IPv6 + WireGuard 打造轻量级远程访问隧道

IPv6 + WireGuard 打造轻量级远程访问隧道：我的实战配置笔记

作为一名经常需要远程访问家中设备的开发者，我一直在寻找既安全又高效的解决方案。传统的 VPN 方案要么配置复杂，要么性能堪忧。直到我发现了 WireGuard 这个现代 VPN 协议，结合 IPv6 的全球可达性，终于搭建出了一个让我满意的轻量级远程访问隧道。今天就来分享我的完整配置过程，希望能帮到有同样需求的你。

环境准备与基础概念

在开始之前，我们需要明确几个关键点。首先，你的网络环境必须支持 IPv6，并且拥有公网 IPv6 地址。其次，WireGuard 采用公私钥加密机制，相比传统 VPN 更加轻量高效。我使用的环境是：一台 Ubuntu 22.04 服务器作为服务端，一台 macOS 笔记本作为客户端。

踩坑提示：如果你的云服务商默认关闭 IPv6，记得先在控制台开启 IPv6 支持。我就在这一步卡了半天，后来发现是服务商默认禁用导致的。

服务端配置详细步骤

首先在服务器上安装 WireGuard：

# Ubuntu/Debian
sudo apt update
sudo apt install wireguard resolvconf

生成服务器密钥对：

cd /etc/wireguard/
umask 077
wg genkey | tee privatekey | wg pubkey > publickey

创建配置文件 /etc/wireguard/wg0.conf：

[Interface]
PrivateKey = [你的服务器私钥]
Address = fd86:ea04:1115::1/64
ListenPort = 51820
SaveConfig = false

# 客户端配置模板
# [Peer]
# PublicKey = [客户端公钥]
# AllowedIPs = fd86:ea04:1115::2/128

启动 WireGuard 接口：

sudo wg-quick up wg0
sudo systemctl enable wg-quick@wg0

客户端配置实战

在客户端机器上同样安装 WireGuard，然后生成密钥对：

# macOS 使用 Homebrew
brew install wireguard-tools

# 生成密钥
wg genkey | tee privatekey | wg pubkey > publickey

创建客户端配置文件：

[Interface]
PrivateKey = [你的客户端私钥]
Address = fd86:ea04:1115::2/64
DNS = 2001:4860:4860::8888

[Peer]
PublicKey = [服务器公钥]
Endpoint = [服务器IPv6地址]:51820
AllowedIPs = fd86:ea04:1115::/64

两端对接与测试

这是最关键的一步，需要在服务器配置中添加客户端信息：

# 在服务器上执行
sudo wg set wg0 peer [客户端公钥] allowed-ips fd86:ea04:1115::2

启动客户端连接，然后测试连通性：

# 在客户端 ping 服务器
ping6 fd86:ea04:1115::1

# 检查连接状态
sudo wg show

防火墙配置要点

为了让 WireGuard 正常工作，需要在服务器防火墙开放 51820/udp 端口：

# UFW 配置示例
sudo ufw allow 51820/udp
sudo ufw enable

经验分享：我最初测试时发现连接超时，后来才发现是 IPv6 防火墙规则没配置。如果你的连接有问题，一定要检查防火墙设置。

使用体验与优化建议

经过几周的使用，这个 IPv6 + WireGuard 方案表现相当稳定。相比传统 VPN，连接建立更快，资源占用更少。我建议：

• 定期更新 WireGuard 到最新版本
• 考虑配置多客户端支持
• 可以使用脚本自动化密钥管理

整个配置过程虽然有些细节需要注意，但一旦搭建完成，你就会发现这个组合的优雅之处。IPv6 解决了公网访问的问题，WireGuard 提供了安全高效的隧道，两者结合堪称完美。如果你在配置过程中遇到问题，欢迎在评论区交流讨论！