随着远程办公、分布式协作、零信任网络架构的流行，构建一个高性能、安全、易维护的 VPN 服务成为企业和个人的重要诉求。相比 OpenVPN、IPSec 等传统方案，WireGuard 具备更高的性能、更简单的配置以及更强的现代密码学支持。

本篇将手把手带你在 Linux 环境下，从 0 到 1 构建一个高可用、高性能、可扩展的 WireGuard VPN 服务。

二、WireGuard 简介

特性

描述

性能高

使用内核模块实现，吞吐量大、延迟低

配置简单

仅需几行配置

安全性强

使用最先进的加密算法（ChaCha20, Curve25519）

跨平台

支持 Linux、Windows、macOS、iOS、Android

三、环境准备

• 操作系统：Ubuntu 22.04 / CentOS 9 / Debian 12

• 工具依赖：wg, ip, ufw / firewalld

• 公网 IP/域名资源

• 客户端节点若干

四、安装 WireGuard

Ubuntu 示例：

sudo apt update

sudo apt install wireguard

CentOS 示例：

sudo dnf install epel-release

sudo dnf install kmod-wireguard wireguard-tools

五、生成密钥对

# 服务器

wg genkey | tee server_private.key | wg pubkey > server_public.key

# 客户端

wg genkey | tee client_private.key | wg pubkey > client_public.key

六、配置 WireGuard

服务端 /etc/wireguard/wg0.conf

[Interface]

PrivateKey = <server_private_key>

Address = 10.0.0.1/24

ListenPort = 51820

[Peer]

PublicKey = <client_public_key>

AllowedIPs = 10.0.0.2/32

客户端配置：

[Interface]

PrivateKey = <client_private_key>

Address = 10.0.0.2/24

[Peer]

PublicKey = <server_public_key>

Endpoint = your.server.ip:51820

AllowedIPs = 0.0.0.0/0

PersistentKeepalive = 25

七、启用服务并添加开机启动

sudo systemctl start wg-quick@wg0

sudo systemctl enable wg-quick@wg0

八、开启 IP 转发和防火墙转发规则

echo "net.ipv4.ip_forward=1" | sudo tee -a /etc/sysctl.conf

sudo sysctl -p

# iptables 转发示例

sudo iptables -A FORWARD -i wg0 -j ACCEPT

sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

九、安全优化与可视化管理

• 使用 ufw 或 firewalld 限制端口暴露

• 使用 wg-dashboard 实现 Web 可视化管理

• 配置 DDNS 实现动态地址解析

• 配合 Prometheus + Grafana 实现连接状态监控

十、总结与推荐场景

WireGuard 是当前最优雅的 VPN 实现之一。本方案适合：

• 远程办公接入公司内网

• 安全穿越防火墙（科学上网）

• 多数据中心之间的加密隧道

• 私有云与边缘节点的连接