2026 最新 WireGuard 部署与全平台配置教程：取代 OpenVPN 的现代轻量级 VPN

2026-04-20 4021 words 9 minutes

/images/wireguard-install-tutorial-banner.png

Contents

导读

在十年的系统运维与 DevOps 实践中，我尝试过各种复杂的网络隧道方案。相比于传统的 IPsec 和臃肿的 OpenVPN，WireGuard 以其不到 4000 行的精简内核代码、极致的性能和现代密码学标准，成为了我目前最推崇的自动化配置和基础设施即代码（IaC）网络组件。本文将带你以最符合安全规范的方式，完成 WireGuard 的部署与组网。

1. WireGuard 是什么？

WireGuard 是一款现代、开源、轻量级且高性能的第 3 层 VPN 协议和程序。它旨在取代 IPsec 和 OpenVPN，提供更快的连接速度、更精简的代码结构（约 4000 行）以及更强的安全性。WireGuard 使用 UDP 协议传输，最初为 Linux 开发，现已支持 Windows、macOS、Android 和 iOS 等主流平台。

核心优势与特点：

极速性能：比 OpenVPN 和 IPsec 拥有更高的吞吐量和更低的延迟。
极致安全：采用最先进的现代密码学技术。
简单易用：配置极其简单，类似于 SSH。
隐蔽性强：默认情况下处于“静默”状态，只有在匹配到正确密钥时才响应，隐藏网络接口，降低了受攻击面。
即时连接：即使在网络切换（如 Wi-Fi 切换到 4G）时也能保持连接不中断。

2. WireGuard 使用场景介绍

WireGuard 作为一款现代化 VPN 协议，其核心价值在于：通过高性能加密隧道，实现安全、稳定、可控的网络通信。在实际应用中，WireGuard 的使用场景主要集中在以下几类。

2.1 场景一：公共 WiFi 环境下的安全接入（最常见场景）

在酒店、机场、咖啡厅等公共网络环境中，用户接入的 WiFi 往往存在较高的安全风险，例如：

数据被嗅探（明文 HTTP）
中间人攻击（MITM）
DNS 劫持 / 钓鱼网站

此时使用 WireGuard，可以实现：

本地设备 → VPN 服务器之间建立加密隧道
所有流量在本地加密后再通过 WiFi 传输
公共网络无法解析真实通信内容

效果：

防止局域网内的数据监听与篡改
避免被恶意热点或攻击者窃取敏感信息
提高在不可信网络环境下的通信安全性

👉 适用于：出差办公、远程登录服务器、处理敏感业务数据等场景。

2.2 场景二：远程访问内网资源（企业 / 家庭内网穿透）

WireGuard 可以实现类似“虚拟局域网（Overlay Network）”的效果，使远程设备像在同一内网中一样通信，例如：

访问公司内网服务（如 Git、数据库、内部系统）
远程登录家庭设备（NAS、路由器、媒体服务器）
SSH / RDP 远程运维
多地服务器互联（内网通信）

实现效果：

分配虚拟 IP（如 10.x.x.x）
节点之间可直接通过内网地址互通
无需暴露真实公网端口（降低攻击面）

👉 相比传统端口转发或 DDNS：

更安全（无需暴露服务端口）
更稳定（不依赖复杂 NAT 规则）
更易管理（统一隧道控制）

2.3 场景三：跨境低延迟接入（游戏 / 业务优化）

在部分跨境网络环境中（例如中国大陆访问香港地区/日本地区服务），由于公网路由复杂、运营商互联质量不稳定，常出现：

延迟高（Latency 高）
抖动大（Jitter 不稳定）
丢包（Packet Loss）

此时可以通过 MKCloud 沪日专线 IPLC 或者 MKCloud 广港专线 IEPL 这些跨境专线，结合 WireGuard 建立隧道，实现网络路径优化。比如港服、日服游戏，代理访问 GitHub 等。

Warning

WireGuard 组网时，客户端与服务端绝对不要跨境，即一台在中国内地，一台在中国境外，因为 GFW 的阻断机制主要基于协议特征（DPI，深度包检测），一定会被 GFW 识别，并且极大概率会被阻断。唯一解，就是走跨境专线，因为专线不过 GFW，但流量过大仍有风险。WireGuard 专注于用最高效的加密算法保护数据不被窃听，但它不屑于隐藏自己是 VPN 的事实，属于 强加密、零混淆 的服务。

3. WireGuard 如何安装与配置(服务端篇)？

部署 WireGuard 的第一步，是拥有一台拥有公网 IP 的云服务器作为网络枢纽。

本次实验环境:

OS: Ubuntu 24.04 LTS (推荐使用现代内核，直接内置 WireGuard)
服务端节点: 演示使用的是国内腾讯云上海轻量云服务器（适合内网穿透与公网 WiFi 加密）。

💡 商业级 VPS 推荐 (高性价比)

如果你部署 WireGuard 的目的是为了 日常拉取 GitHub/Docker 等服务，或者打港服、日服游戏，强烈建议跨境专线作为服务端：

MKCloud 广东-香港 IEPL 专线深度测评：腾讯云八线 BGP 入口 | 端内不到 2ms
MKCloud 上海-香港 IPLC 专线上云互联优化(IXP) 深度测评
MKCloud 上海-日本 IPLC 专线上云互联优化(IXP) 深度测评
更多优质机器评测，请参考我的 👉 国外便宜 VPS 推荐：稳定、适合建站含测评

3.1 安装 WireGuard

WireGuard 已于 Linux 5.6 内核版本正式主线合并，被集成到内核态中，运行效率极高。对于内核版本>=5.6的系统，无需安装额外模块，只需通过 sudo apt/dnf install WireGuard-tools 安装用户空间工具即可使用。对于 Ubuntu/Debian 系列发行版，命令如下：

        
sudo apt update
sudo apt install WireGuard WireGuard-tools

Tips: 如何查看内核版本？- uname -r

3.2 生成 WireGuard 服务器端密钥对

生成 服务端 私钥和公钥：使用 wg 命令生成密钥对：

        
wg genkey | tee /etc/wireguard/server_private_key | wg pubkey > /etc/wireguard/server_public_key

server_private_key: 服务端私钥
server_public_key: 服务端公钥

生成 客户端 私钥和公钥：使用 wg 命令生成密钥对：

        
wg genkey | tee /etc/wireguard/client_private_key | wg pubkey > /etc/wireguard/client_public_key

client_private_key: 客户端私钥
client_public_key: 客户端公钥

Tips: 服务端指得我们当前腾讯云上海轻量云服务器，客户端指得是你即将使用的设备与腾讯云上海轻量云服务器组成的内网设备，比如 Windows/Mac/iPhone/iPad/Android 等。

3.3 配置 WireGuard

创建 WireGuard 配置文件 /etc/wireguard/wg0.conf：

sudo nano /etc/wireguard/wg0.conf

配置文件内容：根据你的网络需求，填写以下内容（这将是服务器端的配置）：

        
        
        
    
[Interface]
Address = 10.0.0.1/24  # 服务器的虚拟 IP 地址
ListenPort = 51820      # WireGuard 默认端口
PrivateKey = <server_private_key>  # 服务器的私钥 /etc/wireguard/server_private_key

# 客户端配置 1
[Peer]
PublicKey = <client_public_key>  # 客户端公钥 /etc/wireguard/client_public_key
AllowedIPs = 10.0.0.2/32        # 允许连接的客户端的虚拟 IP 地址

# 客户端配置 2
[Peer]
PublicKey = <client_public2_key>  # 客户端公钥 /etc/wireguard/client2_public_key
AllowedIPs = 10.0.0.3/32        # 允许连接的客户端的虚拟 IP 地址

Address：配置服务器的虚拟 IP 地址，通常设置为一个私有子网（如 10.0.0.1/24）。
ListenPort：WireGuard 默认监听端口，51820。
PrivateKey：填入你生成的服务器私钥。
[Peer] 部分用于配置客户端。
AllowedIPs 定义客户端的 VPN 内部 IP 地址，每个客户端必须使用唯一的 IP。
所有客户端共享同一个服务器的 PrivateKey，但每个客户端都有自己独立的 PublicKey。

Tips: 这里你可以发现：服务端要想发现客户端，必须得拿到客户端的公钥，同理，客户端要想跟服务端通信，也必须拿到服务端的公钥。可详情见客户端配置

保存并退出编辑器：按 CTRL+X 保存文件，按 Y 确认保存。

设置安全权限

sudo chmod 600 /etc/wireguard/*

3.4 启用 IP 转发和配置 NAT

在 /etc/sysctl.conf 找到并取消注释以下行：

        
net.ipv4.ip_forward = 1

# 如果你有 IPv6 网络，最好把这个加上
net.ipv6.conf.all.forwarding = 1

# 开启 BBR 加速
net.core.default_qdisc = fq
net.ipv4.tcp_congestion_control = bbr

如果没有这个文件，自己手动创建 sudo touch /etc/sysctl.conf，并将上述内容填入其中

配置生效

sudo sysctl -p

4. 配置防火墙

博主一直喜欢用 firewall-cmd 进行防火墙管理，iptables 规则过于复杂，记不住，还有 四表五链 的技术概念，而 ufw 是 Ubuntu 系特有的管理生态，不通用。

        
# 启用伪装（masquerading），并放行 51820 UDP 端口
sudo firewall-cmd --permanent --add-port=51820/udp
sudo firewall-cmd --permanent --add-masquerade
sudo firewall-cmd --reload

Tips:

如果你的系统没有 firewall-cmd 命令、那么更详细的 firewalld 用法，详见我另外一篇文章 Firewalld 端口转发教程：包含 IPv4/IPv6 双栈端口转发
在腾讯云安全组列表里面，也要放行 51820/UDP，这里不再详细赘述

5. 启动 WireGuard 服务

        
# 启动服务，并加入开机自启
sudo systemctl enable wg-quick@wg0 --now

# 查看状态
sudo systemctl status wg-quick@wg0

# 查看隧道状态
wg show

# 查看日志
sudo journalctl -u wg-quick@wg0 -f

6. WireGuard 客户端配置

6.1 WireGuard 客户端下载

👉 官网下载链接

平台	官方下载链接
Windows	WireGuard Windows 官方包
Mac	WireGuard Mac App Store
Android	Google Play & 官方 APK
iPhone	WireGuard iPhone App Store

6.2 `/etc/wireguard/client.conf`:

        
        
        
    
[Interface]
# 客户端的私钥 /etc/wireguard/client_private_key
PrivateKey =  <client_private_key>

# 客户端在隧道内的虚拟 IP 地址 (要与服务端分配的一致)
Address = 10.0.0.2/32

# (可选) DNS 服务器，建议使用公共 DNS 或服务端的虚拟 IP
DNS = 223.5.5.5

# (可选) 建议设置 MTU，防止某些网络环境下丢包，常用 1420 或 1280
MTU = 1420

[Peer]
# 服务端的公钥 /etc/wireguard/server_public_key
PublicKey = <server_public_key>

# 服务端的公网 IP 和端口，这里就是 腾讯云上海轻量云服务器 公网 IP:51820
Endpoint = <腾讯云上海轻量云公网 IP>:51820

# 允许通过隧道的流量。0.0.0.0/0 表示全局代理（所有流量走 VPN）
AllowedIPs = 0.0.0.0/0, ::/0

# (可选) 保持活动连接，如果客户端在内网/防火墙后，建议设置为 25
PersistentKeepalive = 25

值得注意的是：

AllowedIPs = 0.0.0.0/0, ::/0，这种配置意味着，客户端所有的流量均发往腾讯云上海轻量云服务器，这通常是常见的 VPN 配置;
AllowedIPs = 10.0.0.0/24，这样配，表示只允许组网间的设备进行通信，也就是说访问腾讯云上海轻量云服务器，是通过 WireGuard 进行访问，而日常访问其他应用APP、网站，均不透过 Wireguard，说白了，这种配置就是内网穿透、或者是设备间组网，不算 VPN;

6.3 将 `/etc/wireguard/client.conf` 导入至 WireGuard 客户端

这里你可以直接导入，也可以选择生成二维码，这样 iPhone/Android 扫码更方便

        
# 安装生成二维码命令
sudo apt update -y && apt install qrencode -y

# 根据 /etc/wireguard/client.conf 生成二维码
qrencode -t ansiutf8  < /etc/wireguard/client.conf

如果你使用的是 iPhone 的话，打开 WireGuard，点击右下角 “+"，选择 “Scan from QR code”，进行扫一扫，然后打开右上角开关，然后在浏览器手动输入 https://ip138.com，你会发现，你的网络 IP 已经变成了 腾讯云上海轻量云公网 IP 啦。

7. 如何动态添加客户端？

现在我们已经拥有了 iPhone 客户端了，那么我电脑端也要作为一台客户端，进行 VPN 加密使用，那该怎么办呢？

7.1 方法一：使用动态命令新增客户端

如果你已经运行了 wg0，可以不用重启 WireGuard，而是使用 wg 命令动态添加新客户端：

sudo wg set wg0 peer <new_client_public_key> allowed-ips 10.0.0.4/32

new_client_public_key 可以在腾讯云上海轻量云服务器上使用命令 wg genkey | tee /etc/wireguard/new_client_private_key | wg pubkey > /etc/wireguard/new_client_public_key 生成，也可用客户端自己随机生成，都非常方便。
值得注意的是：每个客户端使用唯一的 IP 地址连接到服务器，即 10.0.0.4/32

7.2 方法二：手动编辑腾讯云上海轻量云服务器 `/etc/wireguard/wg0.conf`

配置文件详见 3.3 demo，不再详细赘述，手动添加完成后，记得重启服务：sudo systemctl restart wg-quick@wg0

8. 总结与交流

WireGuard 的极简哲学和高效性能，使其成为现代网络架构中不可或缺的安全组件。无论是通过 MKCloud 跨境专线优化游戏延迟，还是在公共网络中保护数据隐私，这套标准化的部署方案都能满足你的需求。

如果你在配置过程中遇到诸如 MTU 导致丢包、或者双栈网络 (IPv4/IPv6) 路由无法转发等疑难杂症，欢迎加入我的 Telegram 频道与群组交流：👉 加入 VPSDeck 官方 Telegram 群组(1200+ 订阅数) —— 第一时间获取前沿网络技术教程、自动化脚本及独家高性价比 VPS 补货通知！