不使用静态 IP 地址连接到 AWS 私有子网

我没有使用过 OpenVPN，但是，通过简单的 wireguard 设置，您可以拥有一个可以允许访问任意数量的私有子网的 wireguard 服务器。

在这个例子中，10.xx.xx.x是我的私有子网，192.168.x.x是我的 wireguard 网络。

1. 选择或设置一台专用机器作为 wireguard 服务器，并设置基本配置。例如服务器端

[Interface]
Address = 192.168.200.1
PrivateKey = ...
ListenPort = 51820

[Peer] # Enes home computer
PublicKey = ...
AllowedIPs = 192.168.200.2

和客户端

[Interface]
PrivateKey = ...
Address = 192.168.200.2
ListenPort = 51820

[Peer]
PublicKey = ...
Endpoint = your.wg.server
AllowedIPs = 192.168.200.1/32, 10.0.0.0/8  # We can route whatever we want!

2. 配置 wireguard 服务器以允许 ip 转发，例如使用 sysctl 设置：

sysctl -w net.ipv4.ip_forward=1
sysctl -w net.ipv6.conf.all.forwarding=1

3. 配置 wireguard 服务器以允许伪装，例如使用firewalld，在 wireguard 接口所在的区域（例如内部）上设置自定义规则

firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.211.0/24" masquerade' --permanent
firewall-cmd --reload

就是这样。使用wg来验证 wireguard 是否正常工作，并且您应该能够 ping 10.x.x.xwireguard 服务器可以 ping 的任何地址。

我使用单个 wireguard 服务器 VM 针对包含数百台机器的数十个私有子网运行此设置。