前言

网上虽然有很多 WireGuard 的安装教程,而实际上我查找的很多都写的不够详细或者完整,本来在 OpenWrt 上已经很稳定的在使用了,但还是折腾在 Linux 服务器上尝试安装,此次教程适用于安装在内网 ESXi 的虚拟机上以及公网境外服务器上,都能根据需求配置好所需要的路由。

服务端

本文是以CentOS 7为例,实际上其他例如UbuntuDebian也基本上通用,只是在以下安装官方 WireGuard 的命令有所不同,请参考官网修改。

如果是在内网部署 WireGuard,必须有公网 IP 并设置UDP端口映射。
没有公网 IP 的用户可以离开本文,访问 Tailscale 或者搜索 Tailscale 获取相关教程,本站后续也会更新相关教程。

关闭防火墙

关闭 Linux 服务器的自带防火墙,使用iptables来管理端口转发。
注意如果你的服务器是类似阿里云、腾讯云等服务商提供,还需要登录控制台的防火墙,开放一个UDP端口,本文以45678为例。请再三确认该端口已正常开放,你可以使用nc命令或者其他在线检测工具来测试服务器已正常开放该UDP端口。

systemctl stop firewalld
systemctl disable firewalld
# CentOS 7 关闭防火墙命令# Ubuntu, Debian 请自行搜索关闭命令

开启服务器转发

echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
sysctl -p

安装官方 WireGuard

访问 WireGuard 官网,本文以CentOS 7为例,由于CentOS 7内核太老,官方推荐了三种安装方式,其中第一种需要安装推荐的内核才能支持使用 WireGuard,如果安装内核会影响你其他的服务,可以选择其他两种方式。

yum install -y yum-utils epel-release
yum-config-manager --setopt=centosplus.includepkgs=kernel-plus --enablerepo=centosplus --save
sed -e 's/^DEFAULTKERNEL=kernel$/DEFAULTKERNEL=kernel-plus/' -i /etc/sysconfig/kernel
yum install -y kernel-plus wireguard-tools
# 安装 kernel-plus 内核和官方 wireguard-tools
reboot
# 安装完毕需重启

创建公钥私钥

WireGuard的服务端或客户端都必须用单独的公钥私钥来进行鉴权,所以参考以下命令格式,为各设备创建对应的公钥私钥。其中预共享密钥属于可选配置

cd /etc/wireguard/
umask 077
# 设置目录默认权限
wg genpsk > sharekey
# 可选,生成预共享密钥
wg genkey > server.key
wg pubkey < server.key > server.key.pub
# 服务器的公钥私钥
wg genkey > iphone.key
wg pubkey < iphone.key > iphone.key.pub
# iPhone 的公钥私钥
wg genkey > ipad.key
wg pubkey < ipad.key > ipad.key.pub
# iPad 的公钥私钥
wg genkey > macos.key
wg pubkey < macos.key > macos.key.pub
# MacBook 的公钥私钥

其中.key为私钥,.key.pub为公钥,可以使用cat server.key命令获取。

配置服务端

执行以下命令获取当前服务器默认网卡的名称,用于配置iptabls的流量转发。一般情况下网卡名称有可能为eth0ens192ens3等等。本文示例为ens192

ifconfig
# 获取网卡信息

创建wg0.conf服务器配置文件

# 依旧在 /etc/wireguard 目录下执行
vi wg0.conf
# 复制以下参考配置

以下参考配置可以自行修改

  • [Interface] 区域为服务器端。
  • [Interface] – PrivateKey 为上文创建的服务器端私钥,即server.key
  • Address 为服务端的内网 IP,可以自行选择例如192.168.0.110.0.0.1,但是需注意请勿和服务器所在内网网段冲突,例如博主家内网网段为 192.168.1.X,这台 CentOS 7 服务器的内网 IP 为 192.168.1.15,则不能使用 192.168.1.X 该网段。
  • ListenPort 为服务端口,需在防火墙开放此端口的UDP访问,或进行路由器端口映射。
  • DNS 服务器自行选择。
  • PostUp 为启动命令的 iptabls 配置,注意需要修改 ens192 为你的服务器网卡名。
  • PostDown 为停止命令的 iptabls 配置,注意需要修改 ens192 为你的服务器网卡名。
  • [Peer] 为客户端配置,必须为每个客户端分别配置。
  • [Peer] – PublicKey 为上文创建的客户端公钥,即macos.key.pub
  • AllowedIPs 为该客户端指定 IP,注意不要和其他客户端冲突。
  • PresharedKey 为预共享密钥,根据上文可选设置。
# 服务端配置
[Interface]
PrivateKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Address = 10.0.0.1
ListenPort = 45678
DNS = 114.114.114.114
MTU = 1420

PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -A FORWARD -o wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o ens192 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -D FORWARD -o wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o ens192 -j MASQUERADE


########### 以下为各个客户端信息 ############ macOS
[Peer]
PublicKey =  xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
AllowedIPs = 10.0.0.2/32
PresharedKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
PersistentKeepalive = 25

# iPhone
[Peer]
PublicKey =  xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
AllowedIPs = 10.0.0.3/32
PresharedKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
PersistentKeepalive = 25

# iPad
[Peer]
PublicKey =  xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
AllowedIPs = 10.0.0.4/32
PresharedKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
PersistentKeepalive = 25

启动服务

执行以下命令启动服务,并设置开机自动启动。

systemctl enable wg-quick@wg0
# 设置开机自动启动
wg-quick up wg0
# 启动
wg-quick down wg0
# 停止

客户端

客户端的配置文件其实相对简单,但是最重要是的AllowedIPs这一项路由信息需要根据你实际需求来设置,以下以iPhone客户端的配置为例:

  • 由于此配置为客户端iPhone使用,[Interface]则为iPhone的相关配置,[Peer]则为服务端也就是CentOS 7的服务器相关信息。
  • Address 为该iPhone的内网 IP,对应上述服务端配置,此处iPhone的 IP 应为10.0.0.3
  • [Interface] – PrivateKey 为上文创建的iPhone 的私钥,即iphone.key
  • DNS 服务器自行选择。
  • [Peer] 为服务端的配置信息
  • [Peer] – PublicKey 为服务端公钥,即server.key.pub
  • AllowedIPs – 为路由信息,本文0.0.0.0/0则代表全局代理转发。下文具体讲解
  • PresharedKey 为预共享密钥,根据上文可选设置。
  • Endpoint = 为服务端的 IP 和端口,也可以使用域名加端口。
# 客户端配置 示例 iPhone
[Interface]
Address = 10.0.0.3/32
PrivateKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
DNS = 114.114.114.114

# 服务端配置
[Peer]
PublicKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
AllowedIPs = 0.0.0.0/0
PresharedKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Endpoint = xxx.xxx.xxx.xxx:45678
PersistentKeepalive = 25

AllowedIPs

AllowedIPs 其实可以理解为路由,根据需求不同设置也不同。

全局代理 / iPhone / iPad

由于 iPhone / iPad 在使用 WireGuard 时是无法使用其他代理软件,如果家中的网络环境已经可以科学上网,或者 WireGuard 部署在境外公网服务器上,则可以设置AllowedIPs = 0.0.0.0/0进行全局代理网络,此时该 iPhone / iPad 可以访问包括家庭内网、WireGuard 的内网、以及其他任何国内和国外网站,并且都是以 WireGuard 这台服务器的 IP 访问。

内网代理 / macOS

如果在家中 CentOS 7 部署了 WireGuard,希望通过 WireGuard 回家访问内网设备,而其他互联网访问,科学访问可以使用 macOS 本身的网络和软件实现,那么 AllowedIPs 则只需要设置家庭内网 IP 网段。
例如博主家为192.168.1.X网段,WireGuard 的网段为上文设置的10.0.0.X,AllowedIPs 可以设置为 AllowedIPs = 192.168.1.0/24, 10.0.0.0/24,此时将可以访问家庭内网的NAS等设备,以及WireGuard自身的10.0.0.X网段,例如另外一台Windows电脑连入这个WireGuard也可以被访问。然而其他网段和互联网,科学上网都将由 macOS 当前所在的网络配合 Surge 等其他代理软件去访问。

推荐 / 两个配置文件

虽然AllowedIPs = 0.0.0.0/0全局代理更为方便,但是正常的互联网访问都要通过服务端代理,网络速度取决于服务器端的上行速率,而且服务器在境外,访问大陆网络体验更差,肯定是没有当前本地网络好,所以只有访问内网的需求,则只配置内网网段即可。当然最完美的方案是为一台设备创建多个配置文件用于不同需求和场景,例如macos.confmacos.global.conf两个配置文件,其中 IP,公钥私钥等参数均可完全一样,仅仅只是AllowedIPs路由不同。使用时自行切换即可。