香港VPS搭建WireGuard:服务端配置+客户端接入全流程教程
为什么选 WireGuard?
WireGuard 是近年来最受欢迎的现代 VPN 协议,相比 OpenVPN 和 IPSec,它有三个核心优势:配置极简(核心代码只有约 4000 行)、性能出色(内置于 Linux 内核,延迟低于 OpenVPN 约 30%)、连接稳定(切换网络后自动重连)。在香港 VPS 上搭建 WireGuard,可以为团队提供安全的远程访问通道。
一、服务端安装(Ubuntu 20.04 / 22.04)
# 安装 WireGuard
sudo apt update
sudo apt install wireguard -y
# 验证安装
wg --version二、生成服务端密钥对
# 进入 WireGuard 配置目录
sudo su # 切换到 root
cd /etc/wireguard
# 生成服务端私钥和公钥
wg genkey | tee server_private.key | wg pubkey > server_public.key
# 查看密钥(后面配置文件需要用到)
cat server_private.key
cat server_public.key
# 设置密钥文件权限
chmod 600 server_private.key三、创建服务端配置文件
nano /etc/wireguard/wg0.conf[Interface]
# 服务端私钥
PrivateKey = 替换为server_private.key内容
# VPN 网段内服务器的 IP(客户端会分配此网段的其他 IP)
Address = 10.0.0.1/24
# WireGuard 监听端口
ListenPort = 51820
# 开启流量转发(客户端通过 VPN 访问互联网)
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -A FORWARD -o wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -D FORWARD -o wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
# ===== 客户端配置(每个客户端添加一个 [Peer] 块)=====
[Peer]
# 客户端公钥(见下方客户端密钥生成步骤)
PublicKey = 替换为client_public.key内容
# 分配给该客户端的 VPN IP
AllowedIPs = 10.0.0.2/32注意:PostUp/PostDown 中的 eth0 替换为服务器实际的网卡名称(用 ip route | grep default 查看)。
四、开启系统 IP 转发
sudo nano /etc/sysctl.conf# 找到并取消注释这一行
net.ipv4.ip_forward = 1sudo sysctl -p五、防火墙放行 WireGuard 端口
sudo ufw allow 51820/udp
sudo ufw reload六、启动 WireGuard 服务
# 启动 WireGuard
sudo wg-quick up wg0
# 设置开机自启
sudo systemctl enable wg-quick@wg0
# 查看状态
sudo wg show七、生成客户端配置
为每个客户端生成独立的密钥对:
# 生成客户端密钥(在服务器上执行)
wg genkey | tee client1_private.key | wg pubkey > client1_public.key
cat client1_private.key
cat client1_public.key将客户端公钥添加到服务端配置,然后重载:
sudo wg set wg0 peer 客户端公钥 allowed-ips 10.0.0.2/32
sudo wg-quick save wg0创建客户端配置文件(发给客户端使用):
[Interface]
PrivateKey = 替换为client1_private.key内容
Address = 10.0.0.2/24
DNS = 1.1.1.1
[Peer]
PublicKey = 替换为server_public.key内容
Endpoint = 香港服务器IP:51820
AllowedIPs = 0.0.0.0/0 # 所有流量走 VPN(全局代理)
# AllowedIPs = 10.0.0.0/24 # 只有 VPN 内网流量走隧道(分流模式)
PersistentKeepalive = 25八、各平台客户端安装
| 平台 | 安装方式 |
|---|---|
| Windows | 下载官方客户端 wireguard.com,导入配置文件 |
| macOS | App Store 搜索 WireGuard,导入配置文件 |
| iOS | App Store 下载 WireGuard,扫描配置二维码或导入文件 |
| Android | Google Play / F-Droid 下载 WireGuard |
| Linux | sudo apt install wireguard,用 wg-quick 导入配置 |
九、常见问题排查
# 客户端连上了但无法上网
# 检查服务端 IP 转发是否开启
sysctl net.ipv4.ip_forward # 应为 1
# 检查 iptables 规则是否正确
sudo iptables -L -n -v | grep MASQUERADE
# 客户端连接超时
# 确认 UDP 51820 端口已放行
sudo ufw status | grep 51820
# 查看 WireGuard 实时连接状态
sudo wg show # 查看 latest handshake 时间,超过 2 分钟说明连接断开总结
在香港 VPS 搭建 WireGuard VPN 的完整流程:安装 WireGuard → 生成服务端密钥 → 配置 wg0.conf → 开启 IP 转发和防火墙 → 启动服务 → 为每个客户端生成独立密钥和配置文件。整个过程约 15–20 分钟,完成后可以安全地将团队流量通过香港服务器中转,访问需要香港或国际网络的服务。
搭建 WireGuard 服务端需要稳定的香港 VPS,IDC.Net 香港云服务器首月 10 元起,固定公网 IP,CN2 GIA 直连大陆,支持 UDP 流量,支付宝付款即可开通。
