Linux VPS搭建WireGuard VPN：快速配置与多平台连接指南

在咖啡馆用公共Wi-Fi处理邮件、出差时访问公司内网，这些场景下网络安全隐患不容小觑。传统VPN协议配置复杂且延迟高，而WireGuard（新一代轻量级VPN协议）结合Linux VPS服务器，能快速搭建高效稳定的隐私网络，既保障数据安全，又降低操作门槛。

搭建前的必要准备

首先需要一台Linux VPS服务器，系统建议选择Ubuntu 20.04或CentOS 7以上版本，这类主流发行版对WireGuard支持更完善。确认服务器防火墙开放UDP 51820端口（WireGuard默认通信端口），若使用云服务商提供的安全组，需手动添加该端口入站规则。本地设备需安装WireGuard客户端，支持Windows、Mac、iOS、Android等全平台，可在官网直接下载对应版本。

WireGuard核心组件安装

以Ubuntu系统为例，通过命令行完成安装：

sudo apt update && sudo apt install -y wireguard

安装完成后输入`wg`命令，若显示WireGuard版本信息则安装成功。CentOS用户可使用`yum install wireguard-dkms`命令（需先启用EPEL源）。

服务器核心配置步骤

1. 生成密钥对：在服务器终端执行

umask 077 && wg genkey | tee privatekey | wg pubkey > publickey

当前目录会生成`privatekey`（服务器私钥）和`publickey`（服务器公钥）两个文件。

2. 创建配置文件：编辑`/etc/wireguard/wg0.conf`

[Interface]
Address = 10.0.0.1/24       # VPN内网IP段
ListenPort = 51820          # 监听端口
PrivateKey = 服务器私钥内容  # 替换为privatekey文件中的字符串
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE  # 启用NAT转发
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE  # 关闭时清理规则

注意：若服务器有多个网口（如eth1），需将`eth0`替换为实际公网出口网卡名称。

客户端配置与连接

各平台客户端操作逻辑一致，以Windows为例：
1. 生成客户端密钥对：在本地终端（或通过WireGuard客户端内置工具）执行密钥生成命令（同服务器步骤），得到客户端私钥和公钥。

2. 创建客户端配置文件：

[Interface]
PrivateKey = 客户端私钥内容  # 替换为本地生成的私钥
Address = 10.0.0.2/32       # 分配给客户端的内网IP

[Peer]
PublicKey = 服务器公钥内容   # 替换为服务器publickey文件内容
Endpoint = 服务器公网IP:51820  # 填写VPS的公网IP地址
AllowedIPs = 0.0.0.0/0       # 全部流量通过VPN转发（按需调整）

3. 导入连接：打开WireGuard客户端，点击“添加隧道”选择配置文件，点击“激活”即可完成连接。Mac/iOS/Android用户操作类似，通过客户端导入配置文件后一键连接。

服务管理与多端协同

服务器端启动WireGuard服务：

sudo wg-quick up wg0  # 立即启动
sudo systemctl enable wg-quick@wg0  # 设置开机自启

若需停止服务，使用`sudo wg-quick down wg0`命令。多设备连接时，只需为每个客户端分配不同的内网IP（如10.0.0.3、10.0.0.4），并将客户端公钥添加到服务器配置的`[Peer]`部分即可扩展连接数。

通过Linux VPS服务器搭建WireGuard VPN，既能满足家庭网络隐私保护需求，也能为远程办公提供安全通道。其轻量级设计让服务器资源占用更低，配合大带宽VPS能获得接近本地网络的流畅体验，是兼顾性能与安全的理想选择。