WireGuard 简单配置指南

服务端：Debian 13.1（6.12.48+deb13-amd64）

客户端：Windows 11 家庭版 24H2（26100.6899）

服务端配置

安装 WireGuard

sudo apt update
sudo apt install wireguard

启用 IP 转发

echo "net.ipv4.ip_forward = 1" > /etc/sysctl.d/99-forward.conf
sysctl --system

生成服务器密钥对

cd /etc/wireguard
umask 077
wg genkey | tee server_privatekey | wg pubkey > server_publickey
wg genkey | tee client_privatekey | wg pubkey > client_publickey

生成服务端配置文件，ens18 需要根据实际进行修改。

echo "[Interface]
Address = 10.8.8.1/24
PrivateKey = $(cat server_privatekey)
ListenPort = 53320
PostUp   = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o ens18 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o ens18 -j MASQUERADE

[Peer]
PublicKey = $(cat client_publickey)
AllowedIPs = 10.8.8.2/32" > wg0.conf

为了让客户端可以访问到服务端所处局域网的其他机器，这里设置了流量转发和 NAT 伪装，如果不需要则可以删除。

运行 WireGuard

wg-quick up wg0

设置开机自启

systemctl enable wg-quick@wg0

生成客户端配置文件，拷贝到 Windows 下。server_public_ip 需要根据实际进行修改。

echo "[Interface]
PrivateKey = $(cat client_privatekey)
Address = 10.8.8.2/32

[Peer]
PublicKey = $(cat server_publickey)
Endpoint = server_public_ip:53320
AllowedIPs = 10.8.8.1/32, 192.168.1.0/24
PersistentKeepalive = 25" > client.conf

更推荐做法是 Windows 打开 wireguard 软件点击新建空隧道，自动生成密钥对，然后根据此填充服务端配置文件。但（在写教程上）会麻烦一点，因此这里就让服务端生成客户端的密钥对了。

客户端配置

点击下载安装：https://download.wireguard.com/windows-client/wireguard-installer.exe

把上面生成的客户端配置文件 /etc/wireguard/client.conf 进行导入，连接即可。