搭建 WireGuard VPN

WireGuardason A. Donenfeld 开发的一款点对点 VPN 协议,非常先进并且开源。在老司机的强烈推荐下,忍不住折腾了一番。本文旨在整理折腾记录并存档。

注:笔者的用的服务器是 GCE 上的 VM 实例,采用 Debian 9 发行版。其他发行版的安装过程可以参考 WireGuard Installstion

安装 WireGuard

首先需要安装当前 Linux 内核对应的 linux_headers:

由于 WireGuard 比较新,尚在 Debian 不稳定版的源里,需要手动导入:

WireGuard 服务端配置

开启 IPV4 流量转发:

创建 WireGuard 配置文件夹,并生成服务端和客户端密钥对:

我们还需要使用 ifconfig 命令获取服务器的网卡名称并记录下来,下面以 eth0 为例。

生成服务器配置文件 /etc/wireguard/wg0.conf

这样服务端就算配置完成,可以启动 WireGuard了,使用方法如下:

设置 wireguard 开机自启:

WireGuard 客户端配置

客户端也同样需要安装 WireGuard,例如笔者所使用的 ArchLinux 上安装步骤如下:

在配置服务端时,我们在服务器上分别创建了服务端和客户端的密钥对,这样也便于我们生成客户端的配置文件:

生成后的客户端文件在服务器上,我们可以将其拷贝到 PC 客户端,或者通过生成二维码的方式导到移动客户端:

这样使用手机客户端直接扫描生成二维码就可以快速完成配置。

多个 WireGuard 客户端

由于同一个客户端配置只能同时用于一台设备连接,所以如果需要同时使用多个客户端的话,可以建立多个客户端配置。

停止服务端的 WireGuard:

生成新的客户端密钥对:

在服务端配置文件中加入新的客户端公钥,并重新定义一段 AllowedIPs:

新建一个客户端文件,使用新客户端密钥的私钥:

注意这里的 Address 与上面服务端新加的 AllowedIPs 保持一致,Endpoint 和之前的一样,为服务端的 IP 和 ListenPort。

搞好服务端和新增客户端的配置后,再重新启动服务端的 WireGuard:

导出客户端配置文件方式依然可以采用上面介绍的方法导入到客户端。如果还需要添加新的 Peer,再次使用同样的方法操作即可。

经过实测,WireGuard 比笔者在另一台相同配置的 VM 实例上搭建的 V2Ray 结合 BBR 加速还要快,体验非常棒。

参考教程