我们之前介绍过如何通过 OpenVPN 访问家里的网络，更多信息请参考OpenVPN 部署实用指南。

收到了很多小伙伴的留言和私信，其中关于 WireGuard 的呼声实在太高，再加上各宽带运营商在分配 IPv4 公网地址这件事情上越来越小气，投向 IPv6 的怀抱才是未来——基本都能轻松拿到 IPv6 的公网地址。且可以为家中的每一个设备都分配一个，IPv4 时代从来没打过这么富裕的仗，这吸引力不可谓不大。

那么本期我们就来搞定 WireGuard 的部署~

WireGuard 是什么？

WireGuard 是一款基于现代加密技术的开源 VPN 协议，由 Jason A. Donenfeld 于 2016 年开发。它最初是为 Linux 内核设计的，但现在已支持 Windows、macOS、iOS、Android 等全平台。Linus Torvalds 在邮件中称赞 WireGuard 是“可读性和安全性兼备的典范”，并于 2020 年 3 月合并至 Linux 内核（随 Linux 5.6 正式发布）。这位大佬的脾气大家都知道，总听到他骂人，能得到他的称赞从另外一方面也证明了 WireGuard 的强大。

相比传统 VPN 协议（如 OpenVPN、IPSec），WireGuard 的最大特点就是——轻量、快速、安全、易配置。

英文全称：WireGuard VPN
中文名称：WireGuard 虚拟专用网络
核心理念：安全即简洁（Secure by Simplicity）

我们选择 WireGuard 的另外一个主要原因是它对 IPv6 支持的更好。

为什么被称为“下一代 VPN”？

极简的设计

WireGuard 的核心代码量只有约 4000 行，而 OpenVPN 超过 60 万行。代码少意味着攻击面更小，漏洞更易审计，也使得维护和优化变得更加高效，这也是安全性的重要体现。

现代加密算法

WireGuard 使用最前沿的加密套件组合：

• • Curve25519：密钥交换
• • ChaCha20：对称加密
• • Poly1305：消息认证
• • BLAKE2s：哈希函数

  这些算法不仅安全可靠，而且在移动设备和嵌入式平台上性能优异。

高性能低延迟

得益于简洁的协议栈和内核级实现，WireGuard 的性能远超 IPSec 和 OpenVPN。在相同硬件下，它能提供更低延迟和更高带宽利用率。

配置简单明了

只需几行配置即可建立一个点对点 VPN 连接。不像 IPSec 那样需要复杂的证书体系，WireGuard 使用公钥/私钥对进行身份验证。

WireGuard 的工作原理

WireGuard 的连接建立过程非常直接：

1. 1. 每台设备（称为 Peer）都拥有一对公钥和私钥；
2. 2. 双方在配置文件中互相添加对方的公钥和允许的 IP 段；
3. 3. 当通信开始时，WireGuard 自动完成密钥交换、隧道建立与数据加密；
4. 4. 所有流量都会被封装在 UDP 数据包中传输，快速又高效。

部署 WireGuard 有多简单？

我们用 github 上的著名开源项目 wg-easy 来进行演示，它的部署方式以 Docker 为例，任何支持 Docker 的平台都只需几步即可完成安装与配置。项目地址: 

https://github.com/wg-easy/wg-easy

# 创建一个支持 IPv4 + IPv6 的 bridge 网络，名字叫wg
docker network create \
  --driver bridge \
  --ipv6 \
  --subnet 10.42.42.0/24 \
  --subnet fdcc:ad94:bacf:61a3::/64 \
  wg

# 拉取镜像，使用上面的wg网络来创建容器
docker run -d \
  --net wg \
  -e INSECURE=true \
  --name wg-easy3 \
  --restart unless-stopped \
  -p 51820:51820/udp \
  -p 51821:51821/tcp \
  -v "$(pwd)/config:/etc/wireguard" \
  -v /lib/modules:/lib/modules:ro \
  --cap-add NET_ADMIN \
  --cap-add SYS_MODULE \
  --sysctl net.ipv4.ip_forward=1 \
  --sysctl net.ipv4.conf.all.src_valid_mark=1 \
  --sysctl net.ipv6.conf.all.disable_ipv6=0 \
  --sysctl net.ipv6.conf.all.forwarding=1 \
  --sysctl net.ipv6.conf.default.forwarding=1 \
  ghcr.io/wg-easy/wg-easy:15

容器正常运行之后，就可以在 Web 页面进行初始化了。

访问地址：http://your.ip:51821

写在最后

虽然 WireGuard 优势明显，但也有一些需要注意考量的地方：

• • 相对较新：相比已经发展二十多年的 OpenVPN，WireGuard 还比较年轻
• • 静态IP管理：需要手动分配和管理 IP 地址
• • 有限的混淆功能：在某些网络环境下可能更容易被检测

不过，随着技术的不断成熟和社区的持续发展，这些问题正在逐步得到解决。WireGuard 代表了 VPN 技术的发展方向：简洁、高效、安全。随着越来越多的服务提供商和企业采用 WireGuard，它很可能在未来几年成为 VPN 协议的主流选择。

无论你是需要保护个人隐私的普通用户，还是需要搭建企业网络的 IT 管理员，WireGuard 都值得你深入了解和尝试。

推荐阅读

• • 官方网站：https://www.wireguard.com
• • GitHub 项目：https://github.com/WireGuard
• • Linux 内核集成文档：man wg-quick

阅读原文：原文链接