WireGuard 全互联模式终极指南(上)!

最新推荐文章于 2025-11-03 11:21:21 发布
原创 最新推荐文章于 2025-11-03 11:21:21 发布 · 7.1k 阅读 · 33 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #docker #linux #java #大数据

本文介绍了Netmaker这一用于配置WireGuard全互联模式的可视化工具,详细阐述了其工作原理、功能特点以及部署方法。Netmaker支持UDP打洞、NAT穿透和多租户,并提供了跨平台的客户端。通过定时签到更新配置,实现全互联网络拓扑。此外,还介绍了如何通过docker-compose部署Netmaker,并解析了其主要功能,如网络、节点、访问秘钥和DNS管理。文章最后预告了下篇将详细讲解如何配置Linux、macOS和手机客户端的WireGuard全互联模式。

7bed2c17306d6af49e5b9fb8f93763ce.gif

大家好,我是米开朗基杨。

关注我的读者应该都还记得我之前写过一篇 👉WireGuard 全互联模式 (full mesh) 的配置指南,限于当时还没有成熟的产品来帮助我们简化全互联模式的配置,所以我选择了使用可视化界面 👉wg-gen-web 来达成目的。但 👉wg-gen-web 的缺陷也很明显,它生成的每一个客户端的配置都要手动调整,终究还是不够便利。

今天我将为大家介绍一种更加完美的工具来配置 WireGuard 的全互联模式,这个工具就是 Netmaker[1]

由于篇幅原因,本系列文章将会分成两篇进行介绍。本篇文章介绍 Netmaker 的工作原理和功能解读;下一篇文章将会介绍如何使用 Netmaker 来配置 WireGuard 全互联模式。

Netmaker 介绍

Netmaker 是一个用来配置 WireGuard 全互联模式的可视化工具,它的功能非常强大,不仅支持 UDP 打洞、NAT 穿透、多租户,还可以使用 Kubernetes 配置清单来部署,客户端几乎适配了所有平台,包括 Linux, Mac 和 Windows,还可以通过 WireGuard 原生客户端连接 iPhone 和 Android,真香!

其最新版本的基准测试结果显示,基于 Netmaker 的 WireGuard 网络速度比其他全互联模式的 VPN(例如 Tailscale 和 ZeroTier)网络速度快 50% 以上。

Netmaker 架构

5ee5ae2db3fa510390ae7fbcccedb4dd.png

Netmaker 使用的是 C/S 架构,即客户端/服务器架构。Netmaker Server 包含两个核心组件:用来管理网络的可视化界面,以及与客户端通信的 gRPC Server。你也可以可以选择部署DNS服务器(CoreDNS)来管理私有DNS。

客户端(netclient)是一个二进制文件,可以在绝大多数 Linux 客户端以及 macOS 和 Windows 客户端运行,它的功能就是自动管理 WireGuard,动态更新 Peer 的配置。

注意:这里不要将 Netmaker 理解成我之前的文章所提到的👉中心辐射型网络拓扑。Netmaker Server 只是用来存储虚拟网络的配置并管理各个 Peer 的状态,Peer 之间的网络流量并不会通过 Netmaker Server。

Netmaker 还有一个重要的术语叫签到,客户端会通过定时任务来不断向 Netmaker Server 签到,以动态更新自身的状态和 Peer 的配置,它会从 Netmaker Server 检索 Peer 列表,然后与所有的 Peer 建立点对点连接,即全互联模式。所有的 Peer 通过互联最终呈现出来的网络拓扑结构就类似于本地子网或 VPC。

Netmaker 部署

Netmaker 支持多种部署方式,包括二进制部署和容器化部署,容器化部署还支持 docker-compose 和 Kubernetes。如果你没有可以暴露服务到公网的 Kubernetes 集群,我推荐还是直接通过 docker-compose 来部署,简单粗暴。

官方推荐的做法是使用 Caddy 或 Nginx 来反向代理 Netmaker UI、API Server 和 gRPC Server,但我的域名没有备案,我也怕麻烦,就直接通过公网 IP 来提供服务了。如果你也想通过公网域名来暴露 Netmaker 的服务,可以参考 Netmaker 的官方文档[2]

本文的部署方案将直接通过公网 IP 来提供服务,首先需要安装 docker-compose,安装方法可以参考 Docker 官方文档[3]

安装完 docker-compose 后,再下载 docker-compose 的 YAML 配置清单:

$ wget https://cdn.jsdelivr.net/gh/gravitl/netmaker@master/compose/docker-compose.yml

现在还不能直接部署,需要根据自己的实际环境对配置清单进行修改。例如,我修改后的配置清单内容如下:




                

        

    


  


        

            

                      
                        最低0.47元/天 解锁文章
                          
                      
            

        


    



                



	

		

			

				
					
8 卡 GPU 服务器与 NVLink/NVSwitch 互联技术

				
			

			

				

					烟云的计算
				

				

					02-06
					
					3300
					
				

			

		

		

			
				
NVLink 是一种点对点的高速互连技术,单条 NVLink 就是一条双工双路信道,每条 NVLink 链路可以将 2 个 GPU 直连起来,并且每个 GPU 可以提供多条 NVLink 接口连接多个 GPU。另外,PCIe Switch 互联拓扑中的 GPU 之间可能存在 GPU0→Switch0→CPU0→CPU1→Switch1→GPU7 的通信链路,它的通信不可避免的存在一定的延迟,因而更适合用于对信号效率不敏感且追求性价比的使用场景,如:推理、云计算等领域。本文讨论的是单机 GPU 卡间互联

			
		

	



                

            
              



	

		

			

				
					
【愚公系列】2023年12月 WPF+上位机+工业互联 070-MVVM模式中CommandManager、预置命令、RouteCommand、RoutedUICommand

					
热门推荐

				
			

			

				

					时光隧道
				

				

					10-02
					
					4万+
					
				

			

		

		

			
				
CommandManager是一个Unity内置的工具,用于管理和执行命令。它可以用来注册、执行和撤销命令,以及在需要时保存和恢复场景状态。CommandManager还可以与Unity的序列化系统结合使用,以便将命令序列化为文件,使其能够在场景之间传输和共享。预置命令是CommandManager中的一种特殊类型的命令,它被保存在项目中作为资源。预置命令可以方便地用于执行常见的、重复的任务,而无需编写大量的自定义代码。例如,一个预置命令可以用于设置场景中的一些常见属性,如摄像机位置、光照强度等。

			
		

	



              


  
              

                


	

		

			

				
					
使用WireGuard组建大内网环境

				
			

			

				

					heStudio
				

				

					10-01
					
					1769
					
				

			

		

		

			
				
本次我们搭建 WireGuard 所利用的就是专用网络(可以理解为局域网)这个属性,使得我们可以使用安的方式链接到我们的局域网中的设备。并防止未经授权的登陆。
我们可以使用 WireGuard 建立专用网络环境,但是我们的所有局域网节点设备均没有公网 IP,无法建立连接,需要有一台在公网环境下的服务器用于中转流量。我们在公网服务器上搭建 WireGuard 的服务端,然后让每个局域网节点设备均作为客户端进行工作。

			
		

	





	

		

			

				
					
网络通信NetClient实现

				
			

			

				

					zhuzhu_YT的博客
				

				

					11-14
					
					779
					
				

			

		

		

			
				
上一集我们就完成了数据中心类的内容,那么我们开始需要进行网络的通信,我们这一集就要封装一个类来帮我们实现网络上的通信。

			
		

	



		

			
		



	

		

			

				
					
别再被动态IP困扰了!3步实现Docker Compose固定IP与子网规划

					
最新发布

				
			

			

				

					ProcePerch的博客
				

				

					11-03
					
					1129
					
				

			

		

		

			
				
摆脱容器IP频繁变动困扰,掌握Docker Compose网络自定义子网配置三步法。适用于多服务互联、生产环境部署等场景,通过固定IP和子网规划提升网络稳定性与可维护性,运维效率显著提升,值得收藏。

			
		

	





	

		

			

				
					
通过WireGuard搭建隧道实现内网穿透

				
			

			

				

					谭宇
				

				

					08-20
					
					6210
					
				

			

		

		

			
				
1、安装wireguard

官方安装手册:https://www.wireguard.com/install/

docker安装:https://hub.docker.com/r/linuxserver/wireguard


WireGuard 的安装条件非常苛刻,对内核版本要求极高,不仅如此,在不同的系统中,内核,内核源码包,内核头文件必须存在且这三者版本要一致,Red Hat、CentO...

			
		

	





	

		

			

				
					
局域网组建(二) OpenWrt作为一般节点接入WireGuard组建的跨地域局域网

				
			

			

				

					Cx2008Lxl的博客
				

				

					09-02
					
					1万+
					
				

			

		

		

			
				
本实验将OpenWrt作为一般节点(不提供网关功能的客户端)接入WireGuard组建的跨地域局域网,实现与局域网内其他机器的通信。

			
		

	





	

		

			

				
					
WireGuard 中文教程:使用 Netmaker 快速组建 WireGuard 互联 (Full Mesh) 网络

				
			

			

				

					easylife206的专栏
				

				

					01-14
					
					1万+
					
				

			

		

		

			
				
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !每日言论创业者要做两件事:第一件是弄清楚要做什么,第二件就是去做。但是,大多数创业者不认为第一件事很重要,...

			
		

	





	

		

			

				
					
WireGuard 组网教程:快速构建安高效的私密网络并实现内网穿透

				
			

			

				

					pursuit的博客
				

				

					11-16
					
					3万+
					
				

			

		

		

			
				
通过阅读本文,读者将了解 WireGuard 的基本概念和原理,学会安装和配置 WireGuard,以及如何使用 WireGuard 实现内网穿透。此外,还介绍了一些与 WireGuard 相关的工具,以帮助读者更好地管理和使用 WireGuard

			
		

	





	

		

			

				
					
组网神器wireguard快速入门及常见问题

				
			

			

				

					loserbai的博客
				

				

					09-23
					
					1万+
					
				

			

		

		

			
				
由 Jason Donenfeld 等人用 C 语言编写的一个开源 威屁恩 协议,被视为下一代 威屁恩 协议,旨在解决许多困扰IPSec/IKEv2、Open威屁恩 或 L2TP 等其他 威屁恩 协议的问题。它与 Tinc 和 MeshBird 等现代 威屁恩 产品有一些相似之处,即加密技术先进、配置简单。从 2020 年 1 月开始,它已经并入了 Linux 内核的 5.6 版本,这意味着大多数 Linux 发行版的用户将拥有一个 开箱即用的 WireGuard

			
		

	





	

		

			

				
					
【愚公系列】2023年11月 WPF+上位机+工业互联 065-MVVM模式的介绍

				
			

			

				

					时光隧道
				

				

					08-30
					
					2万+
					
				

			

		

		

			
				
MVVM(Model-View-ViewModel)是一种软件架构模式,它将应用程序的界面(视图)与应用程序的后端逻辑(模型)分离开来。ViewModel作为连接视图和模型的桥梁,使得视图可以独立于模型进行维护和更新,同时也为视图提供了一个方便的接口来获取和更新模型数据。上位机是指与下位机相对应,它通常是指一个单独的计算机或计算机网络,用于监视和控制下位机。上位机通常运行着一个图形界面程序,提供一系列的操作和显示界面,用于和下位机进行通信和控制。

			
		

	





	

		

			

				
					
wgsd:一个CoreDNS插件,可通过DNS-SD语义提供WireGuard对等信息

				
			

			

				

					05-01
				

			

		

		

			
				
wgs​​d
 wgsd是一个插件,可通过DNS-SD(  )语义提供WireGuard对等信息。 这样可以启用以下用例:
 从中央注册表构建WireGuard对等体的网格
动态发现WireGuard端点寻址(IP地址和端口号)
 支持NAT到NAT WireGuard连接。
 请参阅,以深入了解基础技术和开发思想。
安装
二进制版本可。
 每个发行版包含2个二进制文件:
 coredns具有所有“内部”插件+ wgsd CoreDNS服务器
wgsd-client一个示例客户端
从源头建造
可以通过以下两种方式之一启用外部CoreDNS插件:
对于方法2,您可以简单地go build 的内容。 生成的二进制文件是带有所有“内部”插件+ wgsd CoreDNS服务器。
 % go build
% ./coredns -plugins | grep wgsd
  dns.wgsd
基本客户

			
		

	





	

		

			

				
					
wgconfig:具有多个客户端的Wireguard配置生成。 跨平台独立二进制

				
			

			

				

					03-27
				

			

		

		

			
				
wgconfig
 用于生成具有多个客户端的wireguard配置的程序。 跨平台二进制文件(在Windows和Linux上进行了测试),dotnet 5.0和wg二进制文件是必需的。
用法
dotnet wgconfig.dll --config <服务器IP> <服务器端口> <客户端计数>
例子
这将为服务器和200个客户端生成现成的配置文件:
 dotnet wgconfig.dll --config 195.201.201.32 51820 200

			
		

	





	

		

			

				
					
qubes-wireguard

				
			

			

				

					03-16
				

			

		

		

			
				
描述
Qubes OS中Fedora 33模板的Wireguard配置脚本,其在dom0中至少运行内核5.4。 设置完成后,您将具有以下优势:
 可重用的线卫模板
由wg-quick管理的Wireguard VPN,在启动时自动启动
正确配置的防火墙仅将流量转发到VPN
 TCP MSS钳位,以避免在用作网络提供程序时出现MTU问题
通过Qubes的DNS DNAT规则处理的Wireguard DNS
可重复使用的线卫模板
首先将fedora 33模板克隆到例如fedora-33-wireguard 。 然后在此模板中安装Wireguard工具。 我还喜欢包括几个额外的工具,以使疑难解答更加容易。
 sudo dnf install -y wireguard-tools tcpdump bind-utils bash-completion
sudo rm -r /etc/wireguard

			
		

	





	

		

			

				
					
WireGuardServer:WireGuard构造,部保持替换设置,不做特殊修改

				
			

			

				

					02-17
				

			

		

		

			
				
WireGuard服务器
警告 :warning: :此技术仅限用于个人构建游戏加速器使用!!!如果使用其他违法目的,后果自负!!!
 WireGuard构建(部从官方源下载附件,不做拦截规则等配置,交替打开谷歌原版BBR)
国内服务器直接运行(仅支持CentOS7):
 yum install -y gcc wget && curl https://cdn.jsdelivr.net/gh/HXHGTS/WireGuardServer/hosts > /etc/hosts && wget https://cdn.jsdelivr.net/gh/HXHGTS/WireGuardServer/WireGuard.c -O WireGuard.c && chmod +x WireGuard.c && gcc -o WireGuard WireGuard.c && chmod +x WireGuard && .

			
		

	





	

		

			

				
					
Wireguard 互联模式(full mesh)权威指南

				
			

			

				

					云原生实验室
				

				

					02-24
					
					6944
					
				

			

		

		

			
				
高清架构图可以订阅博客查看:https://fuckcloudnative.io前言上篇文章给大家介绍了如何????使用 wg-gen-web 来方便快捷地管理 WireGuard 的配置...

			
		

	





	

		

			

				
					
wireguard full mesh组网

				
			

			

				

					yu695460119的博客
				

				

					04-04
					
					702
					
				

			

		

		

			
				
4 编辑database.csv文件(该文件位于C:/ws/wireguard)打开命令行,安装wg-meshconf(pip路径随个人而异)如上所示 ,wireguard full mesh组建完成。配置文件位于C:/ws/wireguard/output。注意:掩码与ip要对齐,endpot为对外ip。6 生成wireguard配置文件。1 安装wg-meshconf。重命名为wg0.conf。服务器预安装ansible。预安装anaconda3。7 上传配置文件至服务器。3 生成csv初始文件。

			
		

	





	

		

			

				
					
使用8条命令即可完成的VPN配置!CentOS快速配置WireGuard互联组网

				
			

			

				

					衡水铁头哥的博客
				

				

					02-22
					
					3632
					
				

			

		

		

			
				
正文共:3562 字 11 图,预估阅读时间:9 分钟之前也听说过WireGuard,身边也有不少亲戚朋友在用,听说是一种极其简单但快速且现代的 VPN。它的目标是比IPsec更快、更简单、更精简、更有用,比 OpenVPN 性能更高。WireGuard利用先进的加密技术,并且覆盖了几乎所有的常见的操作系统,可以广泛部署。据说目前被认为是业内最安、最容易使用和最简单的 VPN 解决方案。之前讲I...

			
		

	





	

		

			

				
					
WireGuard

				
			

			

				

					早起早起的博客
				

				

					01-26
					
					430
					
				

			

		

		

			
				
WireGuard配置文件
vim /etc/wireguard/wg0.conf

[Interface]
PrivateKey = xxxxx
Address = xxxx

[Peer]
PublicKey = dS+mGKn4nvENxW1tuwaiYR1Sx+75F6mIE1Y9Fxw3NlA=
Endpoint = xxxxx
AllowedIPs = 0.0.0.0/0

wg-quick
WireGuard用来启动网络设备的“脚本”
1、up
2、down

...

			
		

	





	

		

			

				
					

				
			

			

				

					
				

			

		

		

			
				

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		
评论 2

	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值