WireGuard 组网教程：快速构建安全高效的私密网络并实现内网穿透_wire guard_wiregruad转发本地路由

通过Wireguard可以将广域网上的主机连接起来，形成一个局域网。只需要有一台具有固定公网IP的服务器，就可以将其作为我们搭建的局域网的中心节点，让其他的主机（不论是否有公网IP，不论是否在NAT内），都通过这个中心节点和彼此相连。由此就构建了一个中心辐射型的局域网，实现了内网穿透等功能。

3. Docker容器通信

WireGuard还可用于Docker容器之间的通信。在Docker环境中，容器之间的网络通信是一个重要的问题。WireGuard通过提供一种安全的通信方式，能够在不同容器之间建立一个加密的网络连接，从而保障数据的安全传输。这对于需要在不同容器间安全共享数据的应用尤为重要。

1.3 WireGuard原理

WireGuard源码地址

WireGuard 是一种在第 3 层（网络层）运行的安全网络隧道，与传统的 VPN 解决方案（如 IPsec 和 OpenVPN）相比，它的设计更安全、性能更高且更易于使用。它是作为 Linux 内核虚拟网络接口实现的，基于安全隧道的基本原理：将peer的公钥与隧道源 IP 地址关联。

相关术语：

• Peer/Node/Device

连接到VPN 并为自己注册一个VPN子网地址（如 192.0.2.3）的主机。还可以通过使用逗号分隔的 CIDR 指定子网范围，为其自身地址以外的 IP 地址选择路由。

• 中继服务器（Bounce Server）

一个公网可达的peer，可以将流量中继到 NAT 后面的其他peer。Bounce Server 并不是特殊的节点，它和其他peer一样，唯一的区别是它有公网 IP，并且开启了内核级别的 IP 转发，可以将 威屁恩 的流量转发到其他客户端。

• 子网（Subnet）

一组私有 IP，例如 192.0.2.1-255 或 192.168.1.1/24，一般在 NAT 后面，例如办公室局域网或家庭网络。

• CIDR 表示法

CIDR，即无类域间路由（Classless Inter-Domain Routing），是一种用于对IP地址进行灵活表示和分配的标准。

• NAT

子网的私有 IP 地址由路由器提供，通过公网无法直接访问私有子网设备，需要通过 NAT 做网络地址转换。路由器会跟踪发出的连接，并将响应转发到正确的内部 IP。

• 公开端点（Public Endpoint）

节点的公网 IP 地址:端口，例如 123.124.125.126:1234，或者直接使用域名 some.domain.tld:1234。如果peer节点不在同一子网中，那么节点的公开端点必须使用公网 IP 地址。

• 私钥（Private key）

单个节点的 WireGuard 私钥，生成方法是：wg genkey > example.key。

• 公钥（Public key）

单个节点的 WireGuard 公钥，生成方式为：wg pubkey < example.key > example.key.pub。

• DNS

域名服务器，用于将域名解析为 VPN 客户端的 IP，不让 DNS请求泄漏到 VPN 之外。

主要功能和原理如下

WireGuard 通过添加一个（或多个）网络接口来工作，例如 eth0 或 wlan0 ，称为 wg0 （或 wg1 、 wg2 、 wg3 等）。然后可以使用 ifconfig(8) 或 ip-address(8) 正常配置该网络接口，并使用 route(8) 或 ip-route(8) 添加和删除其路由，以及所有普通网络实用程序都是如此。接口的特定 WireGuard 方面使用 wg(8) 工具进行配置。该接口充当隧道接口。

WireGuard 将隧道 IP 地址与公钥和远程端点相关联。当接口向peer发送数据包时，它会执行以下操作：

1. 该数据包适用于 192.168.30.8。那是哪位peer啊？让我看看…好吧，这是给peer ABCDEFGH 的。 （或者，如果它不适合任何已配置的peer，则丢弃该数据包。）
2. 使用peer ABCDEFGH 的公钥加密整个 IP 数据包。
3. Peer ABCDEFGH 的远程端点是什么？让我看看…好的，端点是主机 216.58.211.110 上的 UDP 端口 53133。
4. 使用 UDP 通过 Internet 将步骤 2 中的加密字节发送到 216.58.211.110:53133。

当接口收到数据包时，会发生以下情况：

1. 我刚刚从主机 98.139.183.24 上的 UDP 端口 7361 收到一个数据包。让我们来解密吧！
2. 它为peer LMNOPQRS 正确解密和验证。好的，让我们记住，peer LMNOPQRS 的最新 Internet 端点是使用 UDP 的 98.139.183.24:7361。
3. 解密后，明文数据包来自 192.168.43.89。是否允许peer LMNOPQRS 以 192.168.43.89 向我们发送数据包？
4. 如果是，则在接口上接受数据包。如果没有，就放弃它。

WireGuard 的核心是一个称为加密密钥路由的概念，它的工作原理是将公钥与隧道内允许的隧道 IP 地址列表相关联。每个网络接口都有一个私钥和一个peer点列表。每个peer都有一个公钥。公钥短小且简单，由peer用来相互验证。它们可以通过任何带外方法传递以在配置文件中使用，类似于将 SSH 公钥发送给朋友以访问 shell 服务器的方式。

1.4 WireGuard安装

wireGuard官方安装教程

2 WireGuard组网实现内网穿透

2.1 前提条件

1. 公网服务器： 必须拥有一台具有公网IP地址的服务器，这是内网穿透的关键。该服务器充当中转站，负责将外部请求传递到内部网络。
2. 网络设备配置权限： 需要对内部网络的路由器或防火墙有一定的配置权限，以便进行端口映射或其他必要的网络设置。这确保了从公网服务器到内网的连接是有效的。
3. 安装WireGuard： 在公网服务器和内网设备上都需要安装和配置WireGuard软件。确保两端的WireGuard配置一致，包括公私钥的生成和网络接口的配置。
4. 开启相应端口： 在公网服务器的防火墙配置中，需要打开WireGuard所使用的端口（默认是51820/UDP），以确保能够接收来自内网设备的连接请求。
5. 合适的网络拓扑： 确保了解内部网络的拓扑结构，以便正确设置WireGuard配置，包括允许流量通过的子网、路由等。

2.2 网络拓扑结构

2.3 具体步骤

2.3.1 中继服务器配置

1. 创建密钥对

wg genkey | tee server_privatekey | wg pubkey > server_publickey

执行以上两条命令后，会在执行命令的当前文件夹自动生成2个文件：

• 开启IP地址转发

sudo sysctl net.ipv4.ip_forward

如果显示1则说明已开启，否则则未开启。

echo "net.ipv4.ip\_forward = 1" >> /etc/sysctl.conf
echo "net.ipv4.conf.all.proxy\_arp = 1" >> /etc/sysctl.conf
sysctl -p /etc/sysctl.conf

1
2
3
4

• 设置IP地址伪装

# 允许防火墙伪装IP
firewall-cmd --add-masquerade
# 检查是否允许伪装IP
firewall-cmd --query-masquerade
# 禁止防火墙伪装IP
firewall-cmd --remove-masquerade

1
2
3
4
5
6
7

• 配置wireguard虚拟网卡（不推荐，只是让读者直观了解过程）

sudo ip link add wg0 type wireguard # 添加一块叫 wg0 的虚拟 wireguard 网卡
sudo ip addr add 192.168.71.1/24 dev wg0 # 给 wg0 网卡添加 ip 地址 192.168.71.1，子网掩码 255.255.255.0
sudo wg set wg0 private-key ./server-privatekey # wireguard 设置密钥
sudo ip link set wg0 up # 启用刚刚添加的网卡

1
2
3
4
5

我们可以通过ip addr命令查看到wg0网卡的状态

可以看到网卡wg0 接口是已启用的，具有 IPv4 地址 192.168.71.1

输入wg命令则可以看到配置信息，配置文件通常在/etc/wireguard/目录中

有想继续尝试这种方式的可以看一下官方教程

• 编写配置文件配置网卡（推荐，应该wg set命令需要提供很多参数，很容易出错）

我们在/etc/wireguard目录中创建wg0.conf并编写配置，配置项请看2.4 配置项说明

[Interface]
# 本机密钥
PrivateKey = KIDTljv66CgVYBNlrSD13Au6qfUdIcFJkTBkuErhTEk=
# 本机地址
Address = 192.168.71.1/24
# 监听端口
ListenPort = 51820

[Peer]
# 对端的publickey
PublicKey = iWy57DmR6wVXcVzMDOa2WyywO0WT5JRAGYIlh0v/nW8=
# 对端地址
AllowedIPs = 192.168.71.2/24

1
2
3
4
5
6
7
8
9
10
11
12
13
14

• 重新启动网卡

sudo wg-quick down wg0
sudo wg-quick up wg0

1
2
3

2.3.2 其他peer

我这里只列举MacOS的操作方式（其他都同理，就是要配置私钥和公钥）

操作完之后，它会给出密钥对，我们只需要添加好其他信息即可。

配置文件如下：

[Interface]
# 本机密钥
PrivateKey = kDUqWzkbaB1EU5C2ADoId1TXtZF89xxn0VV45EcjFHs=
# 本机地址
Address = 192.168.71.2/24

[Peer]
# 对端公钥，即公网服务器公钥
PublicKey = bEm1p736FQySfKlTTUCeHmiwTmna5umZWOWLGWqioSk=
# 允许此对等方的传入流量并指定传出流量的目标。
AllowedIPs = 192.168.71.0/24
# 公网IP+监听端口号
Endpoint = 1.1.1.1:51820
PersistentKeepalive = 25

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

2.3.3 测试

MacOS端：

服务器Ping 主机：

2.4 WireGuard配置文件说明

• interface部分：
  • PrivateKey: 由 wg genkey 生成的 Base64 编码的私钥。必须配置。
  • ListenPort: 用于监听的 16 位端口。可选，如果未指定，则随机选择端口。
  • DNS: 指定 DNS 服务器的 IP 地址。
  • FwMark: 用于传出数据包的 32 位 fwmark。如果设置为 0 或 “off”，则禁用此选项。可选。可以以十六进制形式指定，例如，以 “0x” 开头。可选。

还有兄弟不知道网络安全面试可以提前刷题吗？费时一周整理的160+网络安全面试题，金九银十，做网络安全面试里的显眼包！

王岚嵚工程师面试题（附答案），只能帮兄弟们到这儿了！如果你能答对70%，找一个安全工作，问题不大。

对于有1-3年工作经验，想要跳槽的朋友来说，也是很好的温习资料！

【完整版领取方式在文末！！】

93道网络安全面试题

内容实在太多，不一一截图了

黑客学习资源推荐

最后给大家分享一份全套的网络安全学习资料，给那些想学习 网络安全的小伙伴们一点帮助！

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。