如何在Linux服务器上搭建VPN（WireGuard）实现安全组网【详解】

从现在开始，我们要努力学习啦！今天我给大家带来《如何在Linux服务器上搭建VPN（WireGuard）实现安全组网【详解】》，感兴趣的朋友请继续看下去吧！下文中的内容我们主要会涉及到等等知识点，如果在阅读本文过程中有遇到不清楚的地方，欢迎留言呀！我们一起讨论，一起学习！

WireGuard安装失败因内核模块缺失，需按系统安装对应内核模块包并加载；配置后无法通信常见于防火墙、NAT、AllowedIPs或IP转发未启用。

WireGuard服务端安装失败，提示“modprobe: FATAL: Module wireguard not found”

Linux内核 5.6+ 原生支持 WireGuard，但多数生产服务器（如 CentOS 7/8、Ubuntu 18.04）默认内核版本偏低，或未启用该模块。直接 apt install wireguard 或 yum install wireguard-tools 只装了用户态工具，不等于内核模块就绪。

验证方式：lsmod | grep wireguard 无输出即未加载；modprobe wireguard 报错说明模块缺失。

• Ubuntu 18.04/20.04：先升级内核到 5.4.0-xx-generic（需启用 HWE）或直接装 linux-modules-extra-$(uname -r)
• CentOS 7：必须启用 ELRepo 源，运行 yum install kmod-wireguard wireguard-tools（注意：kmod-wireguard 是必须的内核模块包）
• Debian 10（Buster）：添加 backports 源后安装 wireguard-dkms，再执行 dkms install wireguard/1.0.20200513
• 所有系统安装完务必执行 depmod -a && modprobe wireguard，并确认 /etc/modules 中有 wireguard 行（保证开机加载）

配置 wg0 接口后无法 ping 通对端，且 wg show 显示 latest handshake 为空

这基本不是加密或密钥问题，而是网络层连通性中断。WireGuard 本身不处理 NAT 穿透或路由转发，它只负责封装/解封 UDP 包。

常见断点位置：

• 防火墙拦截 UDP 51820（或你自定义的监听端口）：检查 iptables -L -n -t filter 和 iptables -L -n -t nat，确保 INPUT 链放行该端口，FORWARD 链允许 wg0 间转发（如 -i wg0 -o wg0 -j ACCEPT）
• 云服务器安全组未开放 UDP 端口：AWS/Aliyun/Tencent 控制台中，必须显式添加 UDP 入方向规则，仅开 TCP 无用
• 客户端填了错误的公网 IP 或端口：服务端 Endpoint 字段必须是客户端能直连的地址（非 127.0.0.1 或内网 IP），且该地址对应机器的 UDP 端口可达（可用 nc -uvz SERVER_IP 51820 测试）
• 服务端未开启 IPv4 转发：确认 sysctl net.ipv4.ip_forward 返回 1；若为 0，临时启用：sysctl -w net.ipv4.ip_forward=1；永久生效需写入 /etc/sysctl.conf

多个客户端连上后互相无法通信，只能访问服务端

WireGuard 默认不开启客户端间路由，每个 peer 的 AllowedIPs 决定了它“声称自己能响应哪些 IP”。服务端配置里漏掉客户端子网，或客户端没把其他客户端网段加入自己的 AllowedIPs，都会导致二层不通。

典型错误配置：

## 服务端 wg0.conf 片段（错误）
[Peer]
PublicKey = client1_pubkey
AllowedIPs = 10.8.0.2/32  # ❌ 只写了 client1 自己的 IP，没写 client2 的 10.8.0.3/32

正确做法（服务端统一管理）：

• 给所有客户端分配连续 /32 地址（如 10.8.0.2–10.8.0.254），并在服务端 [Peer] 段为每个 client 单独写明其 AllowedIPs = 10.8.0.x/32
• 在服务端全局 [Interface] 加上 PostUp = iptables -A FORWARD -i wg0 -o wg0 -j ACCEPT 和 PostDown = iptables -D FORWARD -i wg0 -o wg0 -j ACCEPT
• 客户端配置中，AllowedIPs 应设为整个虚拟网段（如 10.8.0.0/24），而非仅服务端 IP —— 否则客户端收不到发往其他 client 的包

重启 wg-quick@wg0 后配置丢失或隧道未启动

wg-quick 不读取任意路径的配置文件，它只认标准位置：/etc/wireguard/wg0.conf（文件名必须与 service 名一致，且权限应为 600）。任何拼写错误、缩进混乱、多余空格或注释符号（#）位置不对，都会导致加载静默失败。

排查步骤：

• 手动运行 wg-quick up wg0，观察终端是否报错（如 Invalid key、unexpected EOF）
• 检查 wg0.conf 是否含 Windows 换行符（^M）：用 file /etc/wireguard/wg0.conf 查编码，用 dos2unix 修复
• 确认私钥字段是完整 44 字符 base64（不含换行、空格、-----BEGIN PRIVATE KEY----- 等 PEM 头尾）
• systemd 启动失败时，查日志：journalctl -u wg-quick@wg0 -n 50 -f，比 systemctl status 更早暴露解析错误

WireGuard 的“简单”是建立在严格格式和明确边界上的，少一个 /32、多一个空格、忘开 IP 转发，都足以让整条隧道卡在握手之前。它不报错，只是沉默地丢包。

好了，本文到此结束，带大家了解了《如何在Linux服务器上搭建VPN（WireGuard）实现安全组网【详解】》，希望本文对你有所帮助！关注golang学习网公众号，给大家分享更多文章知识！