wireguard配置笔记

debian12安装

1. apt update && apt install -y wireguard

复制代码

设置权限获取密钥

1. 
   
2. cd /etc/wireguard
   
3. umask 077
   
4. wg genkey > privatekey
   
5. wg pubkey < privatekey > publickey
   
6. # "私钥："
   
7. cat privatekey
   
8. 
   
9. # "公钥："
   
10. cat publickey
    
11. 
    
12. #开启内核转发
    
13. echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
    

复制代码

//---------


重启配置生效
# 先手动重启 wg0 接口

1. 
   
2. sudo wg-quick down wg0
   
3. sudo wg-quick up wg0
   
4. 
   

复制代码

# 再重启服务（或重新启动接口）

1. 
   
2. systemctl restart wg-quick@wg0
   

复制代码

# 验证服务状态

1. 
   
2. systemctl status wg-quick@wg0
   

复制代码

# 设置开机自启（推荐，避免服务器重启后 VPN 失效）

1. 
   
2. systemctl enable wg-quick@wg0
   

复制代码

其他服务

1. 
   
2. # 启动服务
   
3. systemctl start wg-quick@wg0
   
4. 
   
5. # 停止服务
   
6. systemctl stop wg-quick@wg0
   
7. 
   
8. # 重启服务（加载最新配置）
   
9. systemctl restart wg-quick@wg0
   
10. 
    
11. # 设置开机自启（推荐，避免服务器重启后 VPN 失效）
    
12. systemctl enable wg-quick@wg0
    
13. 
    
14. 
    
15. # 查看服务状态（验证是否启动成功）
    
16. systemctl status wg-quick@wg0
    
17. 
    
18. 
    
19. #停止当前 wg0 接口：
    
20. wg-quick down wg0
    
21. 
    
22. #重启 wg0 接口：
    
23. wg-quick up wg0
    
24. 
    
25. 
    
26. 验证配置是否生效：
    
27. wg show wg0 | grep "allowed ips"
    
28. 
    
29. 正常输出应显示类似：allowed ips: 10.10.0.2/32。
    

复制代码

配置说明

/etc/wireguard/wg0.conf

1. 
   
2. 
   
3. [Interface]
   
4. # 本机
   
5. PrivateKey = eA11r9aYIJDpgaTQFTQQYawwYbkK2C71tfnuLEE=
   
6. Address = 10.10.0.2/24
   
7. ListenPort = 51820
   
8. 
   
9. [Peer]
   
10. PublicKey = 5AeffuQafgsjvBLAduK/wsAnL1Q2qIG/mAk31M=
    
11. # Endpoint = 0.0.0.0:51820 # 手机没有固定IP → 这一行直接删掉！
    
12. AllowedIPs = 10.10.0.1/32
    
13. PersistentKeepalive = 25
    

复制代码

二、全网段互通的核心配置
即使地址输对了，若没配置防火墙和 IP 转发，依然会丢包，按以下步骤操作：
1. 开启 Linux 内核 IP 转发（关键！）
WireGuard 多设备互通需要开启内核转发，否则流量无法转发到对端：

1. 
   
2. # 1. 开启内核 IP 转发
   
3. echo 1 > /proc/sys/net/ipv4/ip_forward
   
4. echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
   
5. sysctl -p
   
6. 
   
7. echo 1 > /proc/sys/net/ipv4/ip_forward：临时开启 IP 转发成功；
   
8. echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf：永久开启 IP 转发的配置已写入；
   
9. sysctl -p 输出中 net.ipv4.ip_forward = 1：验证永久配置生效，这是 WireGuard 转发流量的核心前提。
   
10. 
    
11. 
    
12. 
    
13. # 2. 配置 NAT 规则（将 wg0 流量转发到公网网卡，如 eth0）
    
14. iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    
15. iptables -A FORWARD -i wg0 -j ACCEPT
    
16. iptables -A FORWARD -o wg0 -j ACCEPT
    
17. 
    
18. 
    
19. 
    
20. 
    
21. 注意：将 eth0 替换为你的服务器公网网卡名称（可通过 ip addr 查看）。
    
22. # 正确查看网卡的命令（找到公网网卡，通常是 eth0/ens33/eth1 等）
    
23. ip addr
    
24. 
    
25. 2. 配置 NAT 转发规则（让手机流量能出公网）
    
26. 将下面的 eth0 替换为你实际的公网网卡名称：
    
27. # 添加NAT伪装规则（核心！）
    
28. iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    
29. 
    
30. # 允许wg0接口的转发流量
    
31. iptables -A FORWARD -i wg0 -j ACCEPT
    
32. iptables -A FORWARD -o wg0 -j ACCEPT
    
33. 
    
34. # 保存iptables规则（避免重启后失效）
    
35. # OpenCloudOS/CentOS 用这个：
    
36. yum install -y iptables-services
    
37. service iptables save
    
38. # Debian/Ubuntu 用这个（如果是Debian系）：
    
39. # apt install -y iptables-persistent
    
40. # netfilter-persistent save
    
41. 
    
42. 3. 验证 WireGuard 接口状态
    
43. # 查看wg0是否正常运行
    
44. wg show wg0
    
45. 
    
46. # 查看wg0接口是否UP
    
47. ip addr show wg0
    
48. 
    
49. ✅ 正常输出：
    
50. wg show wg0 能看到 K20 的公钥和 allowed ips: 0.0.0.0/0, ::/0；
    
51. ip addr show wg0 能看到 10.10.0.3/24 的 IP，且状态为 UP。
    
52. 
    
53. 
    

复制代码