Configurazione di WireGuard per Windows
Prima di eseguire i comandi descritti, assicurati di utilizzare l'ultima versione di WireGuard e di avere i diritti di amministratore sul tuo dispositivo.
Installazione
1) Scaricare la versione corrente per Windows: https://www.wireguard.com/install/ e installare
2) Eseguire C:\Program Files\WireGuard\wireguard.exe e aggiungere un tunnel vuoto (configureremo il lato server):
Aggiungi tunnel → Aggiungi tunnel vuoto ...
Registriamo le impostazioni:
Nome - il nome della connessione di rete
Chiave pubblica - chiave pubblica del server WireGuard (necessaria per configurare il lato client).
[Interface] PrivateKey = # private key of WireGuard server ListenPort = # port that WireGuard will listen to Address = # desired IP address of WireGuard server
Configura le impostazioni dell'interfaccia di rete per il server WireGuard. Nella finestra dell'editor del tunnel (sotto il campo di testo della configurazione), puoi opzionalmente abilitare:
– Block untunneled traffic (kill-switch) — impedisce al traffico di aggirare il tunnel VPN
– Pre-shared key — un livello di sicurezza aggiuntivo (opzionale)
Queste impostazioni sono opzionali, ma consigliate per una maggiore sicurezza.
3) Aggiungiamo un altro tunnel vuoto (configureremo il lato client): Aggiungi tunnel → Aggiungi tunnel vuoto
Registriamo le impostazioni:
Nome - il nome della connessione di rete
Chiave pubblica - la chiave pubblica del client WireGuard (necessaria per configurare il lato server).
[Interface] PrivateKey = # WireGuard client private key Address = # desired IP address of WireGuard client [Peer] PublicKey = # public key of the WireGuard server (from step 2) AllowedIPs = # specify the IP addresses for which you want to use the created WG tunnel (specifying the subnet 0.0.0.0/0 will allow you to route all traffic to the WG tunnel) Endpoint = # Server IP address (real, not WireGuard) and port that WireGuard server listens on (configured in step 2)
4) Ora dobbiamo aggiungere il nostro client alla parte server di WireGuard; per farlo, torniamo al punto 2 e aggiungiamo la sua configurazione:
... [Peer] PublicKey = #WireGuard client public key (from step 3) AllowedIPs = #IP user address
5) Configuriamo il firewall di Windows per lavorare con WireGuard. Per farlo:
Creiamo una nuova regola per il traffico in entrata:
- Apri "Windows Defender Firewall with Advanced Security" (Firewall di Windows con sicurezza avanzata).
- Nel pannello a sinistra, seleziona "Inbound Rules" (Regole in entrata).
- Fai clic su "New Rule..." (Nuova regola).
Specifichiamo il protocollo (UDP) e le porte (ad esempio, 51820):
- Nella finestra "New Inbound Rule Wizard" (Procedura guidata per nuova regola in entrata), seleziona "Port" (Porta) e fai clic su "Next" (Avanti).
- Nella sezione "Protocol and Ports" (Protocollo e porte), configura quanto segue:
- Seleziona il tipo di protocollo: "UDP".
- Specifica le porte locali specifiche (Specific local ports):
- Ad esempio, la porta predefinita di WireGuard è 51820.
- Se si utilizzano più porte, elencale separate da virgole (ad esempio:
51820, 51821).
- Fai clic su "Next" (Avanti).
Consentiamo le connessioni:
- Nella sezione "Action" (Azione), seleziona "Allow the connection" (Consenti la connessione).
- Fai clic su "Next" (Avanti).
Salviamo la regola:
- Specifica i profili a cui si applicherà la regola:
- Domain (Dominio).
- Private (Privato).
- Public (Pubblico).
- Fai clic su "Next" (Avanti).
- Assegna un nome descrittivo alla nuova regola, ad esempio: "WireGuard UDP 51820".
- Fai clic su "Finish" (Fine).
Ora il firewall è configurato per consentire il traffico attraverso le porte WireGuard specificate.
6) Ora è sufficiente esportare i file di configurazione. Esporta tutti i tunnel in zip→Specifica la posizione per l'esportazione→Salva
Successivamente, apri l'archivio salvato, dove si troveranno le configurazioni di tutti i nostri tunnel.
Consegna al client il suo file di configurazione.
7) Sul server, seleziona la configurazione del server e avvia il programma.
8) Sul client aggiungi il file di configurazione a WireGuard. Aggiungi tunnel→Seleziona il file di configurazione del client->Apri
Seleziona la configurazione del client e avvia
Questo completa la configurazione del primo client. Gli altri client vengono configurati in modo simile, aggiungendo i loro dati alla configurazione del server (punto 4).
Verifica della connessione
Dopo l'attivazione del tunnel, Windows potrebbe visualizzare lo stato dell'adattatore di rete WireGuard come "Nessun accesso alla rete" o "Nessun accesso a Internet" nel Centro connessioni di rete e condivisione. Questo è un comportamento normale e previsto — Windows non riconosce gli adattatori tunnel VPN come connessioni Internet standard. Questo stato non influisce sulla funzionalità del tunnel.
Per verificare che il tunnel WireGuard funzioni correttamente:
1) Controlla lo stato della connessione nel client WireGuard. Un tunnel attivo dovrebbe mostrare lo stato "Attivo" con contatori di trasferimento dati. Se i contatori dei pacchetti aumentano, il tunnel funziona.
2) Apri il Prompt dei comandi (cmd) ed esegui il ping dell'indirizzo IP interno del server WireGuard:
ping 10.0.0.1
Sostituisci 10.0.0.1 con l'indirizzo IP effettivo del server WireGuard configurato al punto 2. Se ricevi risposte, il tunnel funziona correttamente.
3) Se hai configurato AllowedIPs = 0.0.0.0/0 (tutto il traffico instradato attraverso il tunnel), puoi verificare il routing con:
tracert 8.8.8.8
Il primo hop dovrebbe essere l'indirizzo IP del tuo server WireGuard.
Comprendere AllowedIPs
Il parametro AllowedIPs nella configurazione del client (punto 3) determina quale traffico viene instradato attraverso il tunnel WireGuard.
AllowedIPs = 0.0.0.0/0 — instrada tutto il traffico attraverso il tunnel. Tutte le connessioni, inclusa la navigazione in Internet, passeranno attraverso la VPN. Usa questa opzione per una protezione completa del traffico.
AllowedIPs = 10.0.0.0/24 — instrada solo il traffico della rete interna attraverso il tunnel. Il traffico Internet regolare non passerà attraverso la VPN e utilizzerà la connessione predefinita. Usa questa opzione per accedere a risorse di rete specifiche.
Puoi anche specificare più sottoreti separate da virgole, ad esempio: AllowedIPs = 10.0.0.0/24, 192.168.1.0/24
Risoluzione dei problemi
Il tunnel è attivo ma non c'è connessione al server
– Verifica che la porta WireGuard (ad esempio 51820) sia aperta nel firewall sia sul lato server che su quello client.
– Assicurati che le chiavi pubbliche siano state copiate correttamente tra le configurazioni del server e del client.
– Conferma che l'Endpoint nella configurazione del client punti all'indirizzo IP reale del server, non all'IP del tunnel WireGuard.
Il DNS non funziona dopo la connessione
Aggiungi un server DNS alla configurazione del client:
[Interface] PrivateKey = ... Address = ... DNS = 8.8.8.8, 8.8.4.4
I contatori dei pacchetti non aumentano
Questo significa che il tunnel non sta trasmettendo dati. Verifica quanto segue:
– AllowedIPs è configurato correttamente su entrambi i lati (server e client).
– Gli indirizzi IP di WireGuard non sono in conflitto con la rete locale esistente.
– Il ListenPort non è occupato da un'altra applicazione.
Avvio automatico di WireGuard dopo il riavvio del server.
1) Aggiungi il file di avvio all'esecuzione automatica dell'Utilità di pianificazione di Windows: Start→taskschd.msc
Fai clic su "Crea attività di base" → Inserisci un nome per l'attività (ad esempio wireguard) → Avanti
Seleziona "All'avvio del computer"→ Avanti
Seleziona "Avvia programma"→ Avanti
Nel campo "Programma o script", seleziona il file per avviare WireGuard (per impostazione predefinita è "C:\Program Files\WireGuard\wireguard.exe")
Aggiungi argomenti:
/installtunnelservice "C:\Program Files\WireGuard\wg_server.conf"
dove:
C:\Program Files\WireGuard\wg_server.conf - posizione del file di configurazione *.conf
Seleziona "Apri la finestra Proprietà per questa attività dopo aver fatto clic su 'Fine'"→ Fine
Nella finestra che si apre, seleziona "Esegui con i privilegi più elevati"→OK
Fatto. Esegui un riavvio, verifica
