ID-DEB-003 - Configuração Do Wireguard Para Operações

ID: KB-ID-DEB-003

Responsável: Thiago Thalisson, TI

Status: Publicado

Última Atualização: 16/09/2025

Propósito

Padronizar o procedimento de configuração e instalação do cliente WireGuard para o time de Suporte TI Nível 1, garantindo uma conexão segura à VPN para o time de Operações do Consignado.

Aplica-se a

  • Time de Suporte TI Nível 1 da Fictor (executores do procedimento).

  • Time de Operações do Consignado (usuários finais da VPN).

Pré-requisitos

  • Acesso com privilégios de administrador na máquina cliente (Windows).

  • Acesso sudo ao servidor Debian da VPN para geração de chaves e configuração de peers.

  • Os três arquivos necessários devem estar disponíveis: o instalador .msi do WireGuard, o script setupWireguard.ps1 e o arquivo de configuração do cliente VPNFictor.conf.

Instruções

O processo é dividido em duas partes: preparação no servidor para o novo usuário e a instalação na máquina cliente.

Parte 1: Ações no Servidor (para cada novo usuário)

Antes de configurar a máquina do cliente, é necessário gerar suas chaves e adicioná-lo como um "peer" autorizado no servidor.

1. Gerar um Novo Par de Chaves para o Cliente

É crucial que cada cliente tenha seu próprio par de chaves para evitar conflitos de conexão.

  1. Acesse o servidor Debian via SSH.

  2. Navegue até um diretório de trabalho para as chaves, como /etc/wireguard/pares-clientes.

  3. Execute o comando a seguir para gerar uma chave privada e uma chave pública, substituindo fulano por um nome identificador do cliente:

    wg genkey | tee privatekey-fulano | wg pubkey | tee publickey-fulano

  4. Copie o conteúdo dos dois arquivos gerados (privatekey-fulano e publickey-fulano). A chave privada será usada no arquivo de configuração do cliente, e a pública no servidor.

2. Adicionar o Novo Peer na Configuração do Servidor

  1. Desligue a interface do WireGuard temporariamente para edição:

    sudo wg-quick down wg0

  2. Abra o arquivo de configuração principal:

    sudo vim /etc/wireguard/wg0.conf

  3. Adicione um novo bloco `[Peer]` no final do arquivo com a chave **pública** do cliente e um IP único na sub-rede da VPN:

    [Peer]
# Cliente: Fulano de Tal
PublicKey = [CONTEÚDO DA CHAVE PÚBLICA GERADA]
AllowedIPs = 192.168.10.21/32

    • *Nota: O `AllowedIPs` deve corresponder ao `Address` no arquivo do cliente, mas com a máscara `/32`.*

  4. Salve o arquivo, reative a interface e salve as novas configurações:

    sudo wg-quick up wg0
sudo wg-quick save wg0

Parte 2: Ações na Máquina do Cliente

3. Preparar o Ambiente no Cliente

  1. Crie a pasta C:\FictorVPN no computador do usuário.

  2. Coloque os três arquivos necessários dentro desta pasta: * wireguard-amd64-0.5.3.msi (ou a versão mais recente) * setupWireguard.ps1 * VPNFictor.conf

4. Preparar o Arquivo de Configuração do Cliente (VPNFictor.conf)

Edite o arquivo VPNFictor.conf com os dados gerados no Passo 1.

[Interface]
PrivateKey = [COLE AQUI O CONTEÚDO DA CHAVE PRIVADA GERADA NO SERVIDOR]
Address = 192.168.10.21/24
DNS = 10.0.0.5

[Peer]
PublicKey = x+aBdJYQQhOYSU3ssJmvtVJ00hdmu6uMu5i0Bha8zi0=
AllowedIPs = 0.0.0.0/0
Endpoint = suporte.fictor.com.br:63333

5. Executar o Script de Instalação (setupWireguard.ps1)

Este script instala o WireGuard silenciosamente e cria atalhos para iniciar e parar a VPN.

  1. Abra o PowerShell como Administrador.

  2. Permita a execução de scripts para este processo:

    Set-ExecutionPolicy -Scope Process -ExecutionPolicy Bypass

  3. Navegue até o diretório de trabalho:

    cd C:\FictorVPN

  4. Execute o script:

    .\setupWireguard.ps1

    • *(Abaixo, o conteúdo da versão aprimorada do script para referência)*

    function Set-WorkDir {
param ([string] Path)) { New-Item -ItemType Directory -Path  Path
}
function Install-WireGuard {
param ([string] InstallerPath)) { Write-Host "O instalador não foi encontrado:  false }
Start-Process "msiexec.exe" -ArgumentList "/i "$InstallerPath" DO_NOT_LAUNCH=1" -Wait -NoNewWindow
return  ShortcutPath, [string] Arguments = "")
 shortcut =  ShortcutPath)
 TargetPath
 Arguments
 TargetPath).DirectoryName
 workDir = Set-WorkDir
 workDir\wireguard-amd64-0.5.3.msi"
 workDir\VPNFictor.conf"
 installer
Create-Shortcut -ShortcutPath " wireGuardExe -Arguments "/installtunnelservice "$configPath""
Create-Shortcut -ShortcutPath " wireGuardExe -Arguments "/uninstalltunnelservice VPNFictor"
Write-Host "Instalação concluída e atalhos criados em $workDir." -ForegroundColor Green

6. Conectar e Verificar a VPN

  1. Navegue até C:\FictorVPN no explorador de arquivos.

  2. Execute o atalho "WireGuard - Iniciar".

  3. Para verificar o funcionamento, acesse um site como meuip.com.br. O IP exibido deve ser o do servidor da Fictor (ex: 4.228.227.142).

Parte 3: (Opcional) Configuração para Controle do Usuário Padrão

Para permitir que usuários não-administradores iniciem e parem a VPN, siga estes passos.

7. Alterar Permissões do Serviço no Registro do Windows

  1. Abra o Editor do Registro (regedit).

  2. Navegue até a chave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\

  3. Encontre a entrada do serviço, que terá um nome como WireGuardTunnel$VPNFictor.

  4. Clique com o botão direito na entrada, vá em Permissões.

  5. Selecione o grupo "Usuários" e marque a caixa de seleção "Controle Total" na coluna "Permitir".

  6. Clique em Aplicar e OK.

8. Criar Scripts de Ativação/Desativação (.bat)

Crie um arquivo .bat na área de trabalho do usuário com o seguinte conteúdo, substituindo [Nome] pelo nome do túnel (ex: VPNFictor):

@echo off
net session >nul 2>&1
if %errorlevel% neq 0 (
    echo Solicitando acesso...
    PowerShell -Command "Start-Process '%~f0' -Verb RunAs"
    exit /b
)
echo Selecione: [1] Ativar VPN [2] Desativar VPN
set /p choice="Digite 1 ou 2: "
if "%choice%"=="1" (
    net start "WireGuardTunnel$VPNFictor"
)
if "%choice%"=="2" (
    net stop "WireGuardTunnel$VPNFictor"
)
pause

Resultado Esperado

O cliente consegue instalar o WireGuard via script, iniciar e parar a conexão VPN através de atalhos dedicados e ter seu tráfego de internet roteado pelo servidor da Fictor, o que é confirmado pela mudança do seu IP público para o IP do servidor.

Solução de Problemas

  • Problema/Erro: O VPN não desliga pelo atalho e o usuário não é administrador. * Solução: Abra o Gerenciador de Tarefas (Ctrl+Shift+Esc), vá para a aba Serviços, localize o serviço do WireGuard (ex: WireGuardTunnel$VPNFictor), clique com o botão direito e selecione Parar.

Artigos Relacionados

Referências

  • Documentação oficial do WireGuard.

Histórico de Revisões

Data
Versão
Responsável
Mudança

19/11/2024

v1.0

Thiago Amaral

Confecção do documento.

21/11/2024

v1.1

Thiago Amaral

Adicionado passo para a criação de uma nova chave de cliente.

12/12/2024

v2.0

Thiago Amaral

Adicionadas instruções para o serviço ser controlado por usuários padrão.

16/09/2025

v3.0

Thiago Amaral

Atualização para o novo modelo

PreviousID-DEB-002 - Criação Do Banco Em PostgreSQL Para O ConsignadoNextID-DEB-004 - Configuração Completa Do GLPI

Last updated