CentOS7 部署 WireGuard Server

安装 WireGuard

# 需要EPEL
yum install wireguard-tools

生成密钥对

mkdir -p /etc/wireguard/
cd /etc/wireguard
wg genkey | tee /etc/wireguard/server_private.key | wg pubkey | tee /etc/wireguard/server_public.key

创建 WireGuard 配置文件

/etc/wireguard/wg0.conf

[Interface]
Address = 10.0.0.1/30
MTU = 1280
SaveConfig = true
ListenPort = 51820
PrivateKey = private-key-of-your-server

[Peer]
PublicKey = public-key-of-your-client
AllowedIPs = 10.0.0.0/30, 10.0.1.0/24

调整合适的MTU值以获得最佳性能
AllowedIPs 除包含对端 wg 网卡的 IP 地址段外对端本地网络的其他设备如果想经过对端的路由转发至 Server 也需要将其 IP 地址段填入若是经对端 NAT 后转发则不需要换句话说允许通过隧道的包的三层源地址必须包含在此

像这样保护文件：

chmod 600 /etc/wireguard/ -R

调整内核参数启用 IP 转发

echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
sysctl -p

在防火墙上配置 IP 伪装（NAT）和放开端口

firewall-cmd --zone=public --permanent --add-masquerade
firewall-cmd --permanent --add-port=51820/udp 
systemctl reload firewalld

启动 WireGuard

# 手动启动
wg-quick up /etc/wireguard/wg0.conf

# 手动停止
wg-quick down /etc/wireguard/wg0.conf

# 交给 systemd 管理 开机自启
systemctl start wg-quick@wg0.service
systemctl enable wg-quick@wg0.service