在当今互联网环境中,保护个人隐私和数据安全变得越来越重要。WireGuard 是一种现代、快速、安全的虚拟专用网络(虚拟专用网络)协议,它以简洁高效著称,特别适合在 Linux网络配置 中使用。本教程将手把手教你如何在 Linux 系统中安装并配置 WireGuard,即使你是完全的小白也能轻松上手。
什么是 WireGuard?
WireGuard 是一个开源的 VPN 协议,采用先进的加密技术(如 Curve25519、ChaCha20、Poly1305 等),代码量极小(仅约 4000 行),因此更易于审计和维护。与 OpenVPN 或 IPSec 相比,WireGuard 启动更快、配置更简单,且资源占用更低。
准备工作
你需要两台运行 Linux 的设备(可以是物理机、云服务器或虚拟机):
- 服务器端:拥有公网 IP 地址(例如阿里云、腾讯云等 VPS)
- 客户端:你的本地电脑或手机(本教程以 Linux 客户端为例)
确保系统已更新:
# Ubuntu/Debiansudo apt update && sudo apt upgrade -y# CentOS/Rocky Linuxsudo dnf update -y第1步:安装 WireGuard
在服务器和客户端上分别执行以下命令安装 WireGuard:
# Ubuntu/Debiansudo apt install wireguard -y# CentOS/Rocky Linux (需先启用 EPEL)sudo dnf install epel-release -ysudo dnf install wireguard-tools -y第2步:生成密钥对
WireGuard 使用公钥/私钥进行身份验证。在服务器和客户端上分别生成密钥:
# 创建配置目录mkdir -p ~/wg-config && cd ~/wg-config# 生成私钥和公钥umask 077wg genkey | tee privatekey | wg pubkey > publickey执行后你会得到两个文件:privatekey(私钥,保密!)和 publickey(公钥,可共享)。
第3步:配置服务器端
创建服务器配置文件 /etc/wireguard/wg0.conf:
[Interface]PrivateKey = <服务器私钥>Address = 10.0.0.1/24ListenPort = 51820PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADEPostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE[Peer]PublicKey = <客户端公钥>AllowedIPs = 10.0.0.2/32注意:将 <服务器私钥> 替换为服务器的 privatekey 内容,<客户端公钥> 替换为客户端的 publickey 内容。
启动服务并设置开机自启:
sudo chmod 600 /etc/wireguard/wg0.confsudo systemctl start wg-quick@wg0sudo systemctl enable wg-quick@wg0第4步:配置客户端
在客户端创建 /etc/wireguard/wg0.conf:
[Interface]PrivateKey = <客户端私钥>Address = 10.0.0.2/24DNS = 8.8.8.8[Peer]PublicKey = <服务器公钥>Endpoint = <服务器公网IP>:51820AllowedIPs = 0.0.0.0/0同样替换对应的密钥和服务器 IP。
启动客户端连接:
sudo systemctl start wg-quick@wg0第5步:测试连接
在客户端执行:
wg show如果看到 latest handshake 时间,说明连接成功!你也可以 ping 服务器的内网地址 10.0.0.1 测试连通性。
安全提示
WireGuard 本身非常安全,但请务必:
- 不要泄露私钥
- 定期更换密钥(可选)
- 确保防火墙开放 UDP 51820 端口
结语
通过本教程,你已经成功在 Linux 上搭建了一个基于 网络安全协议 WireGuard 的虚拟专用网络。无论用于远程办公、访问家庭网络还是提升上网隐私,WireGuard 都是一个强大而简洁的选择。希望这篇教程能帮助你掌握 Linux网络配置 中这一重要技能!