WireGuard 现代内核级 VPN,约 4,000 行代码
一个一个下午就能审计完的 VPN 协议,速度足以打满千兆链路。
一种现代 VPN 协议,由 Jason Donenfeld 设计,于 5.6 版(2020)合入 Linux 主线内核。使用一套固定的、有主见的密码学套件——Curve25519、ChaCha20、Poly1305、BLAKE2s——完全跑在 UDP 上,通过静态公钥认证 peer。参考实现不到 4,000 行代码,比 OpenVPN 或 IPsec 小一个数量级。
「在 VPS 上跑个人 VPN」是我们最常见的入门使用场景。
相当一部分新客户购买一台 1 GB 入门档 VPS,就是为了一件事:起一台 WireGuard,把笔记本和手机指向它,然后停止信任他们正在每月付 €12 的那个消费级 VPN 品牌。这笔账无可辩驳——一台 €4/月 的 VPS 让客户的流量从一个属于他自己的 IP 出去,而不是从一个被数千陌生人共享、并被 Web 上每个验证码关卡预先标记的池子里出去。
WireGuard 是这件事的正确协议,因为它又快、又简单,且随每一个现代 Linux 发行版的内核一起发货。没有需要管理的 PKI、没有需要照顾的证书颁发机构、没有晦涩的密码协商。两把公钥、两个端点、一行 allowed-IPs,隧道就起来了。配置文件短到可以毫不尴尬地提交进 git 仓库。
在运维上,我们推荐 WireGuard 用于:个人浏览隐私、远程访问家庭或办公室网络、在不同区域 VPS 之间建立安全链路,以及只让特定目的地经过 VPN 的分流隧道配置。使用场景页和走通指南覆盖了常见模式的全套。
人们真正会问的问题。
WireGuard 与 OpenVPN 有何不同?
WireGuard 跑在内核空间、使用一套固定的现代密码学套件,代码量约为 OpenVPN 的十分之一。实际结果是:在适度 CPU 下就能让吞吐打满千兆链路、握手延迟在个位数毫秒、配置文件短到一坐就能读完。OpenVPN 在需要基于证书的 PKI 或通过 443 端口做 TCP 回退的环境中仍然有用;WireGuard 在裸性能、审计面和运维简洁性上胜出。
WireGuard 隐私吗?
WireGuard 使用现代密码学(密钥交换用 Curve25519,数据信道用 ChaCha20-Poly1305)对 peer 之间的所有流量进行加密和认证。线路上的被动观察者只看到两个 IP 之间的 UDP 数据包,无法读取内容。但 WireGuard 并不隐藏「这两个特定 peer 正在通信」这一事实;那一层隐私需要 obfsproxy 或 Tor 之类的工具。
我能在一台 NordBastion VPS 上运行自己的 WireGuard 服务器吗?
可以——这是本站入门档 VPS 套餐最受欢迎的使用场景之一。一台 1 GB 内存、单 vCPU 的节点就能舒适地为一个小团队或一个家庭终结 WireGuard。走通的指南从「我刚拿到 root 密码」到「我的手机正在通过 VPS 浏览」大约只需十五分钟。
WireGuard 能在移动端使用吗?
可以。iOS 和 Android 都有官方 WireGuard 应用,两者都维护良好、不含追踪器。漫游行为——在 Wi-Fi/蜂窝切换和 IP 变化期间保持隧道存活——是该协议的亮点特性之一,在现代手机上几乎透明工作。