WireGuard 常被介绍成一个更快、更现代的 VPN,这个说法成立,却还不够。速度本身解释不了一件事:那些原本已经熟悉 IPsec、OpenVPN 或 SSH 隧道的运维人员,为何仍会觉得 WireGuard 更容易想明白。更合适的解释落在架构上。WireGuard 是一个边界刻意收窄的三层网络接口,它承担的任务非常有限:通过 UDP 对 IP 数据包做加密与认证,用加密密钥路由把对等端与隧道地址绑定起来,同时明确把密钥分发、证书层级与下发式控制平面策略排除在协议之外。[1][2][6]

也正因为这样,这个项目才显得格外干净。你用普通的网络工具创建接口,用普通的三层命令配置地址,再用 wg 去装载 WireGuard 自己关心的那部分配置。[2] 官方总览说得很直白:密钥分发与配置下发不在 WireGuard 的职责范围里,这样做正是为了躲开 IKE 和 OpenVPN 一类控制栈后来越长越重的膨胀轨迹。[1] WireGuard 从来没有打算成为一整套远程接入产品,它想做的,是一个能够像一等网络设备那样工作的隧道原语。

配图说明:题图避开拓扑图和终端截图,选用 Jason A. Donenfeld 的真实 FOSDEM 演讲者肖像。这一选择更贴合本文的重心,因为这里讨论的重点越过某条命令的演示,落在一种设计立场上:VPN 可以通过少做一些事而变得更强,把加密身份压进接口内部,再把周边编排问题明确留给别的层。[7]

比起“现代 VPN”这张标签,更重要的是接口模型

官方站点把 WireGuard 描述为一种会新增网络接口的系统,例如 wg0,而这个接口之后可以像 eth0wlan0 一样,用同一套地址与路由工具继续管理。[1] Quick Start 也把这层意思写得非常具体:先 ip link add dev wg0 type wireguard,再配置地址,然后用 wg setwg setconf 把密钥、对等端、允许地址与端点装进去。[2] 这组步骤起初看上去过于朴素,可一旦拿它去对照那些附带证书流程、守护进程专属路由行为、或者庞大用户态控制通道的老式 VPN 栈,这种朴素本身就变成了优点。

LWN 早期的评述恰好点中了这个收益。如果一个数据包来自 WireGuard 接口,那么管理员就可以把它视作已经具备真实性与保密性,于是剩下的思考重新回到普通 Linux 路由语义里:把路由表指向这个接口即可。[6] 这是第一层架构红利。WireGuard 没有要求运维人员为数据平面再学一套世界观,它把安全隧道尽量做成另一张网络接口,把特殊逻辑收拢在一个很小的配置表面上。[1][2][6]

这层收窄本身也是一条边界。部署一旦期待“隧道协议自己处理用户注册、群组策略、证书签发,或者姿态感知访问控制”,WireGuard 就会显得刻意不完整,因为这些本来就是被它主动排除出去的更高层问题。[1]

真正位于设计中心的,是加密密钥路由

WireGuard 最关键的想法越过握手本身,落在加密密钥路由上。官方总览写得很清楚:WireGuard 会把隧道 IP 地址与公钥、远端端点关联在一起。[1] 在发送路径上,allowed IPs 这张表像路由表;在接收路径上,同一张表又像访问控制列表。[1] 这种一表两用,正是配置可以始终保持紧凑的原因。对等端身份、目的可达性与源地址合法性,被压缩进了同一张映射表里,避免被拆散到多套彼此分离的策略引擎中。

白皮书把这一点写成了核心架构选择,越过一个顺手附带的方便功能。因为 WireGuard 严格停留在三层,对等端经过认证的身份与它所占用的隧道地址可以牢牢绑在一起,于是整个网络设计会比它试图简化掉的旧栈更清楚。[3] 重点越过配置行数更少这一层,更重要的是接口可以从同一组“公钥到前缀”的关系里,同时回答两个问题:这个包该送往哪里,以及这个对等端是否有资格宣称自己来自这个源地址。[1][3]

这也是新手最容易误解的一层。AllowedIPs 本身已经越过“将来希望能访问的网段清单”,它本身就是加密密钥路由表。wg-quick 的手册把后果说得非常直接:这个辅助脚本会根据 peers 的 AllowedIPs 自动推导路由,再把这些路由加入系统路由表。[5] 当这些前缀设得准确时,这种行为极其省事;一旦人们把 AllowedIPs 当成一种含糊的愿望列表,它就会立刻变成概念陷阱。WireGuard 之所以能保持简洁,原因也在于它让一个字段承担了真正的架构职责。

握手被收得很窄,而这份收窄顺手带来了漫游

WireGuard 的另一个干净动作,是把会话建立尽量压短,同时让对等端端点可以从已认证流量里动态更新。白皮书描述了一次 1-RTT 握手,它负责导出传输密钥,并按消息数量与时间窗口滚动轮换会话,在重置窗口过去后迅速丢弃旧状态。[3] 协议当然做了严肃的密码学工作,不过这些工作都服务于一个很窄的运维目标:建立短生命的传输密钥、搬运数据包、滚动更新,并把会话状态的内存占用压在明确边界里。[3]

漫游能力也正是沿着这条窄路径自然长出来的。白皮书说明,对等端可以预先写死一个外部端点,可一旦 WireGuard 收到来自这个对等端、而且认证通过的数据包,它就可以把外层源 IP 与端口记成新的端点。[3] 官方总览用接收路径也说明了同一件事:成功解密并认证之后,接口会记住该 peer 最近一次有效的互联网端点。[1] 于是,漫游由此越过一套单独移动性子系统的设定,它是“公钥才是稳定身份,端点只是当前 UDP 送达地址”这条设计逻辑自然产生的结果。[1][3]

这个区分非常值得反复记住。身份是稳定的,传输位置是可替换的。把这一点想透之后,WireGuard 的许多行为就不再神秘。

WireGuard 越依赖 Linux 本身,反而越显得强

一旦把目光放到命名空间与路由集成上,这个项目会变得更有意思。WireGuard 的 netns 文档说明,接口会记住自己最初被创建的命名空间,即使后来被移动到别处,真正用于发送与接收加密包的 UDP socket 仍然停留在最初那个“出生命名空间”里。[4] 这看似只是实现细节,实际却打开了一种很特别的运行方式:明文包可以来自一个命名空间,而加密传输 socket 继续固定在另一个命名空间中。[4]

同一份文档进一步利用这个特性展示了容器隔离与全隧道路由的方法,其中还包括把 WireGuard 路由与明文互联网路由分到不同路由表里的模式。[4] 这是继加密密钥路由之后的第二层架构收益。WireGuard 的目标没有落在替换 Linux 网络上,它的能力反而来自对 Linux 网络的深度贴合。命名空间、策略路由与普通接口语义仍然是地基,WireGuard 只是往上面放了一块能够与这些工具自然咬合的安全隧道原语,同时保留这些工具本身的可见性。[2][4]

它适合什么,不适合什么,其实说起来很简单

WireGuard 最适合的场景,是团队需要一个可审计的隧道原语,并愿意自己补上外围编排。这个外层可以是静态 peer 文件,可以是 wg-quick 这样的轻量包装,也可以是另一个更大的身份系统。相对不自然的场景,则是希望隧道协议自己接管注册、配置下发与整队策略。人们有时抱怨它“少了功能”,很多时候看到的更多是一种主动的设计拒绝,正因为这份拒绝,核心才能一直保持短小。[1][5][6]

也正因为这样,到了 2026 年,WireGuard 依然显得很特别。它从未承诺要把远程接入整个产品门类一口吞下,它真正承诺的是更窄、也因此对很多工程团队更有用的一组东西:一张安全接口、一张加密密钥路由表、一份短生命会话状态,以及一条非常清楚的交接线,过了这条线,别人的控制平面就可以开始工作。[1][3][4]

来源

  1. WireGuard 官方总览:接口模型、被明确排除的密钥分发、对等端与地址绑定,以及加密密钥路由行为。
  2. WireGuard Quick Start:wg0 接口创建、地址配置、wg setwg setconf,以及 peer 配置示例。
  3. Jason A. Donenfeld,《WireGuard: Next Generation Kernel Network Tunnel》白皮书:三层设计、加密密钥路由、端点学习、握手、重键与 keepalive 行为。
  4. WireGuard 文档《Routing & Network Namespace Integration》:出生命名空间中的 socket 行为、容器用法,以及策略路由模式。
  5. man7 上的 wg-quick(8) 手册页:辅助脚本边界,以及根据 peers 的 AllowedIPs 推导路由。
  6. Jonathan Corbet,《WireGuard: a new VPN tunnel》,LWN.net:从独立角度解释接口优先的设计与它带来的运维简化。
  7. 本文封面所用的 Jason A. Donenfeld FOSDEM 演讲者肖像原图。