اتصال، تأكد من أن منفذ UDP المُهيأ (على سبيل المثال، 51928 أو 51820) مفتوح بشكل صحيح في جدار حماية الخادم وعلى أي أجهزة توجيه وسيطة. تذكر أنه إذا كان خادمك خلف جهاز توجيه منزلي، فستحتاج إلى... إعادة توجيه منفذ UDP الخاص بـ WireGuard إلى عنوان IP الداخلي للخادم.
إذا كان النفق يعمل ولكن ليس لديك اتصال بالإنترنت من العميل، فتحقق من تمكين إعادة توجيه الحزم (net.ipv4.ip_forward و net.ipv6.conf.all.forwarding) ومن تطبيق قاعدة NAT في iptables بشكل صحيح على واجهة الإخراج الصحيحة (eth0، ens3، إلخ).
تظهر مشاكل نظام أسماء النطاقات (DNS) عادةً في عدم القدرة على الوصول إلى عناوين IP محددة، ولكن عدم حل أسماء النطاقاتفي هذه الحالة، تحقق من أن حقل DNS في ملف تكوين العميل (Android، الكمبيوتر الشخصي، جهاز توجيه العميل) يشير إلى الخادم الصحيح: يمكن أن يكون خادم DNS عامًا (8.8.8.8، 1.1.1.1) أو عنوان IP لنفق الخادم إذا كنت تريده أن يعمل أيضًا كمحلل.
من حيث الأمن، وبغض النظر عن متانة البروتوكول من الناحية التشفيرية، فإن ما يلي أساسي:
- حماية المفاتيح الخاصة ولا تشاركها مع أحد.
- قلل قدر الإمكان عناوين IP المسموح بها لكل نظير بحيث لا يتمكنون إلا من الوصول إلى ما هو ضروري للغاية.
- استخدم منافذ UDP غير القياسية لتقليل الضوضاء الصادرة من الماسحات الضوئية الآلية.
- حافظ على تحديث النظام، وبالطبع برنامج WireGuard نفسه.
- قم بتطبيق قواعد جدار الحماية الإضافية على تحديد من يمكنه الوصول إلى منفذ WireGuard على الخادم الخاص بك.
إن هذه المجموعة الكاملة من الإجراءات تجعل شبكة VPN الخاصة بك مع WireGuard ليست سريعة وفعالة فحسب، بل إنها قوية أيضًا ضد الهجمات الشائعة التي تستغل التكوينات الخاطئة أو الإهمال في إدارة المفاتيح.
باتباع هذه الخطوات، ستحصل على خادم WireGuard مُهيأ بشكل صحيح، مع إمكانية الوصول عن بُعد من أجهزة Android وأنظمة أخرى، وحركة مرور مُشفرة، وإمكانية تصفح كاملة للأنفاق، والقدرة على الوصول إلى أجهزة منزلك أو مكتبك باستخدام أسماء نطاقات داخلية؛ باختصار، إنها طريقة أنيقة للغاية لـ خذ شبكتك معك أينما ذهبت دون كسر رأسك.
