WireGuard — это новейший VPN-сервер, привлекающий внимание своей высокой производительностью, безопасностью и простотой настройки. Однако управление WireGuard может стать еще проще, если использовать графический интерфейс пользователя (GUI) в среде Docker. В этом руководстве мы рассмотрим, как установить и настроить WireGuard GUI с помощью Docker и Docker-compose.
1. Подготовка к установке Docker:
Перед тем как начать, обновим пакетный менеджер и установим необходимые компоненты:
apt-get update
apt-get install ca-certificates curl gnupg
Следующий этап — добавление ключа репозитория Docker:
install -m 0755 -d /etc/apt/keyrings
curl -fsSL https://download.docker.com/linux/ubuntu/gpg -o /etc/apt/keyrings/docker.asc
chmod a+r /etc/apt/keyrings/docker.asc
Теперь добавим сам репозиторий Docker:
echo \
"deb [arch=$(dpkg --print-architecture) signed-by=/etc/apt/keyrings/docker.asc] https://download.docker.com/linux/ubuntu \
$(. /etc/os-release && echo "$VERSION_CODENAME") stable" | \
sudo tee /etc/apt/sources.list.d/docker.list > /dev/null
Обновляем и устанавливаем Docker:
apt-get update
apt-get install docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin
Для проверки успешности установки:
docker --version
Активируем автозапуск Docker при загрузке системы:
systemctl enable docker
2. Установка Docker-compose:
Для установки Docker-compose выполним следующие команды:
curl -SL https://github.com/docker/compose/releases/download/v2.26.1/docker-compose-linux-x86_64 -o /usr/local/bin/docker-compose
ln -s /usr/local/bin/docker-compose /usr/bin/docker-compose
chmod +x /usr/local/bin/docker-compose
Для проверки:
docker-compose --version
3. Установка и настройка WireGuard GUI:
Перейдите или создайте каталог для конфигурации:
mkdir -p /home/wireguard && cd /home/wireguard
Создайте файл docker-compose.yaml:
vim docker-compose.yaml
Вставьте в файл следующую конфигурацию:
volumes:
etc_wireguard:
services:
wg-easy:
environment:
# Change Language:
# (Supports: en, ua, ru, tr, no, pl, fr, de, ca, es, ko, vi, nl, is, pt, chs, cht, it, th, hi, ja, si)
- LANG=en
- WG_HOST=SERVER_IP
# Optional:
- PASSWORD_HASH=YOUR_ADMIN_PASSWORD
# - PORT=51821
# - WG_PORT=51820
# - WG_CONFIG_PORT=92820
- WG_DEFAULT_ADDRESS=10.8.0.x
- WG_DEFAULT_DNS=1.1.1.1
- WG_MTU=1420
# - WG_ALLOWED_IPS=192.168.15.0/24, 10.0.1.0/24
# - WG_PERSISTENT_KEEPALIVE=25
# - WG_PRE_UP=echo "Pre Up" > /etc/wireguard/pre-up.txt
# - WG_POST_UP=echo "Post Up" > /etc/wireguard/post-up.txt
# - WG_PRE_DOWN=echo "Pre Down" > /etc/wireguard/pre-down.txt
# - WG_POST_DOWN=echo "Post Down" > /etc/wireguard/post-down.txt
# - UI_TRAFFIC_STATS=true
# - UI_CHART_TYPE=0 # (0 Charts disabled, 1 # Line chart, 2 # Area chart, 3 # Bar chart)
# - WG_ENABLE_ONE_TIME_LINKS=true
# - UI_ENABLE_SORT_CLIENTS=true
# - WG_ENABLE_EXPIRES_TIME=true
# - ENABLE_PROMETHEUS_METRICS=false
# - PROMETHEUS_METRICS_PASSWORD=$$2a$$12$$vkvKpeEAHD78gasyawIod.1leBMKg8sBwKW.pQyNsq78bXV3INf2G # (needs double $$, hash of 'prometheus_password'; see "How_to_generate_an_bcrypt_hash.md" for generate the hash)
image: ghcr.io/wg-easy/wg-easy
container_name: wg-easy
volumes:
- etc_wireguard:/etc/wireguard
ports:
- "51820:51820/udp"
- "51821:51821/tcp"
restart: unless-stopped
cap_add:
- NET_ADMIN
- SYS_MODULE
# - NET_RAW # ⚠️ Uncomment if using Podman
sysctls:
- net.ipv4.ip_forward=1
- net.ipv4.conf.all.src_valid_mark=1
Не забудьте заменить YOUR_SERVER_IP и YOUR_ADMIN_PASSWORD на соответствующие значения.
YOUR_ADMIN_PASSWORD - нужно генерировать хеш пароль через bcrypt.
Чтобы сгенерировать хэш пароля bcrypt с помощью docker, выполните следующую команду:
docker run -it ghcr.io/wg-easy/wg-easy wgpw YOUR_PASSWORD
PASSWORD_HASH='$2b$12$coPqCsPtcFO.Ab99xylBNOW4.Iu7OOA2/ZIboHN6/oyxca3MWo7fW' // literally YOUR_PASSWORD
Важно: Обратите внимание: не заключайте сгенерированный хеш-пароль в одинарные кавычки при использовании docker-compose.yml. Вместо этого замените каждый $символ двумя $$символами.
В разделе environment в docker-compose.yml файле вы можете добавить следующие переменные:
environment:
- WG_HOST=vpn.myserver.com # Публичное доменное имя вашего VPN-сервера.
- PASSWORD=foobar123 # Пароль для входа в Web UI.
- WG_PORT=12345 # Публичный UDP-порт вашего VPN-сервера. WireGuard всегда будет слушать на порту 51820 внутри Docker-контейнера.
- WG_MTU=1420 # MTU, который будут использовать клиенты. Сервер использует MTU по умолчанию от WireGuard.
- WG_PERSISTENT_KEEPALIVE=25 # Значение в секундах для поддержания "соединения" открытым.
- WG_DEFAULT_ADDRESS=10.6.0.x # Диапазон IP-адресов клиентов.
- WG_DEFAULT_DNS=8.8.8.8, 8.8.4.4 # DNS-сервер, который будут использовать клиенты.
- WG_ALLOWED_IPS=192.168.15.0/24, 10.0.1.0/24 # Разрешенные IP-адреса, которые будут использовать клиенты.
WG_ALLOWED_IPS определяет, какие IP-адреса и сети разрешены для трафика через WireGuard. Это определение того, какой трафик будет направляться через VPN.
Когда вы подключаетесь к VPN, ваше устройство отправляет трафик в интернет через этот VPN-сервер. Но не весь трафик обязательно должен проходить через VPN; вы можете определить, какой именно трафик следует направлять через VPN, используя разрешенные IP-адреса.
Пример:
WG_ALLOWED_IPS=0.0.0.0/0, ::/0: Это значит, что весь трафик (IPv4 и IPv6) будет направляться через VPN.0.0.0.0/0охватывает все IPv4-адреса, а::/0охватывает все IPv6-адреса.WG_ALLOWED_IPS=192.168.15.0/24, 10.0.1.0/24: Это значит, что только трафик, предназначенный для IP-адресов в диапазонах 192.168.15.0 - 192.168.15.255 и 10.0.1.0 - 10.0.1.255, будет направляться через VPN. Весь остальной трафик будет идти напрямую, минуя VPN.
Таким образом, WG_ALLOWED_IPS позволяет вам контролировать, какой именно трафик будет передаваться через VPN-туннель. Это может быть полезно, например, если вы хотите, чтобы только определенные приложения или устройства использовали VPN, а остальной трафик шел напрямую.
Важно также учесть, что если вы меняете значение WG_PORT, то также необходимо изменить настроенные порты в разделе ports вашего docker-compose.yml файла. Например, если вы устанавливаете WG_PORT=12345, то порты должны выглядеть так:
ports:
- "12345:51820/udp"
- "12345:51821/tcp"
Затем просто запустите WireGuard GUI:
docker-compose up -d
Теперь у вас есть функционирующий WireGuard с графическим интерфейсом пользователя, доступным через ваш браузер!
Вы можете подключиться по IP:PORT. В этом случае IP:55444 Пароль в панель мы задали в блоке environment.
WireGuard GUI в среде Docker предоставляет простое и эффективное решение для управления вашим VPN. Это руководство поможет вам быстро настроить и начать использовать этот инструмент, обеспечивая высокую степень безопасности и удобства для вашей сети.
Также предлагаем рассмотреть другие полезные статьи: