एंड्रॉइड पर वायरगार्ड के साथ वीपीएन का उपयोग करके अपने होम नेटवर्क को सुरक्षित करें

यदि आपने घर पर एक छोटा तकनीकी सेटअप स्थापित किया है, तो NAS, एक लिनक्स सर्वर, या सेवाओं से भरा हुआ एक पुनर्चक्रित कंप्यूटरमुझे यकीन है कि आपको भी इसी समस्या का सामना करना पड़ा होगा: वाई-फाई पर रहते हुए सब कुछ ठीक चलता है, लेकिन जैसे ही आप घर से बाहर निकलते हैं, सब कुछ गड़बड़ हो जाता है। पोर्ट कॉन्फ़िगरेशन की समस्याओं, डीडीएनएस की दिक्कतों और सुरक्षा जोखिमों में उलझे बिना या फिर किसी और तरीके का सहारा लिए बिना आप अपने ऐप्स, फ़ाइलों या आईपी कैमरों तक नहीं पहुंच सकते... Android के लिए अनुशंसित VPN.

इस समस्या को हल करने का सबसे आसान और सुरक्षित तरीका एक बनाना है। WireGuard के साथ VPN का उपयोग करें और Android से कनेक्ट करें। (और किसी भी अन्य डिवाइस से)। इस तरह आप अपने होम नेटवर्क का उपयोग ऐसे कर सकते हैं जैसे आप शारीरिक रूप से वहीं मौजूद हों, भले ही आपका ISP CGNAT का उपयोग करता हो या आपके नेटवर्क की संरचना थोड़ी जटिल हो। आइए इसे चरण दर चरण देखें: WireGuard क्या है, इसे Linux पर कैसे सेट अप करें (या Docker और EasyPanel/WireGuard Easy जैसे पैनल के साथ) और अपने LAN तक पहुँचने के लिए इसे कैसे अनुकूलित करें। एंड्रॉइड पर वीपीएन सक्रिय करें और अपने मोबाइल डिवाइस से सुरक्षित रूप से ब्राउज़ करें।

वायरगार्ड क्या है और यह होम वीपीएन के लिए आदर्श क्यों है?

वायरगार्ड एक आधुनिक, सरल और बहुत तेज़ वीपीएन प्रोटोकॉल है। जिसने वर्चुअल प्राइवेट नेटवर्क (वीपीएन) स्थापित करने के तरीके को पूरी तरह से बदल दिया है। ओपनवीपीएन या आईपीसेक जैसे पुराने तरीकों के विपरीत, इसे शुरू से ही कॉन्फ़िगर करने में सरल, ऑडिट करने में आसान और अत्यंत कुशल बनाने के लिए डिज़ाइन किया गया था।

इसका कोडबेस बहुत छोटा है (लगभग कुछ हज़ार पंक्तियाँइससे कमजोरियों का पता लगाना और इसे अद्यतन रखना आसान हो जाता है। एन्क्रिप्शन के लिए, यह केवल आधुनिक और प्रतिष्ठित एल्गोरिदम का उपयोग करता है, जैसे कि Curve25519, ChaCha20, Poly1305, BLAKE2s और कंपनी। अप्रचलित कोडों की कोई अंतहीन सूची नहीं, जिनका उपयोग अब किसी को नहीं करना चाहिए।

इसके अलावा, यह विशेष रूप से काम करता है UDP को लिनक्स कर्नेल में एकीकृत किया जा सकता है।इसलिए लेटेंसी कम है, परफॉर्मेंस बहुत अच्छी है और CPU का उपयोग नगण्य है। यह विशेष रूप से तब ध्यान देने योग्य होता है जब आप Android से 4G/5G या सामान्य वाई-फाई के माध्यम से कनेक्ट करते हैं: रीकनेक्शन तेज़ होते हैं और टनल नेटवर्क परिवर्तनों को काफी अच्छे से संभालता है।

इसका सेटअप भी काफी उपयोगकर्ता-अनुकूल है: प्रत्येक डिवाइस में एक सार्वजनिक/निजी कुंजी जोड़ीइसे एक आंतरिक वीपीएन आईपी पता सौंपा गया है और टनल के माध्यम से भेजे जाने वाले ट्रैफ़िक को नीति द्वारा परिभाषित किया गया है। अनुमति हैइसके साथ ही, एक यूडीपी पोर्ट और चार अन्य सेटिंग्स के साथ, आप इसे दर्जनों जटिल मापदंडों या अंतहीन फाइलों के बिना चालू कर सकते हैं।

एक और बड़ा फायदा यह है कि वायरगार्ड क्रॉस-प्लेटफ़ॉर्म है: वहाँ एंड्रॉइड के लिए आधिकारिक क्लाइंटयह iOS, Windows, macOS और Linux के साथ संगत है, और राउटर, डॉकर कंटेनर या एम्बेडेड डिवाइस पर भी चल सकता है। मोबाइल पर, आप एक .conf फ़ाइल आयात कर सकते हैं या बस स्कैन कर सकते हैं। सर्वर पर QR कोड जनरेट हो गया है। और तैयार है।

वायरगार्ड सर्वर स्थापित करने से पहले बुनियादी आवश्यकताएं

अंधाधुंध कमांड पेस्ट करने से पहले, यह सुनिश्चित करना अच्छा होगा कि आप कुछ आवश्यकताओं को पूरा करते हैं। एंड्रॉइड से एक्सेस किए जा सकने वाले वायरगार्ड सर्वर के लिए न्यूनतम आवश्यकताएंइससे आपको बहुत सारी परेशानियों से छुटकारा मिल जाएगा।

सबसे आम बात यह है कि इसका उपयोग किया जाए। लिनक्स सर्वरयह क्लाउड-आधारित वीपीएस (उबंटू 22.04 एक बहुत ही सुविधाजनक विकल्प है) या घर का कंप्यूटर (रास्पबेरी पाई, मिनीपीसी, वायरगार्ड सपोर्ट वाला एनएएस आदि) हो सकता है। वायरगार्ड सपोर्ट वाला कोई भी आधुनिक वितरण काम करेगा, लेकिन उबंटू/डेबियन अधिक दस्तावेज़ और उदाहरण प्रदान करते हैं।

सबसे बड़ा दुश्मन: सीजीएनएटी और यह आपके होम वीपीएन को कैसे प्रभावित करता है

सबसे महत्वपूर्ण बिंदुओं में से एक, खासकर यदि सर्वर घर पर है, तो यह जानना है कि क्या आपका प्रदाता आपको किसी नेटवर्क के पीछे रखता है। CGNAT (कैरियर-ग्रेड NAT)CGNAT के तहत, आप अन्य क्लाइंट्स के साथ एक सार्वजनिक IP एड्रेस साझा करते हैं और आप अपने होम नेटवर्क के लिए पोर्ट नहीं खोल सकते।जिसकी वजह से आपके होम कनेक्शन पर वीपीएन सर्वर को उजागर करना बेहद मुश्किल हो जाता है।

इसका पता लगाना आसान है: सबसे पहले, अपना लिख लें सार्वजनिक आईपी अपने ब्राउज़र में “whatismyip” जैसी वेबसाइट खोलें। फिर अपने राउटर के कंट्रोल पैनल (आमतौर पर 192.168.1.1 या 192.168.0.1 पर) पर जाएं और WAN या इंटरनेट सेक्शन में राउटर द्वारा अनुमानित IP एड्रेस खोजें। यदि वह IP एड्रेस इससे शुरू होता है... 10.xxx या 100.64.0.0 – 100.127.255.255 की सीमा में है। और अगर यह वेबसाइटों पर दी गई जानकारी से मेल नहीं खाता है, तो आप सीजीएनएटी के अंतर्गत आते हैं। एक और सीधा विकल्प है ऑपरेटर को कॉल करके पूछना।

CGNAT के साथ, आपके राउटर को सीधे सार्वजनिक आईपी पता प्राप्त नहीं होता है, इसलिए आप क्लासिक पोर्ट फॉरवर्डिंग नहीं कर सकते।कुछ कंपनियां अतिरिक्त भुगतान करके या कोई विकल्प सक्रिय करके आपको CGNAT से बाहर निकलने की अनुमति देती हैं, जबकि अन्य कंपनियां आपको अपना प्लान बदलने के लिए कहती हैं, और कभी-कभी कीमत आसमान छू जाती है। यदि आप इन सब झंझटों से बचना चाहते हैं, तो सबसे अच्छा उपाय है किसी अन्य विकल्प पर स्विच करना... VPS एक ब्रिज के रूप मेंआपका होम सर्वर वीपीएस से वायरगार्ड टनल बनाता है, और आप एंड्रॉइड से वीपीएस से कनेक्ट करके अपने होम लैन तक पहुँचते हैं।

लिनक्स सर्वर की तैयारी: वायरगार्ड अपडेट और इंस्टॉलेशन

Ubuntu 22.04 (या इसी तरह के) ऑपरेटिंग सिस्टम वाले सर्वर पर, सबसे पहले आपको यह करना होगा: पैकेज अद्यतन करें कमजोरियों या पुराने संस्करणों को आगे ले जाने से बचने के लिए:

apt update && apt upgrade -y

फिर आधिकारिक रिपॉजिटरी से WireGuard को निम्न कमांड का उपयोग करके इंस्टॉल करें:

apt install -y wireguard

इस पैकेज में उपकरण शामिल हैं wg और wg-क्विक और आवश्यक कर्नेल मॉड्यूल लोड करता है। यदि आप किसी असामान्य वातावरण में मैन्युअल लोडिंग को बाध्य करना चाहते हैं, तो आप निम्न का उपयोग कर सकते हैं:

modprobe wireguard

कुंजी निर्माण और सर्वर कॉन्फ़िगरेशन संरचना

वायरगार्ड का मूल आधार यह प्रणाली है सार्वजनिक और निजी कुंजियाँसामान्यतः, कार्य मानक निर्देशिका में किया जाता है। /आदि/वायरगार्ड/जहां आप कुंजी और कॉन्फ़िगरेशन फ़ाइलें संग्रहीत करेंगे।

उस डायरेक्टरी में जाएं और कुछ भी बनाने से पहले डिफ़ॉल्ट अनुमतियों को मजबूत करें:

cd /etc/wireguard/
umask 077

इससे यह सुनिश्चित होता है कि नई फाइलें अन्य उपयोगकर्ताओं द्वारा पठनीय नहीं हो सकती हैं।निजी कुंजी जनरेट करते समय यह महत्वपूर्ण है। उदाहरण के लिए, सर्वर कुंजी युग्म जनरेट करें:

wg genkey > privatekey
wg pubkey < privatekey > publickey

La निजी चाबी यह हमेशा सर्वर पर ही रहना चाहिए और कभी भी सर्वर से बाहर नहीं जाना चाहिए; सार्वजनिक कुंजी जी हां, आप इसे ग्राहकों के साथ साझा कर सकते हैं। साथ ही, उन तृतीय-पक्ष अनुप्रयोगों से बचें जो गोपनीय जानकारी को खतरे में डाल सकते हैं; [विषय गायब है] पर लेखों की समीक्षा करें। असुरक्षित वीपीएन अनुप्रयोग यदि आपको ग्राहकों के बारे में कोई संदेह है।

chmod 600 privatekey

यदि आप बाद में कॉपी करने के लिए स्क्रीन पर कुंजियाँ देखना चाहते हैं, तो आप निम्न का उपयोग कर सकते हैं:

tail privatekey publickey

सर्वर की wg0.conf फ़ाइल बनाएं और संपादित करें।

वायरगार्ड अपनी सुरंगों को व्यवस्थित करता है वर्चुअल इंटरफेस इन्हें wg0, wg1 आदि के रूप में कॉल किया जाता है। प्रत्येक इंटरफ़ेस की अपनी कॉन्फ़िगरेशन फ़ाइल होती है। /आदि/वायरगार्ड/हम बनाने जा रहे हैं wg0.conf मुख्य इंटरफ़ेस के रूप में।

यदि आपको नैनो पसंद है और यह आपके कंप्यूटर में इंस्टॉल नहीं है, तो आप इसे निम्न तरीके से जोड़ सकते हैं:

apt install -y nano

कॉन्फ़िगरेशन फ़ाइल खोलें:

nano /etc/wireguard/wg0.conf

कुछ भी लिखने से पहले, उस नेटवर्क इंटरफ़ेस का नाम पहचानें जो इंटरनेट से कनेक्ट होता है (वह जिसका सार्वजनिक आईपी पता है या वह आईपी पता जिसका उपयोग आप एसएसएच के माध्यम से कनेक्ट करने के लिए करते हैं)। आप इसे निम्न प्रकार से खोज सकते हैं:

ip a

कई वीपीएस में इसे कहा जाता है eth0, ens3, enp0s3 या कुछ ऐसा ही। आपको NAT नियमों के लिए इसकी आवश्यकता होगी। एक पूर्ण ब्लॉक का उदाहरण इस प्रकार हो सकता है:

Address = 10.30.0.1/24 PrivateKey = <clave_privada_servidor> ListenPort = 51820 PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

यहां आप सर्वर को आईपी एड्रेस दे रहे हैं। वीपीएन नेटवर्क के भीतर 10.30.0.1आप इसे यूडीपी पोर्ट 51820 पर सुनने के लिए कहते हैं, और आप आईपीटेबल्स नियमों को परिभाषित करते हैं जो wg0 इंटरफ़ेस के चालू होने पर लागू होते हैं (पोस्ट करें) और नीचे जाते समय इन्हें हटा दिया जाता है (पोस्टडाउनबदलते समय सावधानी बरतें। eth0 आपके आउटपुट इंटरफ़ेस के वास्तविक नाम से।

नैनो में, आप बचत करते हैं Ctrl + O और आप इसे समाप्त करते हैं Ctrl + Xयह wg0.conf फ़ाइल मूल फ़ाइल होगी जिसमें आप विभिन्न क्लाइंट (पीयर) जोड़ेंगे।

आईपी फॉरवर्डिंग को सक्षम करें और वायरगार्ड सेवा शुरू करें।

आपके क्लाइंट्स को वीपीएन सर्वर के पीछे इंटरनेट या लैन तक पहुंचने के लिए, सिस्टम को इसकी अनुमति देनी होगी। IPv4 और IPv6 पैकेट अग्रेषणइसे sysctl के माध्यम से नियंत्रित किया जाता है।

इसका एक आसान तरीका यह है कि संबंधित पंक्तियों को इसमें जोड़ दिया जाए। /etc/sysctl.conf या किसी फ़ाइल में /etc/sysctl.d/ और रिचार्ज करें:

echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
echo "net.ipv6.conf.all.forwarding=1" >> /etc/sysctl.conf
sysctl -p

यदि वे पंक्तियाँ पहले से मौजूद थीं लेकिन # से कमेंट आउट की गई थीं, तो यह पर्याप्त है हटाना #सहेजें और पुनः प्रारंभ करें sysctl -pइस चरण के बिना, टनल तो चालू हो जाएगी लेकिन क्लाइंट्स से LAN या इंटरनेट तक पहुंच खत्म हो जाएगी।

अब आप वायरगार्ड को इसकी मदद से उठा सकते हैं। डब्ल्यूजी-क्विक और systemd:

systemctl start wg-quick@wg0

इसे सिस्टम के साथ स्वचालित रूप से शुरू करने के लिए:

systemctl enable wg-quick@wg0

यह सुनिश्चित करने के लिए कि सब कुछ हरा है, निम्न तरीके का उपयोग करें:

systemctl status wg-quick@wg0

इंटरफ़ेस, कुंजी, पीयर और ट्रैफ़िक के रीयल-टाइम विवरण देखने के लिए, निम्न का उपयोग करें:

wg

क्लाइंट जोड़ें: पीसी, एंड्रॉइड मोबाइल और अन्य डिवाइस

आपके वीपीएन से कनेक्ट होने वाले प्रत्येक डिवाइस को इस प्रकार परिभाषित किया गया है: वे अपनी स्वयं की कुंजी और टनल आईपी के साथ पीयर करते हैं।आप सर्वर पर ही कुंजी उत्पन्न कर सकते हैं (जो अधिक सुविधाजनक है) या प्रत्येक क्लाइंट पर (जो अधिक सुरक्षित है, क्योंकि निजी कुंजी कभी भी उससे बाहर नहीं जाती है)।

उदाहरण के लिए, डेस्कटॉप कंप्यूटर के लिए आप ऐसा कर सकते हैं: /etc/wireguard/:

wg genkey > mypc_privatekey
wg pubkey < mypc_privatekey > mypc_publickey

और आपके एंड्रॉइड मोबाइल के लिए:

wg genkey > myphone_privatekey
wg pubkey < myphone_privatekey > myphone_publickey

फ़ाइलों की जाँच निम्न के साथ करें:

ls

और यह सार्वजनिक कुंजी दिखाता है:

tail mypc_publickey myphone_publickey

आप उन्हीं सार्वजनिक कुंजियों को दर्ज करेंगे। ब्लॉक के भीतर wg0.conf सर्वर फ़ाइल को दोबारा खोलें:

nano /etc/wireguard/wg0.conf

और वे आगे कहते हैं, उदाहरण के लिए:

PublicKey = <clave_publica_mypc> AllowedIPs = 10.30.0.2/32

पब्लिककी =
अनुमत आईपी = 10.30.0.3/32

ऐसा करके आप आईपी एड्रेस आरक्षित कर रहे हैं। पीसी के लिए 10.30.0.2 और एंड्रॉइड मोबाइल के लिए 10.30.0.3/32 यह दर्शाता है कि यह एक व्यक्तिगत आईपी पता है। वीपीएन सबनेट के भीतर प्रत्येक पीयर अपने स्वयं के अद्वितीय आईपी पते का उपयोग करता है।

परिवर्तन लागू करने के लिए सेवा को सहेजें और पुनः लोड करें:

systemctl restart wg-quick@wg0

क्लाइंट कॉन्फ़िगरेशन फ़ाइलें बनाएँ

अब तैयारी करने का समय आ गया है .conf फ़ाइलें जिनका उपयोग क्लाइंट करेंगेइनमें आपकी निजी कुंजी, आंतरिक आईपी, डीएनएस और सर्वर डेटा (सार्वजनिक कुंजी, आईपी/डोमेन और पोर्ट) शामिल हैं।

पीसी के लिए आप बना सकते हैं mypc.conf /etc/wireguard/ में (या जहाँ भी आप चाहें):

nano mypc.conf

सामग्री का प्रकार:

PrivateKey = <clave_privada_mypc> Address = 10.30.0.2/24 DNS = 1.1.1.1

पब्लिककी =
अंतिम बिंदु = :51820
अनुमत आईपी = 0.0.0.0/0
परसिस्टेंटकीपैलिव = 20

पहले ब्लॉक में, आप क्लाइंट की स्थानीय "पहचान" परिभाषित करते हैं: उसकी निजी कुंजी, उसका वीपीएन आईपी पता और वह कौन सा डीएनएस उपयोग करेगा। दूसरे ब्लॉक में, आप सर्वर का वर्णन करते हैं: उसकी सार्वजनिक कुंजी, पता और पोर्ट। अनुमत आईपी = 0.0.0.0/0 बनाता है सभी ग्राहक ट्रैफ़िक वीपीएन के माध्यम से गुजरता है। (फुल टनल)। यदि आप केवल अपने रिमोट LAN तक पहुंच चाहते हैं, तो आप इसे अपने नेटवर्क के आधार पर 10.30.0.0/24 और/या 192.168.x.0/24 तक सीमित कर सकते हैं।

PersistentKeepalive NAT या मोबाइल नेटवर्क के पीछे मौजूद क्लाइंट्स के लिए हर 20-25 सेकंड में टनल को बंद करना अत्यधिक अनुशंसित है, क्योंकि यह टनल को निष्क्रिय दिखने से रोकता है और फ़ायरवॉल को सेशन बंद करने से बचाता है।

एंड्रॉइड क्लाइंट-विशिष्ट कॉन्फ़िगरेशन

एंड्रॉइड पर भी प्रक्रिया वही है। फोन को इसकी आवश्यकता होती है। निजी कुंजी, आपका टनल आईपी और सर्वर डेटा। आप सर्वर पर जनरेट की गई कुंजियों का पुनः उपयोग कर सकते हैं या उन्हें सीधे ऐप में जनरेट कर सकते हैं।

आपके द्वारा बनाए गए उदाहरण का अनुसरण करते हुए myphone_privatekey और myphone_publickeyआपके फोन में myphone.conf फ़ाइल मौजूद नहीं है:

nano myphone.conf

कुछ इस तरह:

PrivateKey = <clave_privada_myphone> Address = 10.30.0.3/24 DNS = 1.1.1.1

पब्लिककी =
अंतिम बिंदु = :51820
अनुमत आईपी = 0.0.0.0/0
परसिस्टेंटकीपैलिव = 20

यहां मुश्किल हिस्सा यह है कि उस फाइल को मोबाइल फोन पर सुरक्षित रूप से कैसे भेजेंप्रयोगशाला के वातावरण में, आप इसे वेब सर्वर पर अपलोड कर सकते हैं और डाउनलोड कर सकते हैं, लेकिन उत्पादन में, इसे ईमेल द्वारा भेजने या इसे एन्क्रिप्टेड सेवाओं पर संग्रहीत करने से बचना सबसे अच्छा है।

सबसे स्वच्छ तरीका आमतौर पर उपयोग करना है qrencode एंड्रॉइड पर वायरगार्ड ऐप द्वारा स्कैन किए जा सकने वाला क्यूआर कोड जनरेट करने के लिए:

apt install -y qrencode
qrencode -t ansiutf8 -r myphone.conf

आपको टर्मिनल पर ASCII अक्षरों में एक QR कोड दिखाई देगा। अपने मोबाइल डिवाइस पर, WireGuard ऐप खोलें, " चुनेंक्यूआर कोड से स्कैन करें"(क्यूआर कोड से स्कैन करें) और स्क्रीन की ओर इंगित करें। इस तरह आपको संदिग्ध चैनलों के माध्यम से .conf फ़ाइल साझा करने की आवश्यकता नहीं होगी।"

होम लैन, डीएनएस और स्थानीय नामों तक पहुंच

सुरंग बनाने के अलावा, एक दिलचस्प बात यह है कि सुरक्षित होम कनेक्शन के लिए एंड्रॉइड पर वायरगार्ड के साथ वीपीएन। इसका मतलब है कि आप अपने घर के सभी उपकरणों को ऐसे एक्सेस कर सकें जैसे आप वहीं मौजूद हों: NAS, IP कैमरे, राउटर, मीडिया सर्वर आदि, और आदर्श रूप से इनका उपयोग कर सकें। आईपी के बजाय स्थानीय डोमेन नाम.

कई राउटर जिनमें वायरगार्ड सर्वर या आंतरिक डीएनएस एकीकृत होता है, उनमें एक ऐसा अनुभाग होता है जैसे नेटवर्क → DNS → होस्ट संपादित करें जहां आप इस तरह की प्रविष्टियां बना सकते हैं 192.168.1.50 nas-casa.localयदि आप अपने वीपीएन क्लाइंट के डीएनएस को उस राउटर या सर्वर की ओर इंगित करते हैं जो इन नामों को हल करता है, तो आप होस्टनाम द्वारा अपने उपकरणों तक पहुंच सकेंगे।

वायरगार्ड वाले कुछ राउटर फर्मवेयर में चेकबॉक्स शामिल होते हैं जैसे "LAN तक रिमोट एक्सेस की अनुमति दें""रिमोट एक्सेस लैन सबनेट" या इसी तरह का कोई विकल्प। आपको इन्हें सक्षम करना होगा ताकि रिमोट क्लाइंट उन तक पहुंच सकें। स्थानीय सबनेट (192.168.xx) राउटर से परे।

उन स्थितियों में जहां वायरगार्ड सर्वर राउटर में एम्बेडेड रूप से चलता है, यह अक्सर अनुमति देता है पहले से तैयार .conf प्रोफाइल निर्यात करें मोबाइल डिवाइस या अन्य क्लाइंट राउटर के लिए। इन प्रोफाइल में आमतौर पर टनल आईपी, सही डीएनएस (सामान्यतः वीपीएन नेटवर्क पर राउटर का अपना आईपी) और ठीक से कॉन्फ़िगर किया गया AllowedIPs शामिल होता है।

सत्यापन, समस्या निवारण और सुरक्षा

एक बार कॉन्फ़िगरेशन को एंड्रॉइड में आयात कर लिया जाए और टनल को सक्रिय कर दिया जाए, तो सबसे पहले यह जांचना आवश्यक है कि हाथ मिलाने की प्रक्रिया सही ढंग से संपन्न हुई।वायरगार्ड ऐप स्वयं ही स्थिति, भेजे गए/प्राप्त किए गए बाइट्स और अंतिम हैंडशेक टाइमस्टैम्प को प्रदर्शित करता है।

सर्वर पर निम्न कमांड चलाएँ:

wg

वहां आपको प्रत्येक पीयर के लिए उसकी सार्वजनिक कुंजी, वह रिमोट आईपी पता जिससे वह कनेक्ट हो रहा है, अंतिम हैंडशेक और आदान-प्रदान किया गया ट्रैफ़िक दिखाई देगा। यदि "अंतिम हैंडशेक" फ़ील्ड खाली है या बहुत पुराना है, तो क्लाइंट कनेक्ट नहीं हो रहा है या कोई चीज़ उसे अवरुद्ध कर रही है।

यदि कोई कनेक्शन नहीं है, तो जांच लें कि यूडीपी पोर्ट (51820 या आप जो भी पोर्ट इस्तेमाल करते हैं) खुला है सर्वर के फ़ायरवॉल (UFW, iptables, nftables) और किसी भी मध्यवर्ती राउटर पर। यदि सर्वर होम राउटर के पीछे है, तो कॉन्फ़िगर करें उस पोर्ट से सर्वर के आंतरिक आईपी पते पर यूडीपी पोर्ट फॉरवर्डिंग।यह समस्या कुछ खास ऐप्स को प्रभावित कर सकती है; इसके बारे में हमारी गाइड देखें। वीपीएन चालू होने पर ऐप्स काम करना बंद कर दें तो क्या करें?.

यदि टनल खुल जाती है लेकिन आपके पास मोबाइल इंटरनेट नहीं है, तो पैकेट फॉरवर्डिंग की जांच करें (net.ipv4.ip_forward और वैकल्पिक रूप से net.ipv6.conf.all.forwardingयह सुनिश्चित करना आवश्यक है कि NAT नियम सक्रिय हैं और सही आउटगोइंग इंटरफ़ेस (eth0, ens3, आदि) की ओर इंगित करते हैं।

DNS संबंधी समस्याएं आमतौर पर तब पता चलती हैं जब आप किसी विशिष्ट IP पते (उदाहरण के लिए, 1.1.1.1) को पिंग कर सकते हैं लेकिन डोमेन को हल नहीं कर सकते। ऐसी स्थिति में, निम्नलिखित पंक्ति की जाँच करें। DNS = क्लाइंट की .conf फ़ाइल में: आप एक सार्वजनिक DNS (8.8.8.8, 1.1.1.1) या सर्वर के टनल IP पते का उपयोग कर सकते हैं यदि यह एक आंतरिक रिज़ॉल्वर के रूप में कार्य करता है।

सुरक्षा के लिहाज से, वायरगार्ड की क्रिप्टोग्राफी के अलावा, कई अन्य पहलू भी हैं। आवश्यक अच्छी प्रथाएँ:

अपनी निजी कुंजियों की सुरक्षा करेंइन्हें असुरक्षित साइटों पर कॉपी न करें और न ही किसी के साथ साझा करें।
प्रति पीयर अनुमत आईपी को प्रतिबंधित करता है: यह प्रत्येक क्लाइंट को केवल उन्हीं नेटवर्क तक पहुंच प्रदान करता है जिनकी उन्हें आवश्यकता होती है, किसी को भी पूरी छूट नहीं देता।
गैर-मामूली यूडीपी पोर्ट का उपयोग करें51820 को उच्च मान वाले मान से बदलने पर स्वचालित स्कैन से उत्पन्न होने वाला शोर कम हो जाता है।
अपने सिस्टम और वायरगार्ड को हमेशा अपडेट रखें।हर रोज पैच लगाएं।
वायरगार्ड पोर्ट तक पहुंच को फ़िल्टर करता है फ़ायरवॉल में यह सीमित करने के लिए कि कौन कनेक्ट करने का प्रयास कर सकता है (जब उपयुक्त हो तो स्रोत आईपी द्वारा)।

जब आपके पास CGNAT हो या आप कुछ और उन्नत चाहते हों: VPS के माध्यम से टनलिंग करें

यदि आपका ऑपरेटर आपको सीजीएनएटी के अंतर्गत रखता है या आप अपने घर के सार्वजनिक पहुंच स्तर को अलग करना चाहते हैं, तो आप एक थोड़ा अधिक विस्तृत लेकिन बहुत शक्तिशाली समाधान स्थापित कर सकते हैं: वीपीएस को केंद्रीय बिंदु के रूप में और अपने होम सर्वर को क्लाइंट के रूप में उपयोग करें।फिर आप एंड्रॉइड से वीपीएस से कनेक्ट करते हैं और इसके माध्यम से आप अपने लैन (LAN) तक पहुंच प्राप्त करते हैं।

मूल योजना इस प्रकार है: क्लाउड में आप एक सेटअप करते हैं। वायरगार्ड “सर्वर” (उदाहरण के लिए डॉकर और लिनक्ससर्वर/वायरगार्ड जैसे स्टैक या पहले से निर्मित रिपॉजिटरी के साथ), आप फॉरवर्डिंग और NAT को सक्षम करते हैं, और घर पर आपके पास एक Raspberry Pi या PC हमेशा चालू रहता है जो उस VPS से पीयर के रूप में कनेक्ट होता है। VPS का पब्लिक IP एड्रेस है और यह CGNAT से प्रभावित नहीं होता, इसलिए आप वहां बिना किसी समस्या के पोर्ट खोल सकते हैं।

डॉकर के साथ एक सामान्य वर्कफ़्लो इस प्रकार हो सकता है:

VPS पर आप Docker और Docker Compose इंस्टॉल करते हैं, WireGuard कॉन्फ़िगरेशन रिपॉज़िटरी को क्लोन करते हैं और आप `docker-compose up -d` कमांड का उपयोग करके कंटेनर को ऊपर उठाते हैं।.
कंटेनर स्वचालित रूप से सर्वर कुंजी और कई साथियों (पीयर1, पीयर2...) की कुंजी उत्पन्न करता है, और उनकी .conf फ़ाइलों को एक कॉन्फ़िगरेशन फ़ोल्डर में सहेजता है।
आप सर्वर फ़ाइल को अपने अनुसार समायोजित करते हैं ताकि उसमें आपका कोड शामिल हो सके। AllowedIPs में होम सबनेट (उदाहरण के लिए 192.168.1.0/24) उस पीयर की पहचान करें जिसका उपयोग आपका रास्पबेरी पाई करेगा, और वीपीएन और आपके होम नेटवर्क के बीच ट्रैफिक को रूट करने के लिए होस्ट पर आईपीटेबल्स या समकक्ष नियम कॉन्फ़िगर करें।
Raspberry Pi पर, उसी रिपॉजिटरी (या पहले से तैयार की गई) को क्लोन करें, peer1 के लिए जेनरेट किए गए डेटा के साथ wg0.conf फ़ाइल बनाएं, लोकल NAT को सक्षम करें (LAN पर ट्रैफ़िक वापस भेजने में सक्षम होने के लिए), और Docker में या नेटिव रूप से WireGuard क्लाइंट शुरू करें।

वहां से, कोई भी अन्य उपकरण (आपके उपकरण सहित) वायरगार्ड ऐप के साथ एंड्रॉइडआप कनेक्ट करने के लिए VPS के अतिरिक्त पीयर्स (पीयर2, पीयर3…) में से किसी एक का उपयोग कर सकते हैं। व्यवहार में, आप हमेशा VPS के IP पते से कनेक्ट होते हैं, लेकिन CGNAT के माध्यम से भी आप अंततः अपने होम नेटवर्क सेवाओं तक पहुँच जाते हैं।

वेब पैनल के साथ वायरगार्ड: वायरगार्ड ईज़ी, ईज़ीपैनल और इसी तरह के अन्य उत्पाद

अगर यह सब आपको बहुत ज्यादा कंसोल जैसा लगता है, तो ऐसे कई सुविधाजनक समाधान मौजूद हैं जो इसे सेट अप करने में मदद करते हैं। वायरगार्ड को एक क्लिक में प्रबंधित करने के लिए वेब पैनलउदाहरण के लिए, EasyPanel वाले सर्वर पर आप इस तरह का ऐप डिप्लॉय कर सकते हैं: वायरगार्ड ईज़ी टेम्पलेट के माध्यम से काम करें और फाइलों को हाथ से लिखने की झंझट से छुटकारा पाएं।

इन पैनलों के साथ कार्यप्रवाह आमतौर पर इस प्रकार होता है:

आप अपने उपयोगकर्ता के साथ पैनल (ईज़ीपैनल या अन्य) तक पहुँच प्राप्त करते हैं।
आप टेम्पलेट इंस्टॉल करते हैं वायरगार्ड ईज़ीइसमें डोमेन/पब्लिक आईपी (WG_HOST), यूडीपी पोर्ट, वीपीएन सबनेट और डीएनएस जैसे पैरामीटर परिभाषित किए जाते हैं।
यह सिस्टम एक कंटेनर शुरू करता है जो पासवर्ड-सुरक्षित वेब इंटरफ़ेस को उजागर करता है जहाँ आप देख सकते हैं सहकर्मी सूची, सांख्यिकी और कॉन्फ़िगरेशन विकल्प.
किसी क्लाइंट को जोड़ने के लिए, आपको बस उनके नाम के साथ एक फ़ॉर्म भरना होता है; पैनल कुंजी जनरेट करता है, उन्हें एक आईपी एड्रेस असाइन करता है, और प्रदर्शित करता है। एंड्रॉइड से स्कैन करने के लिए क्यूआर कोड तैयार हैइसके अलावा, यह आपको .conf फ़ाइल डाउनलोड करने की सुविधा भी देता है।

यह उन वातावरणों में बेहद सुविधाजनक है जहां अधिक लोग वीपीएन का उपयोग कर रहे हैं (परिवार, कार्य टीम, आदि), क्योंकि आप सेकंडों में एक्सेस सक्रिय या रद्द करें बिना किसी तकनीकी जानकारी को समझाए। इसके अलावा, यदि आप WireGuard Easy को VPS पर तैनात करते हैं, तो आप अपने होम नेटवर्क और अन्य स्थानों के सभी रिमोट एक्सेस को केंद्रीकृत कर सकते हैं।

अन्य सिस्टमों पर वायरगार्ड: विंडोज, मैकओएस, लिनक्स, आईओएस

हालांकि हम यहां एंड्रॉइड पर ध्यान केंद्रित कर रहे हैं, वायरगार्ड अन्य सभी प्लेटफॉर्म पर भी समान रूप से काम करता है। डेस्कटॉप और अन्य मोबाइलउदाहरण के लिए, विंडोज़ में, आप आधिकारिक क्लाइंट डाउनलोड करते हैं, उसे इंस्टॉल करते हैं और "सुरंग जोड़ें", आप "खाली टनल जोड़ें" या "फ़ाइल से आयात करें" का विकल्प चुनते हैं, और प्रोग्राम स्वयं आपके लिए कुंजी जोड़ी उत्पन्न कर सकता है।

कॉन्फ़िगरेशन प्रारूप समान है: अपने ब्लॉक के साथ प्राइवेटकी, एड्रेस और डीएनएसऔर इसके साथ ब्लॉक करें सर्वर, एंडपॉइंट और अनुमत आईपी की सार्वजनिक कुंजीएक बार सेव हो जाने के बाद, इंटरफ़ेस लॉन्च करने और ट्रैफ़िक प्रवाह शुरू करने के लिए बस "एक्टिवेट" बटन दबाएं।

iOS पर प्रक्रिया Android के समान ही है: आप ऐप स्टोर से WireGuard ऐप इंस्टॉल करते हैं, एक नया टनल बनाते हैं, और फिर आप आगे बढ़ सकते हैं। .conf फ़ाइल आयात करें या क्यूआर कोड स्कैन करें जिसे आपने qrencode या WireGuard Easy जैसे पैनल से जनरेट किया है। फिर आप स्विच से टनल को एक्टिवेट करते हैं और आप अपने होम नेटवर्क में प्रवेश कर जाते हैं।

डेस्कटॉप लिनक्स पर आप कमांड-लाइन टूल का ही उपयोग कर सकते हैं (wg-क्विक अप wg0या फिर ग्राफिकल इंटरफेस से .conf फ़ाइल इम्पोर्ट करके इसे नेटवर्क मैनेजर के साथ इंटीग्रेट करें। विंडोज वर्जन के समान अनुभव देने वाला एक आधिकारिक macOS क्लाइंट भी उपलब्ध है।

अंत में, है सभी प्लेटफार्मों पर समान प्रोटोकॉल और कॉन्फ़िगरेशन योजना इससे काम बहुत आसान हो जाता है: आप केवल कुंजियों और टनल आईपी को बदलकर एक क्लाइंट से दूसरे क्लाइंट तक लॉजिक को दोहरा सकते हैं।