Om du har installerat en liten teknikanläggning hemma med en NAS, en Linux-server eller en återvunnen dator full av tjänsterJag är säker på att du har stött på samma problem: allt fungerar perfekt när du är uppkopplad mot ditt Wi-Fi, men så fort du lämnar hemmet, glöm bort det. Du kan inte komma åt dina appar, filer eller IP-kameror utan att fastna i problem med portkonfiguration, DDNS-problem och säkerhetsrisker, eller att behöva tillgripa... Rekommenderade VPN-tjänster för Android.
Det enklaste och säkraste sättet att lösa detta är att skapa en VPN med WireGuard och anslut från Android (och från vilken annan enhet som helst). På så sätt kan du använda ditt hemnätverk som om du fysiskt vore där, även om din internetleverantör använder CGNAT eller om du har en något knepig nätverkstopologi. Låt oss titta på det steg för steg: från vad WireGuard är, hur man konfigurerar det på Linux (eller med Docker och paneler som EasyPanel/WireGuard Easy) och hur man finjusterar det för att komma åt ditt LAN och Aktivera VPN på Android och surfa säkert från din mobila enhet.
Vad är WireGuard och varför är det idealiskt för ett VPN för hemmabruk?
WireGuard är ett modernt, minimalistiskt och mycket snabbt VPN-protokoll. vilket helt har förändrat hur virtuella privata nätverk konfigureras. Till skillnad från dinosaurier som OpenVPN eller IPsec, designades det från grunden för att vara enkelt att konfigurera, lätt att granska och extremt effektivt.
Dess kodbas är mycket liten (i storleksordningen några tusen raderDetta gör det enklare att hitta sårbarheter och hålla det uppdaterat. För kryptering används endast moderna och välrenommerade algoritmer som Curve25519, ChaCha20, Poly1305, BLAKE2s och företag. Inga oändliga listor med föråldrade chiffer som ingen borde använda längre.
Dessutom fungerar den uteslutande på UDP och kan integreras i LinuxkärnanSå latensen är låg, prestandan är mycket bra och CPU-användningen är försumbar. Detta är särskilt märkbart när man ansluter från Android via 4G/5G eller vanligt Wi-Fi: återanslutningar är snabba och tunneln hanterar nätverksförändringar ganska bra.
Installationen är också mycket mer användarvänlig: varje enhet har en offentlig/privat nyckelparDen tilldelas en intern VPN IP-adress och trafiken som skickas genom tunneln definieras med policyn. TillåtnaIPMed det, en UDP-port och fyra inställningar till, har du det igång, utan dussintals kryptiska parametrar eller oändliga filer.
En annan stor fördel är att WireGuard är plattformsoberoende: det finns Officiella klienter för AndroidDen är kompatibel med iOS, Windows, macOS och Linux, och kan även köras på routrar, Docker-containrar eller inbäddade enheter. På mobilen kan du importera en .conf-fil eller helt enkelt skanna en QR-kod genererad på servern och det är det
Grundläggande krav innan du konfigurerar din WireGuard-server
Innan du klistrar in kommandon som om det inte finns någon morgondag är det en bra idé att kontrollera att du uppfyller vissa krav. Minimikrav för en WireGuard-server som är tillgänglig från AndroidDetta kommer att bespara dig mycket huvudvärk.
Det vanligaste är att använda en Linux-serverDetta kan vara en molnbaserad VPS (Ubuntu 22.04 är ett mycket bekvämt alternativ) eller en hemmamaskin (Raspberry Pi, miniPC, NAS med stöd, etc.). Alla moderna distributioner med WireGuard-stöd fungerar, men Ubuntu/Debian erbjuder mer dokumentation och exempel.
Du behöver en användare med administrationsbehörigheter (root eller en användare med sudo-behörighet) eftersom du kommer att installera paket, justera nätverksinställningar, aktivera IP-vidarebefordran och eventuellt ändra brandväggsregler. Att ha SSH-åtkomst till servern och veta hur man ansluter från din maskin är också avgörande.
På klientsidan kommer du främst att använda din Android-smarttelefon med den officiella WireGuard-appenÄven om samma konfigurationsschema fungerar för Windows, macOS, Linux eller iOS, ändras konfigurationsfilen lite mellan plattformar, så det du lär dig här kommer att vara användbart för dem alla.
Den stora fienden: CGNAT och hur det påverkar ditt VPN-nätverk hemma
En av de viktigaste punkterna, särskilt om servern är hemma, är att veta om din leverantör placerar dig bakom ett nätverk. CGNAT (Carrier-Grade NAT)Under CGNAT delar du en offentlig IP-adress med andra klienter och Du kan inte öppna portar till ditt hemnätverkvilket gör det extremt svårt att exponera en VPN-server på din hemanslutning.
Att upptäcka det är enkelt: skriv först ner din Offentlig IP Från en webbplats som ”whatismyip” i din webbläsare. Gå sedan till routerns kontrollpanel (vanligtvis på 192.168.1.1 eller 192.168.0.1) och leta i WAN- eller Internet-sektionen efter den IP-adress som routern tror att den har. Om den IP-adressen börjar med 10.xxx eller ligger i intervallet 100.64.0.0 – 100.127.255.255 Och om det inte stämmer överens med informationen på webbplatserna, står du under CGNAT. Ett annat direkt alternativ är att ringa operatören och fråga.
Med CGNAT får din router inte en direkt offentlig IP-adress, så Du kan inte använda klassisk portvidarebefordranVissa företag låter dig välja bort CGNAT genom att betala extra eller aktivera ett alternativ, andra kräver att du ändrar ditt abonnemang, och ibland skjuter priset i höjden. Om du inte vill gå igenom allt det där är den smarta lösningen att byta till en... VPS som en bryggaDin hemmaserver skapar en WireGuard-tunnel till VPS:en, och du ansluter till VPS:en från Android för att nå ditt hem-LAN.
Förbereda Linux-servern: WireGuard-uppdatering och installation
På en server med Ubuntu 22.04 (eller liknande) är det första du ska göra att uppdatera paket för att undvika att sårbarheter eller gamla versioner överförs:
apt update && apt upgrade -y
Installera sedan WireGuard från de officiella arkiven med:
apt install -y wireguard
Detta paket innehåller verktygen wg och wg-quick och laddar den nödvändiga kärnmodulen. Om du vill tvinga fram manuell inläsning i en något ovanlig miljö kan du använda:
modprobe wireguard
Nyckelgenerering och serverkonfigurationsstruktur
Kärnan i WireGuard är systemet med offentliga och privata nycklarNormalt utförs arbetet i standardkatalogen. /etc/wireguard/där du kommer att lagra nycklar och konfigurationsfiler.
Byt till den katalogen och hårdställ standardbehörigheterna innan du skapar något:
cd /etc/wireguard/
umask 077
Detta säkerställer att nya filer kanske inte kan läsas av andra användareDetta är avgörande när man genererar privata nycklar. Generera servernyckelparet, till exempel:
wg genkey > privatekey
wg pubkey < privatekey > publickey
La privat nyckel Den måste alltid finnas kvar på servern och aldrig lämna den; offentlig nyckel Ja, du kan dela den med klienter. Undvik även tredjepartsprogram som kan kompromettera hemligheter; läs artiklar om [ämne saknas]. osäkra VPN-applikationer Om du har några tvivel om klienterna.
chmod 600 privatekey
Om du vill se tangenterna på skärmen för att kopiera dem senare kan du använda:
tail privatekey publickey
Skapa och redigera serverns wg0.conf-fil
WireGuard organiserar sina tunnlar i virtuella gränssnitt Anrop enligt konvention wg0, wg1, etc. Varje gränssnitt har sin egen konfigurationsfil i /etc/wireguard/Vi ska skapa wg0.conf som huvudgränssnitt.
Om du gillar Nano och inte har det installerat kan du lägga till det med:
apt install -y nano
Öppna konfigurationsfilen:
nano /etc/wireguard/wg0.conf
Innan du skriver något, identifiera namnet på nätverksgränssnittet som ansluter till internet (det med den publika IP-adressen eller den IP-adress du använder för att ansluta via SSH). Du kan hitta detta med hjälp av:
ip a
I många VPS:er kallas det eth0, ens3, enp0s3 eller något liknande. Du behöver det för NAT-regler. Ett exempel på ett komplett block kan vara:
Address = 10.30.0.1/24
PrivateKey = <clave_privada_servidor>
ListenPort = 51820
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
Här ger du servern IP-adressen 10.30.0.1 inom VPN-nätverket, du anger att den ska lyssna på UDP-port 51820, och du definierar iptables-reglerna som gäller när wg0-gränssnittet dyker upp (Skicka upp) och tas bort när du går ner (PostDownVar försiktig vid byte eth0 med det faktiska namnet på ditt utdatagränssnitt.
I Nano sparar du med Ctrl + O och du avslutar med Ctrl + XDenna wg0.conf kommer att vara kärnan där du kommer att lägga till de olika klienterna (peers).
Aktivera IP-vidarebefordran och starta WireGuard-tjänsten
För att dina klienter ska kunna komma åt internet eller LAN:et bakom VPN-servern måste systemet tillåta IPv4- och IPv6-paketvidarebefordranDetta styrs med sysctl.
Ett snabbt sätt är att lägga till motsvarande rader till /etc/sysctl.conf eller till en fil i /etc/sysctl.d/ och ladda:
echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
echo "net.ipv6.conf.all.forwarding=1" >> /etc/sysctl.conf
sysctl -p
Om de raderna redan fanns men kommenterades bort (med #), räcker det med ta bort #spara och starta om sysctl -pUtan detta steg kommer tunneln att vara uppe men du kommer att förlora åtkomst till LAN eller internet från klienterna.
Du kan nu lyfta WireGuard med hjälp av wg-snabb och systemd:
systemctl start wg-quick@wg0
För att få det att starta automatiskt med systemet:
systemctl enable wg-quick@wg0
Kontrollera att allt är grönt med:
systemctl status wg-quick@wg0
Och för att se detaljer i realtid om gränssnittet, nycklar, peers och trafik, använd:
wg
Lägg till klienter: PC, Android-mobil och andra enheter
Varje enhet som ansluter till ditt VPN definieras som en peer med sin egen nyckel och tunnel-IPDu kan generera nycklarna på själva servern (bekvämare) eller på varje klient (säkrare, eftersom den privata nyckeln aldrig lämnar den).
För en stationär dator kan du till exempel göra i /etc/wireguard/:
wg genkey > mypc_privatekey
wg pubkey < mypc_privatekey > mypc_publickey
Och för din Android-mobil:
wg genkey > myphone_privatekey
wg pubkey < myphone_privatekey > myphone_publickey
Kontrollera filerna med:
ls
Och den visar de offentliga nycklarna:
tail mypc_publickey myphone_publickey
Det är de publika nycklarna du kommer att ange wg0.conf inom block Öppna serverfilen igen:
nano /etc/wireguard/wg0.conf
Och han tillägger till exempel:
PublicKey = <clave_publica_mypc>
AllowedIPs = 10.30.0.2/32
Offentlig nyckel =
TillåtnaIPs = 10.30.0.3/32
Genom att göra detta reserverar du IP-adressen 10.30.0.2 för PC och 10.30.0.3 för Android-mobiler/32 indikerar att det är en individuell IP-adress. Varje peer använder sin egen unika IP-adress inom VPN-subnätet.
Spara och ladda om tjänsten för att tillämpa ändringarna:
systemctl restart wg-quick@wg0
Skapa klientkonfigurationsfiler
Nu är det dags att förbereda .conf-filer som klienter kommer att användaDe inkluderar din privata nyckel, interna IP-adress, DNS-adress och serverdata (publik nyckel, IP/domän och port).
För datorn kan du skapa mypc.conf i /etc/wireguard/ (eller var du än föredrar):
nano mypc.conf
Innehållstyp:
PrivateKey = <clave_privada_mypc>
Address = 10.30.0.2/24
DNS = 1.1.1.1
Offentlig nyckel =
Slutpunkt = :51820
TillåtnaIPs = 0.0.0.0/0
PersistentKeepalive = 20
I det första blocket definierar du klientens lokala "ansikte": dess privata nyckel, dess VPN IP-adress och vilken DNS den ska använda. I det andra blocket beskriver du servern: dess publika nyckel, adress och port. Raden TillåtnaIPs = 0.0.0.0/0 fabrikat All kundtrafik passerar via VPN:et (full tunnel). Om du bara vill ha åtkomst till ditt fjärr-LAN kan du begränsa det till 10.30.0.0/24 och/eller 192.168.x.0/24, beroende på ditt nätverk.
IhållandeKeepalive Var 20–25:e sekund rekommenderas starkt för klienter bakom NAT- eller mobilnätverk, eftersom det förhindrar att tunneln verkar inaktiv och att brandväggen stänger sessionen.
Android-klientspecifik konfiguration
På Android är processen densamma. Telefonen behöver sin privat nyckel, din tunnel-IP och serverdata. Du kan återanvända nycklarna du genererade på servern eller generera dem direkt i appen.
Genom att följa exemplet skapade du myphone_privatekey och myphone_publickeyDu saknar myphone.conf-filen för din telefon:
nano myphone.conf
Något liknande:
PrivateKey = <clave_privada_myphone>
Address = 10.30.0.3/24
DNS = 1.1.1.1
Offentlig nyckel =
Slutpunkt = :51820
TillåtnaIPs = 0.0.0.0/0
PersistentKeepalive = 20
Den knepiga delen här är Hur man skickar filen säkert till mobiltelefonenI en labbmiljö kan du ladda upp den till en webbserver och ladda ner den, men i produktion är det bäst att undvika att skicka den via e-post eller lagra den på okrypterade tjänster.
Det renaste sättet är oftast att använda qrencode för att generera en QR-kod som WireGuard-appen på Android kan skanna:
apt install -y qrencode
qrencode -t ansiutf8 -r myphone.conf
Du kommer att se en QR-kod i ASCII-tecken på terminalen. Öppna WireGuard-appen på din mobila enhet och välj “Skanna från QR-kod"(Skanna från QR-kod) och peka på skärmen. På så sätt behöver du inte dela .conf-filen via tvivelaktiga kanaler."
Åtkomst till hem-LAN, DNS och lokala namn
Utöver att bygga tunneln, vad är intressant med en VPN med WireGuard på Android för en säker hemanslutning Det handlar om att kunna komma åt alla dina hemenheter som om du vore där: NAS, IP-kameror, routrar, medieservrar etc., helst med hjälp av lokala domännamn istället för IP-adresser.
Många routrar som integrerar en WireGuard-server eller intern DNS har en sektion som NÄTVERK → DNS → Redigera värdar där du kan skapa inlägg som 192.168.1.50 nas-casa.localOm du pekar DNS:en för dina VPN-klienter till routern eller servern som löser dessa namn, kommer du att kunna komma åt dina enheter via värdnamn.
Vissa routerfirmware med WireGuard innehåller kryssrutor som "Tillåt fjärråtkomst till LAN""Fjärråtkomst LAN-subnät" eller liknande. Du måste aktivera dessa så att fjärrklienter kan nå lokalt delnät (192.168.xx) utöver själva routern.
I scenarier där WireGuard-servern körs inbäddad i routern tillåter den ofta exportera förberedda .conf-profiler för mobila enheter eller andra klientroutrar. Dessa profiler inkluderar vanligtvis tunnel-IP, korrekt DNS (normalt routerns egen IP i VPN-nätverket) och korrekt konfigurerade TillåtnaIP-adresser.
Verifiering, felsökning och säkerhet
När konfigurationen har importerats till Android och tunneln har aktiverats är det första du ska göra att kontrollera att Handskakningen sker korrekt.WireGuard-appen visar status, skickade/mottagna byte och tidsstämpeln för den senaste handskakningen.
Kör följande på servern:
wg
Där ser du, för varje peer, dess publika nyckel, den fjärranslutna IP-adressen den ansluter från, den senaste handskakningen och den trafik som utväxlats. Om fältet "Senaste handskakning" är tomt eller mycket gammalt, ansluter inte klienten eller så blockerar något den.
Om det inte finns någon anslutning, kontrollera att UDP-porten (51820 eller vilken du än använder) är öppen på serverns brandvägg (UFW, iptables, nftables) och på eventuella mellanliggande routrar. Om servern finns bakom en hemmarouter, konfigurera UDP-portvidarebefordran från den porten till serverns interna IP-adressProblemet kan påverka specifika appar; se vår guide om Vad man ska göra om appar misslyckas med VPN aktiverat.
Om tunneln öppnas men du inte har mobilt internet, kontrollera att paketvidarebefordran (net.ipv4.ip_forward och valfritt net.ipv6.conf.all.vidarebefordran) är aktiv och att NAT-reglerna pekar på rätt utgående gränssnitt (eth0, ens3, etc.).
DNS-problem upptäcks vanligtvis när du kan pinga en specifik IP-adress (till exempel 1.1.1.1) men inte kan matcha domäner. Kontrollera i så fall raden DNS = I klientens .conf-fil kan du använda en offentlig DNS (8.8.8.8, 1.1.1.1) eller serverns tunnel-IP-adress om den fungerar som en intern resolver.
När det gäller säkerhet, utöver WireGuards kryptografi, finns det ett antal viktiga goda metoder:
- Skydda dina privata nycklarKopiera dem inte till osäkra webbplatser och dela dem inte med någon.
- Begränsar tillåtna IP-adresser per peerger varje klient endast tillgång till de nätverk de behöver, ingen fri rörlighet.
- Använd icke-triviala UDP-portarAtt ersätta 51820 med ett högre värde minskar bruset från automatiska skanningar.
- Håll ditt system och WireGuard uppdaterade: plåster varje dag.
- Filterar åtkomst till WireGuard-porten i brandväggen för att begränsa vem som kan försöka ansluta (via käll-IP när det är rimligt).
När du har CGNAT eller vill ha något mer avancerat: tunnla genom en VPS
Om din operatör har dig under CGNAT eller om du helt enkelt vill separera det offentliga åtkomstlagret i ditt hem, kan du skapa en något mer avancerad men mycket kraftfull lösning: Använd en VPS som central punkt och din hemmaserver som klient.Sedan ansluter du till VPS:en från Android och genom den får du tillgång till ditt LAN.
Grundschemat är detta: i molnet konfigurerar du en WireGuard-”server” (till exempel med Docker och en stack som linuxserver/wireguard eller ett färdigt repository), aktiverar du vidarebefordran och NAT, och hemma har du en Raspberry Pi eller PC alltid på som ansluter till den VPS:en som en peer. VPS:en har en publik IP-adress och påverkas inte av CGNAT, så du kan öppna portar där utan problem.
Ett typiskt arbetsflöde med Docker kan vara:
- På VPS:en installerar du Docker och Docker Compose, klonar ett WireGuard-konfigurationsarkiv och Du lyfter containern med `docker-compose up -d`.
- Containern genererar automatiskt servernycklarna och de för flera peer-enheter (peer1, peer2…) och sparar deras .conf-filer i en konfigurationsmapp.
- Du justerar serverfilen så att den inkluderar din hemsubnät (till exempel 192.168.1.0/24) i Tillåtna IP-adresser av den motpart som din Raspberry Pi kommer att använda, och konfigurera iptables eller motsvarande regler på värden för att dirigera trafik mellan VPN:n och ditt hemmanätverk.
- På Raspberry Pi, klona samma repository (eller ett förberett sådant), skapa en wg0.conf-fil med data som genererats för peer1, aktivera lokal NAT (för att kunna skicka trafik tillbaka till LAN:et) och starta WireGuard-klienten i Docker eller nativt.
Därifrån, vilken annan enhet som helst (inklusive din) Android med WireGuard-appenDu kan använda en av VPS:ens ytterligare peers (peer2, peer3…) för att ansluta. I praktiken ansluter du alltid till VPS:ens IP-adress, men du når slutligen dina hemnätverkstjänster, även via CGNAT.
WireGuard med webbpaneler: WireGuard Easy, EasyPanel och företag
Om allt detta låter som för mycket av en konsol för dig, finns det mycket praktiska lösningar som skapar en Webbpanel för att hantera WireGuard med ett klickTill exempel, på en server med EasyPanel kan du distribuera en app som WireGuard Easy via mall och glöm bort att skriva filer för hand.
Arbetsflödet med dessa paneler är vanligtvis:
- Du kommer åt panelen (EasyPanel eller annan) med din användare.
- Du installerar mallen WireGuard Easy, som definierar parametrar som domän/offentlig IP (WG_HOST), UDP-port, VPN-subnät och DNS.
- Systemet startar en container som exponerar ett lösenordsskyddat webbgränssnitt där du ser peer-lista, statistik och konfigurationsalternativ.
- För att lägga till en klient fyller du helt enkelt i ett formulär med deras namn; panelen genererar nycklarna, tilldelar dem en IP-adress och visar QR-kod redo att skannas med Android, utöver att låta dig ladda ner .conf-filen.
Detta är extremt bekvämt i miljöer där fler använder VPN (familj, arbetsteam etc.), eftersom du kan Aktivera eller återkalla åtkomst på några sekunder utan att behöva förklara något tekniskt. Dessutom, om du distribuerar WireGuard Easy på en VPS, centraliserar du all fjärråtkomst till ditt hemnätverk och andra platser.
WireGuard på andra system: Windows, macOS, Linux, iOS
Även om vi fokuserar på Android här, fungerar WireGuard lika bra med stationära datorer och andra mobilerI Windows laddar du till exempel ner den officiella klienten, installerar den och trycker på “Lägg till tunnel”, väljer du ”Lägg till tom tunnel” eller ”Importera från fil”, och programmet kan generera nyckelparet åt dig.
Konfigurationsformatet är detsamma: blockera med din Privat nyckel, adress och DNSoch blockera med Serverns publika nyckel, slutpunkt och tillåtna IP-adresserNär du har sparat trycker du bara på "Aktivera" för att starta gränssnittet och starta trafikflödet.
På iOS är processen väldigt lik den på Android: du installerar WireGuard-appen från App Store, skapar en ny tunnel och du kan Importera .conf-filen eller skanna QR-koden som du genererade med qrencode eller från en panel som WireGuard Easy. Sedan aktiverar du tunneln med en knapp och du är redan inne i ditt hemnätverk.
På Linux på datorer kan du använda själva kommandoradsverktyget (wg-snabb upp wg0eller integrera den med NetworkManager genom att importera .conf-filen från det grafiska gränssnittet. Det finns också en officiell macOS-klient med en upplevelse som är väldigt lik Windows-versionen.
I slutändan har samma protokoll och konfigurationsschema över alla plattformar Det förenklar livet mycket: du replikerar logiken från en klient till en annan genom att bara ändra nycklarna och tunnel-IP:n.
Med den här kombinationen – en välkonfigurerad Linux- eller Docker-server, möjligt VPS-stöd om du har CGNAT, webbpaneler för att förenkla hanteringen och WireGuard-appen på Android – kan du konfigurera en Robust, snabbt och säkert VPN för hemmet som låter dig komma åt ditt hemnätverk, dina filer och tjänster, och surfa säkert på offentliga WiFi-nätverk utan att vara beroende av tredje part eller ogenomskinliga kommersiella lösningar. Dela den här informationen så att andra får veta om den nya funktionen.