WireGuard是什么？

WireGuard是一个开源的VPN协议，注重安全性和简洁性。它由安全研究员兼开发人员Jason Donenfeld于2017年创建，旨在解决现有VPN解决方案速度慢且复杂的问题。

WireGuard的亮点之一是其对现代加密技术的运用。它使用对称加密算法ChaCha20配合Poly1305进行消息认证，这种加密方式被认为比传统加密算法更快更安全。

WireGuard还以使用公钥进行用户认证而闻名，这意味着用户无需共享密码即可连接到VPN网络。

使用WireGuard的优势：

• 🐻简洁性：WireGuard架构简单，代码量少，比其他VPN协议更易于理解和维护
• ⚡性能：WireGuard设计快速高效，延迟低且系统资源占用少
• 🔒安全性：WireGuard使用现代安全加密协议保护用户数据
• 📃合规性：WireGuard符合行业标准和法规要求，适合需要满足特定安全要求的企业和组织使用

在UDM Pro SE上配置WireGuard

要在UDM Pro SE上配置WireGuard VPN服务器，请进入设置，点击"Teleport & VPN"，然后在VPN Server部分点击"Create New"。

您将看到两个VPN协议选项：WireGuard或L2TP。我们选择WireGuard。

为您的WireGuard VPN网络命名，然后在"Server Address"部分确保正确显示WAN IP地址。如果您处于双重NAT环境，请点击"Enter IP Address manually"手动输入您的WAN IP地址。您可以通过相关网站查询您的IP地址。

关于端口，通常使用51820端口，但您可以更改此端口，请注意这是UDP端口。

接下来点击"Add a New client"添加用户。输入用户名，然后点击"Download Profile"，最后点击"Create User"。

如有需要，您可以在高级选项中选择"Manual"来微调VPN配置。这将允许您更改VPN的子网，并添加所需的DNS服务器。点击"Apply Changes"完成配置。

您的VPN服务器现已配置完成。请妥善保管之前下载的配置文件，此文件将用于客户端连接。

安装和配置WireGuard客户端

现在我们来安装WireGuard客户端。与L2TP等传统VPN不同，WireGuard需要单独安装客户端应用程序，它不包含在Windows、macOS或智能手机系统中。

下载WireGuard客户端后，从UDM Pro SE的网络应用程序导入之前下载的配置文件。

点击"激活"启动VPN连接。

如果您通过动态DNS拥有动态IP地址，可以编辑Endpoint。

相应调整防火墙

请注意，默认情况下，您的新VPN网络将能够访问整个网络。如果出于特定需求，您只需要访问少数设备或VLAN，请相应配置防火墙。

在我的案例中，我在所有VLAN上添加了对这个新网络的阻止规则，但随后允许它连接到少数IP地址，如我的家庭助理、NAS服务器等。为此，我创建了第一条防火墙规则，阻止我的所有VPN客户端访问我的所有VLAN，这里我们使用RFC1918中定义的网络地址。