Debian WireGuard配置完整指南（手把手教你从零搭建安全高效的VPN服务）

来源：这里教程网时间：2026-03-28 03:14:20 作者：

WireGuard 是一款现代、轻量级且高性能的虚拟私有网络（VPN）协议，因其简洁、安全和高效而广受开发者和系统管理员青睐。本教程将详细讲解如何在 Debian 系统上完成 WireGuard 配置，即使是 Linux 新手也能轻松上手。

一、准备工作

在开始之前，请确保你满足以下条件：

一台运行 Debian 10（Buster）或更高版本的服务器（作为 WireGuard 服务端）一台本地设备（如 Windows、macOS、Android 或另一台 Linux 主机，作为客户端）拥有 root 权限或可使用 sudo 的用户账户服务器具有公网 IP 地址（用于外部连接）

二、在 Debian 上安装 WireGuard

首先，更新系统软件包列表并安装 WireGuard：

sudo apt updatesudo apt install wireguard -y

安装完成后，验证是否成功：

wg --version

如果输出类似

wg-tools v1.x.x

，说明安装成功。

三、生成密钥对

WireGuard 使用公钥/私钥加密机制。我们需要为服务端和客户端分别生成密钥对。

进入 WireGuard 配置目录并生成服务端密钥：

sudo mkdir -p /etc/wireguardcd /etc/wireguardumask 077wg genkey | tee privatekey | wg pubkey > publickey

执行后，你会在

/etc/wireguard

目录下看到两个文件：

privatekey

（服务端私钥）和

publickey

（服务端公钥）。请妥善保管私钥，切勿泄露。

四、配置服务端 WireGuard

创建配置文件

/etc/wireguard/wg0.conf

：

sudo nano /etc/wireguard/wg0.conf

填入以下内容（请根据你的实际情况修改）：

[Interface]PrivateKey = <你的服务端私钥>Address = 10.0.0.1/24ListenPort = 51820PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADEPostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE# 客户端配置示例（可选，也可单独管理）[Peer]PublicKey = <客户端公钥>AllowedIPs = 10.0.0.2/32

说明：

PrivateKey

：粘贴你在上一步生成的

privatekey

内容

Address

：WireGuard 虚拟网络的 IP 地址，服务端通常设为

10.0.0.1

ListenPort

：监听端口，建议使用默认的 51820

PostUp/PostDown

：启用 IP 转发和 NAT，使客户端能通过服务器访问互联网

保存并退出编辑器。

五、启用 IP 转发

为了让客户端通过服务器上网，需开启 IPv4 转发：

echo 'net.ipv4.ip_forward=1' | sudo tee -a /etc/sysctl.confsudo sysctl -p

六、启动 WireGuard 服务

设置配置文件权限并启动服务：

sudo chmod 600 /etc/wireguard/wg0.confsudo wg-quick up wg0

设置开机自启：

sudo systemctl enable wg-quick@wg0

检查状态：

sudo wg show

七、配置客户端

以手机或电脑为例，在客户端设备上安装 WireGuard 应用（各平台应用商店均可下载）。

在客户端生成自己的密钥对（方法同服务端），然后创建客户端配置文件：

[Interface]PrivateKey = <你的客户端私钥>Address = 10.0.0.2/24DNS = 8.8.8.8[Peer]PublicKey = <服务端公钥>Endpoint = <你的服务器公网IP>:51820AllowedIPs = 0.0.0.0/0PersistentKeepalive = 25

将上述内容导入客户端 App，即可连接。