|
+ z* i1 n1 B* m6 [2 f7 H. o本脚本适用环境系统支持:CentOS 7+,Debian 8+,Raspbian 10,Ubuntu 16+,Fedora 29+
' s6 g1 {3 H o) ]' q# J内存要求:≥256M4 Q( {5 c% ]) I
日期 :2020 年 4 月 2 日% l' a. J$ a T# S0 Z. H- H
关于本脚本1. 支持两种安装方式:从代码编译安装,从 repository 直接安装;
! {& \! O7 k% m" P7 u6 x6 u/ ]: B2. 脚本会创建默认的 wg0 设备,以及 wg0 的客户端配置,并生成客户端配置对应的二维码 png 图片;' m$ _# C6 p' l" y
3. 脚本会修改本机防火墙设置,如果未启用防火墙,则会出现警告提示,需要手动去设置;
) @2 y0 ~; Y& h: Q4 \4 X# E9 f, o4. 脚本会从 1024 到 20480 随机生成监听端口;
4 i: o6 K$ k, E5. 脚本支持新增,删除,列出客户端功能;* j/ @2 t% l: W& J' m
6. 脚本支持查看已安装的 WireGuard 的版本号;9 S( H$ t1 e! j1 f5 ], j
7. 脚本支持从代码编译安装的方式升级 WireGuard 到当前最新版本;4 z5 o$ {/ K7 a6 D. D. q5 r+ z I' B
% U7 }) g' V, |客户端下载Windows, macOS, Android, iOS 客户端
& P! M! A6 U4 k9 ~5 ?4 v$ W1 |https://www.wireguard.com/install/
% \* R6 E; a" F/ t$ u# ^脚本使用方法使用 root 用户登录系统,运行以下命令下载脚本,赋予执行权限:
5 Q: }/ p' t7 n& D5 U& z- wget --no-check-certificate -O /opt/wireguard.sh https://raw.githubusercontent.com/teddysun/across/master/wireguard.sh
7 A: z1 V: S9 x. S% t8 M - chmod 755 /opt/wireguard.sh
复制代码
- W" n4 [- I2 j) l: y" }- m+ ~* k8 e写在前面WireGuard 的安装和使用条件是比较苛刻的。因此我不建议在生产系统里安装和使用 WireGuard,除非你知道自己在做什么。; [& D7 U/ i' X6 M" Q5 c, v
它依赖于内核,也就是 kernel,在不同的系统中,内核,内核源码包,内核头文件必须存在且这三者版本要一致。3 A3 B9 A0 j( t
RedHat,CentOS,Fedora,Oracle Linux,Amazon Linux 等 rpm 系的名字是 kernel,kernel-devel,kernel-headers。* R. A! B+ P( z7 ^" I9 q. j: O! |
Debian,Ubuntu 等 deb 系的名字是 kernel,linux-headers。( `3 K; J0 Y- i9 U3 A" ?
如果这三者任一条件不满足的话,则不管是从代码编译安装还是从 repository 直接安装,也只是安装了 wireguard-tools 而已。* \& s3 ?0 R- t! i' h) I" U
而 WireGuard 真正工作的部分,是 wireguard-dkms,也就是动态内核模块支持(DKMS),是它将 WireGuard 编译到系统内核中。
- G- P; {# p3 F: C- q$ }5 a因此,在某些 VPS 商家,是需要你先自主更换系统内核,并事先将这三者安装好,才有可能不会出现编译或安装失败。0 d) K; P+ a# a5 @6 B# y
我在测试的时候,就经历过各种内核的问题导致的安装失败。如果你也遇到了同样的问题,建议先更换内核。% Q" R! Q" s3 e
就我个人的体验而言,在 CentOS 7 下更换为 elrepo 的内核是最容易的。这里有个脚本,可以更换到最新版内核,且自动开启 BBR 网络传输算法。5 V$ Q, \4 H) V# p
一键安装最新内核并开启 BBR 脚本
$ `( m6 m4 w2 w. f: E% }2 h/ {! `/ j此脚本运行后,最后会提示你重启系统,此时可以输入 n,暂不重启。手动安装 kernel-headers,运行如下命令:
]/ D/ v" d9 S8 }7 p( i/ o- yum -y install kernel-ml-headers
复制代码 然后再重启之。运行如下命令:9 T* A1 p! E* N# {- k
9 v6 ^9 b A$ c重启后进入系统,运行下面的从代码编译安装 WireGuard,基本上就不会出现安装失败的问题了。
# P! U- U3 p0 c8 Y' R+ G5 O7 V0 I1 C注意:自主更换内核后,我建议使用从代码编译安装 WireGuard。# D( k2 Z" f3 j8 G* l% [3 V
更新日志2020 年 4 月 2 日:/ F1 l- \: B, W% J+ [7 _% ~& Z
Linux 内核 5.6 正式发布了,内置了 wireguard module。
, [# l) i, r3 S. ^4 f, _+ a& \本次更新添加了检测系统内核版本,如果大于等于 5.6 则不安装 wireguard module,仅安装 wireguard tools,然后再生成默认配置。
1 m6 }1 [7 c% Q. l当系统内核小于 5.6 时,则依然安装 wireguard module 和 tools,并生成默认配置。" S5 i5 D) G4 e1 f
2020 年 1 月 6 日:3 F! F5 H7 I3 |- g3 P g/ J0 D
一个好消息是 WireGuard 即将要合并到内核 5.6 里面了。
' j; w9 j$ ]" `) y5 D. _于是作者在近期把 repo 改名了,从而导致脚本无法获取到正确的版本号。3 b, k% ?0 [" m2 H I; M$ w. M
并且还把原来的 repo 一分为二了,分别改为 wireguard-linux-compat 和 wireguard-tools。前者是内核模块,后者是命令行工具。& Z! y$ B8 ]' Z
此次更新就是修复了以上问题。9 B$ N I5 ]2 C! A1 m
2019 年 11 月 16 日:% Z+ O6 t) Y9 R& P
1、修正客户端配置文件创建时的各参数顺序,与 Windows 客户端的显示顺序一致。
2 F1 C. \' M( _) o4 Z8 ~& ~# N2、新增 Windows 客户端配置示例说明。$ U3 g, @- q; X6 G% h* H" W
2019 年 10 月 27 日:
& R J- m' w7 {1、新增卸载函数,使用方法请参考下面的卸载方法。8 U; @) h/ P8 ?0 v! \. E& k
2、支持在 CentOS8 下从 repository 安装,或者从代码编译安装。
4 c5 [2 C) Z' D) U9 H) F9 p从代码编译安装 WireGuard( @( w2 Q- v( y# p4 n6 S
从 repository 直接安装 WireGuard, n1 J7 n3 T# |3 x: t+ j0 i
安装完成后,脚本提示如下- WireGuard VPN Server installation completed
% R) k% Q3 E1 o& D - WireGuard VPN default client file is below:8 h) {, i6 p! ?
- /etc/wireguard/wg0_client
, Z( g. J( Z% Y0 G8 G - WireGuard VPN default client QR Code is below:
2 P+ T7 U8 N, ?5 l; r# ` - /etc/wireguard/wg0_client.png8 k" h! ?: ^# Q! z0 U" Q: e+ @
- Download and scan this QR Code with your phone
* O6 u1 G" E. ]4 L$ |3 | - Welcome to visit: https://teddysun.com/554.html
+ W: q8 N% L* ^' D - Enjoy it
复制代码 0 i: ?1 p# B F
卸载方法7 d% @* Z( ~5 f- q/ F- G
其他使用选项查看已安装 WireGuard 版本号
$ B4 D5 a* n) ?7 B p+ F编译升级 WireGuard 到当前最新版本* Y$ O+ @3 m) n; u/ r5 }
新增 WireGuard 客户端配置
- ]; l( u- D& v% k. w
0 k9 }* W3 N! e. h( {( |1 L. o8 }删除 WireGuard 客户端配置
5 N$ r% a9 C( g# s; k注意:默认客户端 wg0 不允许删除- r i- w# W2 U" Q4 S
列出 WireGuard 客户端配置
. A% { J; _/ s" U+ v) o% @1 v/ C; ~! w! I4 F4 r
高级用法如果你在安装时,需要自定义自己想要的端口,那么可以 export 变量 VPN_SERVER_WG_PORT 的值,这样脚本就会读取这个变量值来定义监听端口,而不会自己随机生成。
) w2 W8 P$ B2 U# v- x! u$ ~比如你想自定义端口为 1234,那么具体做法就是,在执行从代码编译安装 WireGuard 或者从 repository 直接安装 WireGuard 之前,运行如下命令:
* v$ J6 Z8 h5 K. v$ q. L- export VPN_SERVER_WG_PORT=1234
复制代码 ( Z6 o3 t, h) |8 \% T& G$ o
下面是一份脚本里用到的变量列表名(共计 11 个),以及它们具体代表什么含义的说明。
, c# F# f7 [8 ~5 E# o0 [' cVPN_SERVER_PUB_IPV4,定义服务器公网 IPv4,如果你的服务器端存在多个可用公网 IPv4,指定此变量的值。1 l, J: n5 h) B0 x$ ]1 H: C1 T
VPN_SERVER_PUB_IPV6,定义服务器公网 IPv6,如果你的服务器端存在多个可用公网 IPv6,指定此变量的值。
0 H5 K$ u; f7 J: BVPN_SERVER_PUB_NIC,定义服务器默认网卡名称,如果你的服务器有多个可用网卡,指定此变量的值。! g1 v( T& }8 s+ P u
VPN_SERVER_WG_NIC,定义 WireGuard 网卡名,默认为 wg0,这里一般不推荐指定此变量的值。* A* T* v3 v; y' |
VPN_SERVER_WG_IPV4,定义 WireGuard 服务端的内网 IPv4,默认为 10.88.88.1,这里一般不推荐指定此变量的值。' f8 j/ W, a) L) h% v5 l- H T4 o
VPN_SERVER_WG_IPV6,定义 WireGuard 服务端的内网 IPv6,默认为 fd88:88:88::1,这里一般不推荐指定此变量的值。
( J4 G: Z" l, X `/ x& TVPN_SERVER_WG_PORT,定义器 WireGuard 服务端的监听端口,默认为从 1024 到 20480 随机生成,如果你想自定义端口,指定此变量的值。
& B; L n3 `0 ~. z9 Y) b$ t' p% `VPN_CLIENT_WG_IPV4,定义 WireGuard 默认客户端的内网 IPv4,默认为 10.88.88.2,这里一般不推荐指定此变量的值。
; c2 [4 ^; `2 Z! w% n7 Q; ^$ JVPN_CLIENT_WG_IPV6,定义 WireGuard 默认客户端的内网 IPv6,默认为 fd88:88:88::2,这里一般不推荐指定此变量的值。
m. g! o* s' D8 y8 EVPN_CLIENT_DNS_1,定义 WireGuard 默认客户端的 DNS,默认为 1.1.1.1,如果你想自定义为别的 DNS,指定此变量的值。: x' p. @; A u; s
VPN_CLIENT_DNS_2,定义 WireGuard 默认客户端的 DNS,默认为 8.8.8.8,如果你想自定义为别的 DNS,指定此变量的值。: D* s9 x1 h% w
Windows 客户端配置下载,安装,打开客户端软件,点击 Add Tunnel -> Add empty tunnel… [6 Y0 F' _ o' T1 Y4 G4 m! L
+ q/ f- j% }* ]9 T此时出现一个可以编辑的界面,将脚本生成的客户端配置 /etc/wireguard/wg0_client 里的内容复制出来,粘贴,保存。
; v0 s6 e6 m* ~1 [
+ F. }5 \: |% R; ?点击 Activate,就可以 VPN 连接了。- @) m* C) L" f) V
6 v6 i, g4 c3 `
: C4 o: o6 C: C1 N0 L q; [4 j" j2 @% @1 E! i; X8 L/ v
7 F/ c& e4 F9 G) j% ^" @5 ]! Z9 U- g& ~; [& t$ b8 x+ l
9 V& K4 o% Z! \$ T$ k! c
( C! |+ j' j F3 Q* s$ ?5 A/ c7 h) _2 U' |- |7 Q' S3 ]% U
6 V) c* @" A3 r! n* y {2 [1 Y% {
9 n+ g$ I* q7 @# X v: m, j
; K& v4 }. `+ s
; ]: U5 W8 \- X9 B$ j: x9 Z5 C, }" a" f$ G7 B# r
|
|