WireGuard：下一代 VPN 协议的简单与强大

简介

WireGuard 是一个极其简单却又快速且现代的 VPN 隧道工具。它利用最先进的密码学技术，旨在比 IPsec 更轻量、更高效、更实用，同时避免了 IPsec 带来的巨大复杂性。相较于 OpenVPN，WireGuard 的性能表现也更加出色。

WireGuard 被设计为一款通用型 VPN，既能运行在嵌入式设备上，也能应用于超级计算机，适应多种不同的使用场景。它最初发布于 Linux 内核，如今已实现跨平台支持（Windows、macOS、BSD、iOS、Android），广泛部署于各类环境中。虽然仍在积极开发中，但它已经被业界公认为最安全、最易用、最简单的 VPN 解决方案。

核心设计理念

像 SSH 一样简单

WireGuard 的目标是让 VPN 的配置和部署像 SSH 一样简单。建立 VPN 连接只需要交换非常简单的公钥——就像交换 SSH 密钥一样，其余所有细节都由 WireGuard 透明处理。它甚至能够在 IP 地址之间漫游，就像 Mosh 一样。

无需管理连接状态、无需担心底层细节、无需管理守护进程。WireGuard 提供了一个极其基本但功能强大的接口。

最先进的密码学

WireGuard 使用业界最先进的密码学技术，包括 Noise 协议框架、Curve25519、ChaCha20、Poly1305 等经过验证的安全构造。它在密码学选择上保持保守和理性，并已通过密码学专家的审查。

极简代码与可审计性

WireGuard 的设计以易于实现和简洁为核心。它可以用极少的代码实现，并且易于审计安全漏洞。相比之下，像 LibreSwan/IPsec 或 OpenVPN/OpenSSL 这样的庞然大物，其庞大的代码库即使对于大型安全专家团队来说也是一个难以承受的审计任务，而 WireGuard 完全可以由个人进行全面审查。

高性能

结合极高速的密码学原语以及 WireGuard 运行于 Linux 内核这一事实，安全网络通信可以达到非常高的速度。它既适用于智能手机等小型嵌入式设备，也适用于满载的核心骨干路由器。

工作原理

WireGuard 通过 UDP 安全地封装 IP 数据包。你添加一个 WireGuard 网络接口，用你的私钥和对端的公钥进行配置，然后就可以通过该接口发送数据包了。

所有关于密钥分发和推送配置的问题都不在 WireGuard 的范畴之内——这些应由上层协议处理，以免重蹈 IKE 或 OpenVPN 臃肿的覆辙。相反，它更像 SSH 和 Mosh 的模式：双方持有对方的公钥，然后就可以通过接口开始交换数据包。

数据包发送流程

当 WireGuard 接口发送数据包时，执行以下步骤：

匹配对端：该数据包的目标是某个 IP 地址，查找对应的对端（如果没有任何配置的对端匹配，则丢弃数据包）
加密：使用对端的公钥加密整个 IP 数据包
寻址：查找对端的远程端点地址
发送：通过 UDP 将加密后的字节发送到对端的端点

数据包接收流程

当 WireGuard 接口接收数据包时：

解密：收到 UDP 数据包后尝试解密
验证：解密和认证成功后，记录该对端的最新互联网端点
源 IP 检查：解密后的明文数据包源 IP 是否在对端允许的 IP 列表中
放行或丢弃：如果允许则接受该数据包，否则丢弃

加密密钥路由（Cryptokey Routing）

WireGuard 的核心概念是加密密钥路由（Cryptokey Routing），它将公钥与隧道内允许的 IP 地址列表关联起来。每个网络接口有一个私钥和一个对端列表，每个对端有一个公钥。公钥简短而简单，用于对端之间的相互认证。

配置示例

服务器配置：

code

[Interface]
PrivateKey = yAnz5TF+lXXJte14tji3zlMNq+hd2rYUIgJBgB3fBmk=

[Peer]
PublicKey = xTIBA5rboUvnH4htodjb6e697QjLERt1NAB4mZqp8Dg=
AllowedIPs = 10.192.122.3/32, 10.192.124.1/24

[Peer]
PublicKey = TrMvSoP4jYQlY6RIzBgbssQqY3vxI2Pi+y71lOWWXX0=
AllowedIPs = 10.192.122.4/32, 192.168.0.0/16

客户端配置：

code

[Interface]
PrivateKey = gI6EdUSYvn8ugXOt8QQD6Yc+JyiZxIhp3GInSWRfWGE=

[Peer]
PublicKey = HIgo9xNzJMWLKASShiTqIybxZ0U3wGLiUeJ1PKf8ykw=
AllowedIPs = 0.0.0.0/0

在服务器配置中，每个对端（客户端）能够发送源 IP 匹配其 AllowedIPs 列表的数据包。在客户端配置中，0.0.0.0/0 是一个通配符，表示允许任何源 IP。

总结来说：发送数据包时，AllowedIPs 列表充当路由表；接收数据包时，它充当访问控制列表（ACL）。

IP 漫游

客户端配置中包含其对端（服务器）的初始端点，以便在收到加密数据之前知道将数据发送到哪里。而服务器配置中没有对端（客户端）的初始端点，因为服务器通过检查正确认证数据的来源来发现对端的端点。

如果服务器自身更改了端点并向客户端发送数据，客户端会发现新的服务器端点并同样更新配置。客户端和服务器都向最近成功解密数据的 IP 端点发送加密数据，从而实现双端的完全 IP 漫游。

网络命名空间支持

WireGuard 使用创建接口时的网络命名空间来发送和接收加密数据包。这意味着你可以将 WireGuard 接口创建在可以访问互联网的主网络命名空间中，然后将其移入 Docker 容器所属的网络命名空间，作为该容器的唯一网络接口。这确保了该容器访问网络的唯一方式是通过安全的加密 WireGuard 隧道。

为什么选择 WireGuard

极为简单：代码量极少，配置直观，部署轻松
现代密码学：使用 Noise 协议、Curve25519、ChaCha20/Poly1305 等前沿密码技术
高性能：内核级实现，适合从嵌入式设备到骨干路由器的各种场景
内置漫游：双端 IP 漫游，连接更稳定
跨平台：Windows、macOS、Linux、BSD、iOS、Android 全覆盖
可审计：代码库精简，单个安全专家即可完成全面审查
隐私与安全：内置完美的前向安全性（Perfect Forward Secrecy）

实际应用场景

WireGuard 可广泛应用于多种场景：

远程办公：为员工提供安全、高效的远程接入
站点到站点 VPN：连接不同地理位置的分支机构
容器网络：为 Docker 容器提供安全的加密网络通道
移动设备：在智能手机上实现高性能 VPN
嵌入式系统：在物联网设备上运行安全隧道
云原生：作为 Kubernetes 等云原生平台的网络组件

总结

WireGuard 代表了 VPN 技术的未来方向——简洁、安全、高性能。它抛弃了传统 VPN 协议（如 IPsec 和 OpenVPN）的陈年积弊，用现代化的密码学设计和极简的工程哲学重新定义了 VPN 应有的样子。无论你是系统管理员、DevOps 工程师还是普通用户，WireGuard 都值得一试。

WireGuard 由 Jason A. Donenfeld 创立并维护。内核组件以 GPLv2 许可证发布，其他项目根据具体上下文采用 MIT、BSD、Apache 2.0 或 GPL 许可证。WireGuard 和 WireGuard 标志是注册商标。

本文基于 WireGuard 官方文档编写，内容遵循项目知识共享许可。