Install WireGuard VPN di Ubuntu 22.04

WireGuard merupakan protokol VPN (Virtual Private Network) yang sederhana tetapi sangat cepat, dapat menjadi pengganti sebuah protokol VPN lain seperti OpenVPN dan IPsec. WireGuard ini telah dimasukkan ke dalam kernel pada Linux 5.6 dan juga mulai tersedia di Ubuntu 20.04.

Install WireGuard Server

Sistem operasi yang digunakan sebagai WireGuard server yakni Ubuntu Server 22.04 LTS dengan user root.

Install WireGuard.

apt install wireguard

Membuat private key WireGuard server.

wg genkey | tee /etc/wireguard/private.key

Hasil perintah di atas meng-generate key dan menyimpannya ke dalam file private.key.

cFtmVKUPUBhK8qpzi4KbTbOHG1frrPQbnxYxkyWhAGU=

Mengubah permission private.key, menghilangkan semua permission untuk group dan other.

chmod 600 /etc/wireguard/private.key

Meng-generate public key WireGuard server berdasarkan private key yang telah dibuat sebelumnya dan menyimpannya ke dalam file public.key.

cat /etc/wireguard/private.key | wg pubkey | tee /etc/wireguard/public.key

Hasil perintah di atas.

8q8jmSa5RwWK56NPCU4wHNFYczzcKYg0okM15FUJEz4=

Konfigurasi WireGuard Interface di Server

Membuat file konfigurasi untuk WireGuard interface di server.

nano /etc/wireguard/wg0.conf

Masukkan konfigurasi interface.

[Interface]
PrivateKey = cFtmVKUPUBhK8qpzi4KbTbOHG1frrPQbnxYxkyWhAGU=
Address = 192.168.10.1/24
ListenPort = 51820

PrivateKey = Private key yang sudah dibuat
Address = Private IP address untuk IP VPN server
ListenPort = Nomor port default WireGuard 51820 UDP, bisa menggunakan nomor lain

Konfigurasi WireGuard Peer (Client)

Sistem operasi yang digunakan sebagai WireGuard peer (client) adalah Ubuntu Server 22.04 LTS dengan user root. Langkahnya mirip dengan WireGuard server.

Install WireGuard.

apt install wireguard

Membuat private key.

wg genkey | tee /etc/wireguard/private.key
chmod 600 /etc/wireguard/private.key

Hasilnya.

6Aqa8MWTrdAaqvAxe2vCuKFZqUgAcAltNkZj9UnvEEw=

Membuat public key.

cat /etc/wireguard/private.key | wg pubkey | tee /etc/wireguard/public.key

Hasilnya.

uic2Ph1uCFFXz2ZzbHyZrmuidU1+v0XD/vN1+ROkMTE=

Membuat konfigurasi interface WireGuard di client.

nano /etc/wireguard/wg0.conf

Masukkan konfigurasi interface.

[Interface]
PrivateKey = gFyRMQtq83pMuf3RD1EiCL09mQtFhdqMjjlPJ1J3yFY=
Address = 192.168.10.2/24

[Peer]
PublicKey = 8q8jmSa5RwWK56NPCU4wHNFYczzcKYg0okM15FUJEz4=
Endpoint = 159.89.194.36:51820
AllowedIPs = 192.168.10.0/24

PrivateKey = Private key milik peer (client)
Address = Private IP address untuk IP VPN client
PublicKey = Public key milik VPN server
Endpoint = Public IP address milik VPN server beserta nomor port yang digunakan
AllowedIPs = IP address yang diijinkan terhubung ke peer. Bisa menggunakan host IP address (192.168.10.1) atau satu subnet (192.168.10.0/24). Jika ingin memasukkan IP address lebih dari satu, pisahkan dengan tanda koma.

Setelah selesain membuat file konfigurasi WireGuard interface di sisi client, update konfigurasi interface di WireGuard server dengan menambahkan [Peer] dan memasukkan Public Key milik Peer (VPN client).

[Interface]
PrivateKey = cFtmVKUPUBhK8qpzi4KbTbOHG1frrPQbnxYxkyWhAGU=
Address = 192.168.10.1/24
ListenPort = 51820

[Peer]
PublicKey = uic2Ph1uCFFXz2ZzbHyZrmuidU1+v0XD/vN1+ROkMTE=
AllowedIPs = 192.168.10.0/24

Menjalankan WireGuard

Mengaktifkan WireGuard interface wg0 di server dengan menjalankan service wg-quick.

systemctl start wg-quick@wg0.service
systemctl enable wg-quick@wg0.service
systemctl status wg-quick@wg0.service

Ulangi perintah yang sama di WireGuard peer (client).

Menguji Koneksi VPN

Jalankan perintah wg di server.

wg

Hasilnya.

interface: wg0
public key: 8q8jmSa5RwWK56NPCU4wHNFYczzcKYg0okM15FUJEz4=
private key: (hidden)
listening port: 51820

peer: uic2Ph1uCFFXz2ZzbHyZrmuidU1+v0XD/vN1+ROkMTE=
endpoint: 146.190.106.74:50714
allowed ips: 192.168.10.2/32
latest handshake: 3 minutes, 34 seconds ago
transfer: 47.11 KiB received, 18.06 KiB sent

Hasil perintah wg di client.

interface: wg0
public key: uic2Ph1uCFFXz2ZzbHyZrmuidU1+v0XD/vN1+ROkMTE=
private key: (hidden)
listening port: 50714

peer: 8q8jmSa5RwWK56NPCU4wHNFYczzcKYg0okM15FUJEz4=
endpoint: 159.89.194.36:51820
allowed ips: 192.168.10.0/24
latest handshake: 4 minutes, 7 seconds ago
transfer: 1.21 KiB received, 1.30 KiB sent

Uji ping dari server ke client.

ping -c 3 192.168.10.2

PING 192.168.10.2 (192.168.10.2) 56(84) bytes of data.
64 bytes from 192.168.10.2: icmp_seq=1 ttl=64 time=0.807 ms
64 bytes from 192.168.10.2: icmp_seq=2 ttl=64 time=0.761 ms
64 bytes from 192.168.10.2: icmp_seq=3 ttl=64 time=0.933 ms

Uji ping dari client ke server.

ping -c 3 192.168.10.1

PING 192.168.10.1 (192.168.10.1) 56(84) bytes of data.
64 bytes from 192.168.10.1: icmp_seq=1 ttl=64 time=0.761 ms
64 bytes from 192.168.10.1: icmp_seq=2 ttl=64 time=1.46 ms
64 bytes from 192.168.10.1: icmp_seq=3 ttl=64 time=0.779 ms

Server dan client sudah saling terhubung ke WireGuard VPN.

Menambah WireGuard Peer (VPN Client)

Untuk menambah WireGuard Peer, install WireGuard di client dan konfigurasikan WireGuard interface seperti di atas. Setelah itu tambah konfigurasi [Peer] di server. Hasilnya menjadi seperti di bawah ini.

[Interface]
PrivateKey = cFtmVKUPUBhK8qpzi4KbTbOHG1frrPQbnxYxkyWhAGU=
Address = 192.168.10.1/24
ListenPort = 51820

[Peer]
PublicKey = uic2Ph1uCFFXz2ZzbHyZrmuidU1+v0XD/vN1+ROkMTE=
AllowedIPs = 192.168.10.2/32

[Peer]
PublicKey = ueotNN04cxkPGLxMC94M5CMiuobQsFXGphE962l10kg=
AllowedIPs = 192.168.10.3/32

Restart wg-quick@wg0.service di server dan jalankan wg-quick@wg0.service di client. Uji kembali dengan wg dan ping.

Menghubungkan antar WireGuard Peer

Untuk menghubungkan antar WireGuard Peer ada 2 konfigurasi yang harus dilakukan. Misalnya ingin menghubungkan Peer#1 dengan Peer#2.

Pertama: Private IP VPN Peer#1 harus dimasukkan ke dalam AllowedIPs di konfigurasi WireGuard interface milik Peer#2, dan lakukan sebaliknya. Bisa juga dengan memasukkan satu subnet seperti pada contoh konfigurasi di atas.

Kedua: Aktifkan IP Forward di server.

Membuka file sysctl.conf.