在Ubiquiti UDM Pro SE上配置WireGuard VPN

Mikaël GUILLERM | 2023年12月22日 | 阅读时间约3分钟

最近，我们介绍了如何在UDM上创建L2TP/IPsec VPN隧道。几周前，Ubiquiti更新了UDM Pro SE，为其添加了WireGuard支持。现在，您可以直接在Ubiquiti设备上使用WireGuard作为VPN服务器，而无需进行复杂的设置。

Wireguard是什么？

WireGuard是一种开源的VPN协议，注重安全性和简洁性。它由安全研究员兼开发人员Jason Donenfeld于2017年创建，旨在解决他认为现有VPN解决方案速度慢且复杂的问题。WireGuard的一大亮点是采用现代加密技术。它使用对称加密算法ChaCha20结合Poly1305进行消息认证。这种加密被认为比传统加密算法更快、更安全。WireGuard还因其使用公钥进行用户认证而闻名，这意味着用户无需共享密码即可连接到VPN网络。

使用Wireguard的一些优势包括：

• 简单性：Wireguard架构简单，代码量少，使其比其他VPN协议更易于理解和维护。
• 性能：Wireguard设计为快速高效，具有低延迟和较低的系统资源占用。
• 安全性：Wireguard使用现代安全的加密协议来保护用户数据。
• 合规性：Wireguard符合行业和法规标准，适合需要满足特定安全要求的企业和组织使用。

接下来，本文将介绍如何在Ubiquiti的UDM Pro SE防火墙上配置WireGuard。

在UDM Pro SE上配置WireGuard

要在UDM Pro SE上配置WireGuard VPN服务器，请进入设置，点击「Teleport & VPN」，然后在VPN Server部分点击「Create New」。

您将有两种VPN协议可选：Wireguard或L2TP。在本例中，我们选择Wireguard。然后为您的WireGuard VPN网络命名，并在「Server Address」部分确保显示的WAN IP地址正确。如果您处于双重NAT环境，请点击「Enter IP Address manually」手动输入您的WAN IP地址（例如，可以通过某些网站查询您的IP地址）。端口方面，通常使用51820，但您可以更改它（请注意，这是UDP端口）。

接着，点击「Add a New client」添加用户。输入用户名，点击「Download Profile」下载配置文件，最后点击「Create User」。

如果需要，您现在可以通过在高级选项中选择「Manual」来微调VPN配置。这允许您更改VPN的子网，并添加您想要的DNS服务器。点击「Apply Changes」完成配置。

您的VPN服务器现已配置完成。请妥善保管之前下载的配置文件，该文件将用于客户端连接。

安装和配置WireGuard客户端

现在，我们来安装WireGuard客户端。这与L2TP等传统VPN不同（L2TP已内置于Windows、macOS或智能手机中）。我们需要安装WireGuard应用程序。

下载WireGuard

此处不赘述客户端安装过程，因为它很简单。安装客户端后，需要导入您之前从UDM Pro SE的Network应用程序下载的配置文件。

点击“Activate”启动VPN连接。

如果您有动态IP（例如通过DynDNS），可以编辑Endpoint设置。

相应调整您的防火墙

请注意：默认情况下，您的新VPN网络将可以访问您的整个网络。如果出于特定需求，您只需要访问少数设备或VLAN，请相应地配置防火墙。

以我的情况为例：我先在所有VLAN上阻止这个新网络的访问，然后允许它连接到我的Home Assistant、NAS服务器等少数IP。为此，我将创建第一条防火墙规则，阻止我VPN的所有客户端访问我的所有VLAN（这里将使用我在先前文章中介绍过的RFC1918私有地址空间）。

文章内容涵盖了VPN协议（WireGuard）、网络设备（UDM Pro SE）配置、客户端设置及防火墙规则调整，属于实质性的计算机网络技术内容。