人生在世，看得透，又看得远者prevail everywhere.

ppt.cc/fRZTnx ppt.cc/fSZ3cx ppt.cc/fLOuCx ppt.cc/fE9Nux ppt.cc/fL5Kyx ppt.cc/fVjECx ppt.cc/fIr1ax ppt.cc/fEnHsx ppt.cc/f71Yqx tecmint.com linuxcool.com linux.die.net linux.it.net.cn ostechnix.com unix.com ubuntugeek.com runoob.com man.linuxde.net bit.ly/2EzoUDo bit.ly/2v6jGJi bit.ly/2tW6eYT bit.ly/2X6vadl bit.ly/2viLpHU linuxprobe.com linuxtechi.com howtoforge.com linuxstory.org systutorials.com ghacks.net linuxopsys.com v.gd/2P9wTx v.gd/FtfpqE v.gd/eMfHsm v.gd/Ub7mqv v.gd/RReVk0

Tuesday 2 July 2019

在OpenVZ vps上安装WireGuard-Go,从而在OpenVZ vps上，也能安装WireGuard服务端

0. 引言

在Wall越来越高的年代，能够找到一款稳定过Wall的V#P#N，已经越来越不容易。

先是Open#V#P#N的沦陷，然后AnyConnect也慢慢的被认证掉了，

纯V#P#N类的工具越来越少，但很多时候预计Socks协议的代理却远远不能满足我们的使用需要。

可能有的人会说，那就用WireGuard啊。

是，WireGuard确实是个完美的方案，但WireGuard只能安装在KVM/Xen/物理架构上，并不能安装在基于OpenVZ的vps上。

难道真的没办法了么？

其实WireGuard官方也提供了一个额外的解决方案，那就是 WireGuard-Go 。

1. 什么是WireGuard-Go

WireGuard-Go是WireGuard的Go语言实现。

在原版的WireGuard中，由于是基于C/C++语言编写，而且需要将成品的WireGuard模块 (wireguard.ko) 编译到系统内核中，这样一来基于OpenVZ的共享核心型虚拟化架构来讲根本无法成功安装WireGuard。

而在WireGuard-Go中，由于WireGuard模块已经通过Go语言实现，所以并不需要将模块编译到内核中，但相对于原版的WireGuard来讲，执行效率可能会略有下降。但这已经是在OpenVZ这种极端环境下的唯一选择。（谁让V#P#N没有其他选择了呢）（逃）

2. 安装WireGuard-Go

2.1 前提条件

首先，在安装WireGuard-Go前，我们来看下安装WireGuard-Go的一些需求。

编译环境：

任何虚拟化架构或者物理机架构
内存>512MB （推荐>1GB，如果内存不足推荐通过增加Swap的方式临时扩展内存）
磁盘可用空间>5GB
安装Golang环境 (下文会具体讲安装及编译过程)

运行环境：

OpenVZ虚拟化架构 (Docker/LXC尚未进行测试)
内存>128MB (推荐>256MB)
磁盘可用空间>500MB
开启TUN/TAP (可以在VPS后台控制面板中检查并打开此项)

编译环境和运行环境可以是同一台服务器，也可以在不同的服务器上，下文会具体讲如何导出编译结果。

一定要注意，毕竟WireGuard怎么说也是个V#P#N，所以一定会用到TUN/TAP，请务必开启TUN/TAP，以防止WireGuard无法正常转发流量！

2.2 准备编译环境

首先我们登录编译环境服务器，并安装Golang环境:wget https://dl.google.com/go/go1.12.4.linux-amd64.tar.gztar zxvfgo1.12.4.linux-amd64.tar.gz

之后配置Golang相关环境变量：

export PATH=$PATH:/root/go/bin

2.3 编译WireGuard-Go

在Golang安装完成之后，开始下载WireGuard-Go源码:

git clone https://git.zx2c4.com/wireguard-go
cd wireguard-go

配置环境变量并开始编译（请确保你的网络状况良好，推荐使用海外服务器进行编译）：

export GOPATH=/root/
go build -v -o "wireguard-go"

如果没有遇到任何错误的话，我们会在当前目录看到一个 wireguard-go 的可执行文件。

将此文件复制到系统目录中:

cp wireguard-go /usr/sbin/wireguard-go

或者通过SSH、FTP等方式传输到目标运行环境服务器上，并将文件导入上述位置并配置可执行权限（异机安装）。

2.4 安装并配置WireGuard

看到这里很多人会问了，我们安装的不是WireGuard-Go么？怎么又要安装WireGuard了？

先别急，我在这里解释一下。

在上一步里安装的WireGuard-Go，只是将WireGuard的内核部分 (wireguard.ko) 编译完成了，我们还需要编译WireGuard主程序 (wg 和 wg-quick)，才能使得WireGuard能够正常使用，同时还可像正常配置WireGuard那样配置WireGuard-Go。

首先安装必要的环境组件：

For Debian/Ubuntu：

apt-get install libmnl-dev libelf-dev build-essential pkg-config

For CentOS

yum install libmnl-devel elfutils-libelf-devel pkg-config development-tools

之后，下载源码包:cd ~

git clone https://git.zx2c4.com/WireGuard
cd WireGuard/src/tools

make && make install

到这里，WireGuard的wg和wg-quick这两条命令，就可以使用了:

root@briten:~/WireGuard/src/tools# which wg

/usr/bin/wg

root@briten:~/WireGuard/src/tools# which wg-quick

/usr/bin/wg-quick

root@briten:~/WireGuard/src/tools#

再加上上一步中编译好的wireguard-go，我们可以在OpenVZ平台上运行WireGuard了。

3. 配置WireGuard-Go

首先执行WireGuard-Go，启动WireGuard内核，并创建一块虚拟网卡（可能现在不会显示出来，但当使用wg或wg-quick命令行启动时就会自动出现）：

由于是测试版的原因，会自动弹出一个类似这样的警告：

WARNING WARNING WARNING WARNING WARNING WARNING WARNING
W G
W You are running this software on a Linux kernel, G
W which is probably unnecessary and foolish. This G
W is because the Linux kernel has built-in first G
W class support for WireGuard, and this support is G
W much more refined than this slower userspace G
W implementation. For more information on G
W installing the kernel module, please visit: G
W https://www.wireguard.com/install G
W G
W If you still want to use this program, against G
W the advice here, please first export this G
W environment variable: G
W WG_I_PREFER_BUGGY_USERSPACE_TO_POLISHED_KMOD=1 G
W G
WARNING WARNING WARNING WARNING WARNING WARNING WARNING

执行以下命令即可继续使用：

export WG_I_PREFER_BUGGY_USERSPACE_TO_POLISHED_KMOD=1

之后执行命令，创建虚拟网卡：

wireguard-go wg

下述部分你可以参照doubi的WireGuard教程操作！

传送门：https://doubibackup.com/qbc20cn3.html

接下来我们创建WireGuard的配置文件：

mkdir -p /etc/wireguard/ && cd /etc/wireguard/

生成密钥对：

wg genkey | tee sprivatekey | wg pubkey > spublickey
wg genkey | tee cprivatekey | wg pubkey > cpublickey

确认你的外网网卡（对于OpenVZ虚拟化架构来讲，一般都是 venet0 ）

root@ovzhost:~# ip addr
1: lo: mtu 65536 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
inet6 ::1/128 scope host 
   valid_lft forever preferred_lft forever
2: venet0: mtu 1500 qdisc noqueue state UNKNOWN
link/void 
inet 127.0.0.2/32 scope host venet0
inet X.X.X.X/32 brd X.X.X.X scope global venet0:0
3: wg: mtu 1420 qdisc noop state DOWN qlen 500
link/none

生成WireGuard服务端配置文件 wg0.conf ：

echo "[Interface]
PrivateKey = $(cat sprivatekey)
Address = 10.0.0.1/24 
PostUp   = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -A FORWARD -o wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o venet0 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -D FORWARD -o wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o venet0 -j MASQUERADE
ListenPort = 6666
MTU = 1420

[Peer]
PublicKey = $(cat cpublickey)
AllowedIPs = 10.0.0.2/32" | sed '/^#/d;/^\s*$/d' > wg0.conf

生成WireGuard客户端文件 client.conf ：

echo "[Interface]
PrivateKey = $(cat cprivatekey)
Address = 10.0.0.2/24
DNS = 8.8.8.8
MTU = 1420

[Peer]
PublicKey = $(cat spublickey)
Endpoint = $(curl -s whatismyip.akamai.com):6666
AllowedIPs = 0.0.0.0/0, ::0/0
PersistentKeepalive = 30" | sed '/^#/d;/^\s*$/d' > client.conf

当然，不要忘了开启转发：

echo 1 > /proc/sys/net/ipv4/ip_forward
echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
sysctl -p

在确认配置无误后，启动WireGuard服务端：

wg-quick up wg0

会得到类似这样的结果：

root@ovzhost:/etc/wireguard# wg-quick up wg0

[#] ip link add wg0 type wireguard
RTNETLINK answers: Operation not supported
[!] Missing WireGuard kernel module. Falling back to slow userspace implementation.
[#] wireguard-go wg0
WARNING WARNING WARNING WARNING WARNING WARNING WARNING
W G
W You are running this software on a Linux kernel, G
W which is probably unnecessary and foolish. This G
W is because the Linux kernel has built-in first G
W class support for WireGuard, and this support is G
W much more refined than this slower userspace G
W implementation. For more information on G
W installing the kernel module, please visit: G
W https://www.wireguard.com/install G
W G
WARNING WARNING WARNING WARNING WARNING WARNING WARNING
INFO: (wg0) 2019/04/19 09:45:50 Starting wireguard-go version 0.0.20190409-9-gd024393
[#] wg setconf wg0 /dev/fd/63
[#] ip address add 10.0.0.1/24 dev wg0
[#] ip link set mtu 1420 up dev wg0
[#] iptables -A FORWARD -i wg0 -j ACCEPT; iptables -A FORWARD -o wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o venet0 -j MASQUERADE

则说明WireGuard启动成功（出错为正常现象，因为无法加载基于内核模块的WireGuard，所以只能加载WireGuard-Go作为Fallback方案）

将client.conf传回本地并导入客户端中（个人推荐使用TunSafe，下载地址自己找），即可完成配置工作。

4. 一点点善后工作...

配置WireGuard开机启动：

systemctl enable wg-quick@wg0

清理编译过程中产生的垃圾文件：

rm -rf /tmp/gobuild/
rm -rf /tmp/build/
rm -f /tmp/golang.tar.gz

Enjoy.

-------

相关帖子：http://briteming.blogspot.com/2018/11/macwireguard.html