Guia de Configuração do WireGuard em um Servidor SoftEther VPN
SoftEther é uma solução de VPN sofisticada e multiprotocolo que oferece suporte a uma ampla variedade de protocolos VPN, incluindo WireGuard, OpenVPN, L2TP/IPsec, SSTP e outros. Neste guia, focamos em configurar o WireGuard em um Servidor SoftEther VPN usando a ferramenta vpncmd
– atualmente o único método suportado para configurar o WireGuard no SoftEther.
Pré-requisitos
Antes de começar, certifique-se de que:
Passo 1: Configurar a Porta UDP para WireGuard
Certifique-se de que você tem privilégios de administrador no servidor VPN antes de configurar a conexão WireGuard. Inicie a ferramenta vpncmd
, selecione a opção #1 e faça login como Administrador:
./vpncmd
Para verificar se seu servidor SoftEther está escutando em uma porta UDP, execute o seguinte comando:
PortsUDPGet
Se nenhuma porta UDP estiver ativa, adicione uma usando o comando abaixo. Você pode definir qualquer número de porta, desde que não entre em conflito com outras portas em seu servidor Linux:
PortsUDPSet 51820
Observação: Você pode especificar várias portas simultaneamente separando-as por vírgulas. Verifique se essas portas não estão bloqueadas pelo firewall ou iptables do seu servidor.
Passo 2: Definir o Gateway Padrão e Sub-rede para WireGuard
Como o WireGuard não oferece suporte a DHCP (que depende de mensagens de broadcast, não funcionais em um túnel VPN ponto a ponto), cada peer deve ter um endereço IP configurado manualmente (estático) para garantir a criptografia e o roteamento adequados. Acesse seu hub virtual e configure o gateway padrão e a máscara de sub-rede que seus clientes WireGuard com IP estático irão utilizar:
Hub myhub
SetStaticNetwork /GATEWAY=192.168.1.1 /SUBNET=255.255.255.0
Substitua 192.168.1.1 e 255.255.255.0 pelo gateway IP e máscara de sub-rede apropriados — use os mesmos parâmetros que o servidor DHCP do hub fornece aos clientes conectados. Verifique se o hub foi configurado corretamente, executando o comando:
OptionsGet myhub
Passo 3: Habilitar o Protocolo WireGuard
Embora o suporte ao WireGuard geralmente venha habilitado por padrão, confirme sua ativação com o seguinte comando:
ProtoOptionsSet wireguard /NAME=enabled /VALUE=true
Passo 4: Gerar e Atribuir Chaves de Usuário
O WireGuard usa pares de chaves X25519 para comunicação segura. Você pode gerá-las usando a ferramenta vpncmd
ou uma ferramenta externa. No exemplo abaixo, as chaves são geradas via vpncmd
.
Saia do vpncmd
e reabra-o, selecionando a opção #3 para entrar no modo Tools. Em seguida, execute o comando abaixo para gerar um par de chaves:
GenX25519
A ferramenta gerará um par de chaves – uma Private Key e uma Public Key. Copie e armazene-as com segurança. Se você tiver vários hubs ou usuários que necessitam de conexão WireGuard, gere pares de chaves separados para cada um.
Depois de gerar as chaves, faça login no vpncmd
novamente como administrador e atribua a Public X25519 key de cada usuário ao hub apropriado:
WgkAdd "WFPFO/s8UXD6HNH+2P2UjfbkUP8BFITa7TXKculvDUk=" /HUB=myhub /USER=myuser
Substitua WFPFO/s…ulvDUk=, myhub e myuser pela sua chave pública, nome do hub e nome de usuário correspondentes. Certifique-se de que este usuário já exista no hub especificado.
Agora, verifique se as chaves WireGuard foram adicionadas corretamente com o seguinte comando:
WgkEnum
Passo 5: Criar um Arquivo de Configuração de Cliente WireGuard
A seguir, apresentamos um arquivo de configuração de exemplo. Copie-o para um editor de texto e substitua os marcadores pelos seus valores reais, que explicaremos a seguir:
[Interface] PrivateKey = WFPFO/s8UXD6HNH+2P2UjfbkUP8BFITa7TXKculvDUk= Address = 192.168.1.15/32 DNS = 9.9.9.9,149.112.112.112 [Peer] PublicKey = pbnWflgIl4CUqYkgZKrtQg/jMAyytyS/AufEt4OAq3Y= PresharedKey = s/8eDb4r6BUtAMZEY8a+VC4Qs4HYzUJVqD8YzSNFzuk= AllowedIPs = 0.0.0.0/0 Endpoint = 150.151.152.153:51820 PersistentKeepalive = 21
[Interface]
[Peer]
Definindo a porta UDP, configurando o gateway padrão e a sub-rede, habilitando o protocolo WireGuard, gerando e atribuindo chaves e criando o arquivo de configuração do cliente, você deverá ser capaz de estabelecer uma conexão segura com seu hub virtual SoftEther via WireGuard. Após conectar, verifique se seu tráfego está sendo roteado através do túnel WireGuard para seu servidor SoftEther.