- 从密钥到路由,逐项搞懂 WireGuard 配置含义与实战考量
- 整体结构速览:Interface 与 Peer
- 密钥与鉴权相关
- PrivateKey(私钥)
- PublicKey(公钥)
- PresharedKey(预共享密钥,可选)
- 网络接口与地址配置
- Address
- ListenPort
- MTU(最大传输单元)
- 对端(Peer)关键字段与路由行为
- Endpoint
- AllowedIPs(核心的路由/访问控制字段)
- PersistentKeepalive
- 系统行为与高级选项
- Table 与路由表选择(Linux 特有)
- PostUp / PostDown
- SaveConfig(部分实现)
- 常见问题与排查要点
- 握手不成功
- 路由不生效或走错路径
- 穿透与 NAT 问题
- 应用场景与设计建议
从密钥到路由,逐项搞懂 WireGuard 配置含义与实战考量
WireGuard 因为简单、高效和现代加密设计,快速成为个人与企业搭建 VPN 的首选。但“简单”的配置文件中包含许多看似短小的字段,每一项背后都有明确的含义与网络安全与路由行为的影响。本文按照配置项逐项解释,并结合常见场景指出配置误区与优化建议,帮助你在搭建与排查时少走弯路。
整体结构速览:Interface 与 Peer
一个典型的 WireGuard 配置由两部分组成:Interface(本端配置)和若干Peer(对端/远端)。Interface 定义本机的身份、监听端口以及本机相关网络参数;Peer 则描述你希望连接的对端信息(密钥、端点、路由规则等)。理解两部分的职能,有助于把握各字段的作用域与优先级。
密钥与鉴权相关
PrivateKey(私钥)
本端身份的核心,用于对出站流量进行签名并从握手数据中派生会话密钥。私钥必须严格保密——泄露等同于完全丢失对端访问控制能力。注意:私钥与 PublicKey 是一一对应的单向派生关系,不能从公钥反推私钥。
PublicKey(公钥)
对端用来验证你身份的标识,通常分发给连接方。WireGuard 的握手以公钥标识对端,不依赖用户名或密码。
PresharedKey(预共享密钥,可选)
这是一层“对称密钥”的额外封装,用来在默认的公私钥加密之外再增加一层抵抗量子或密钥遭泄露的保护。不是必须,但在有更高安全要求的场景(例如公开服务器或多租户环境)下建议启用,增加安全深度。
网络接口与地址配置
Address
为 WireGuard 虚拟网卡分配的 IP 地址(可以为 IPv4、IPv6 或两者)。这是隧道内流量的源/宿地址,用于点对点路由决策。常见用法:为客户端分配私有网段地址(如 10.0.0.2/32),为服务器分配网段内网关地址(如 10.0.0.1/24)。注意子网掩码的位长决定了隧道内可路由的地址范围。
ListenPort
本端监听的 UDP 端口,通常在服务器端设置以接受来自客户端的握手请求。客户端如果不需要接收入站连接,也可以不显式设置监听端口。若部署在受限网络或需要穿越 NAT,请考虑选择常用端口或结合端口映射策略。
MTU(最大传输单元)
隧道内封装会增加报文头开销。如果 MTU 设置过大,会导致分片或丢包;设置过小会降低吞吐率。通常可以留空让系统自动选择,遇到路径 MTU 问题时再调整(例如在多层隧道或跨越 MPLS/隧道的场景)。
对端(Peer)关键字段与路由行为
Endpoint
对端的 IP 与端口,指明数据包应发送到哪里。对于客户端到服务器的持久连接,通常设置服务器的公网 IP:端口;对于服务器推送给客户端的反向连接需求,可以留空或通过握手自动学习。
AllowedIPs(核心的路由/访问控制字段)
这是 WireGuard 中最容易被误解但又最重要的一项:它同时扮演“路由(哪些目的地址通过该 Peer 发送)”和“访问控制(允许来自该 Peer 的哪些源地址)”两个角色。几种常见用法:
- 单客户端场景,将 AllowedIPs 设置为客户端隧道地址(/32)用于身份绑定。
- 全局代理场景,在客户端将 AllowedIPs 设为 0.0.0.0/0 与 ::/0,表示将所有流量发往该 Peer(即所谓的“全局绕过”或“全局隧道”)。
- 分流场景,列出需要走 VPN 的特定网段,例如公司内网段或特定国家的 IP 段。
错误配置 AllowedIPs 常见后果包括:流量没有被正确路由、返回包无法到达原主机或隧道内发生 IP 冲突。
PersistentKeepalive
以秒为单位的心跳间隔,用于在 NAT/防火墙下保持连接映射。典型值为 15 或 25 秒。对处于受限网络(例如手机网络或家庭 NAT 后)且不主动监听入站连接的客户端特别重要。服务器端一般不需要设置。
系统行为与高级选项
Table 与路由表选择(Linux 特有)
WireGuard 在 Linux 下可以指定将生成的路由添加到哪个路由表。默认将路由更新到主表。如果希望与策略路由配合(例如基于源地址或 fwmark 的策略),可以把 WireGuard 放到特定路由表,配合 ip rule 实现更复杂的路由策略。
PostUp / PostDown
接口启用/禁用后执行的系统命令片段,常用于添加 NAT 规则、调整防火墙、设置路由或开启 IP 转发。利用这一机制可以实现服务器端的流量转发与透明代理等功能。但写入的命令应考虑幂等性与错误处理,避免重启造成规则重复或丢失。
SaveConfig(部分实现)
是否在运行时保存 WireGuard 的动态更改回配置文件。通常在某些管理工具中使用,生产环境不建议开启自动保存以免覆盖手工维护的配置。
常见问题与排查要点
握手不成功
逐项检查:是否填错公私钥、Endpoint 是否可达、ListenPort 是否被防火墙阻挡、PersistentKeepalive 对端是否设置合理。利用系统日志或 WireGuard 本身的诊断工具查看握手计数与错误信息。
路由不生效或走错路径
检查 AllowedIPs 是否覆盖了目标地址;检查操作系统路由表(主表或特定表)是否被 WireGuard 更新;如果使用策略路由,确认 ip rule 与路由表配置没有冲突。
穿透与 NAT 问题
若客户端位于对称 NAT 或受限移动网络,可能需要服务器端开放端口并在中间设备做端口映射,或者借助中继服务器。PersistentKeepalive 对维持 NAT 映射非常有用。
应用场景与设计建议
几点实践建议:
- 小规模个人使用:服务器端设置 ListenPort 与 AllowedIPs 为每个客户端的隧道地址;客户端使用 0.0.0.0/0 当做全局代理时注意 DNS 泄漏问题,配合设置 DNS。
- 企业内部互连:使用不同子网段与明确的 AllowedIPs 来划分路由,结合预共享密钥增强安全,并使用路由表/策略路由实现分流与访问控制。
- 运维与可观测:在服务器侧记录握手/流量日志,通过定期核验 AllowedIPs 与分配策略避免 IP 冲突。
掌握每一个字段的语义与相互影响,是可靠构建 WireGuard 网络的关键。理解了密钥体系、AllowedIPs 的双重职责以及如何与系统路由、防火墙配合,你就能在搭建、扩展或排查时得心应手。
暂无评论内容