WireGuard 实现虚拟私有网络

安装

参考：WireGuard Install

系统初始配置

• 服务器 && 客户端

  wg genkey | tee server_privatekey | wg pubkey > server_publickey  # 生成两个文件（本机的公钥及私钥）

• 配置服务端IP地址转发

  sysctl net.ipv4.ip_forward # 是否启动IP地址转发，1则开启，否则执行以下
  echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
  echo "net.ipv4.conf.all.proxy_arp = 1" >> /etc/sysctl.conf
  sysctl -p /etc/sysctl.conf

• 开放一个服务端的监听端口（UDP）

WireGuard 网卡配置

服务端配置

• 编辑服务端/etc/wireguard/wg0.conf

  [Interface]
  PrivateKey = # 服务端的私钥
  Address = 192.168.71.1/24 # 本机地址
  PostUp   = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -A FORWARD -o wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
  PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -D FORWARD -o wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
  ListenPort = # 监听端口（UDP）
  MTU = 1420
  [Peer]
  PublicKey = # 客户端的公钥
  AllowedIPs = 192.168.71.2/24 # 对端地址

客户端配置

• 编辑客户端/etc/wireguard/client.conf

  [Interface]
  PrivateKey = # 客户端的公钥
  Address = 192.168.71.2/24 # 本机地址
  MTU = 1420
  [Peer]
  PublicKey = # 服务端的公钥
  Endpoint = 公网IP:UDP端口
  AllowedIPs = 0.0.0.0/0 # 对端地址，0.0.0.0/0 ::/0所有代理
  PersistentKeepalive = 25

启动网卡

服务端

sudo wg-quick down wg0
sudo wg-quick up wg0

wg # 查看配置

客户端

sudo wg-quick down client
sudo wg-quick up client

wg # 查看配置

测试

ping 192.168.71.1
ping 192.168.71.2