8.8. 使用 nm-connection-editor 配置 WireGuard 服务器

流程

1. 打开终端窗口，输入：

   # nm-connection-editor

   Copy to Clipboard Toggle word wrap
2. 点 + 按钮添加新连接。
3. 选择 WireGuard 连接类型，然后点 Create。
4. 可选：更新连接名称。
5. 在 General 选项卡中，选择 Connect automatically with priority。另外，还可设置优先级值。

6. 在 WireGuard 选项卡中：

   1. 输入虚拟接口的名称，如 wg0，这是 NetworkManager 应分配给连接的名称。
   2. 输入服务器的私钥。

   3. 为传入的 WireGuard 连接设置侦听端口号，如 51820。

      在主机上始终设置固定端口号，接收传入的 WireGuard 连接。如果您没有设置端口，WireGuard 会在每次激活接口时都使用一个随机的空闲端口。

   4. 点 Add 添加对等点：

      1. 输入客户端的公钥。
      2. 将 Allowed IP 字段设置为允许向这个服务器发送数据的客户端的隧道 IP 地址。
      3. 点应用。

7. 在 IPv4 设置 标签页中：

   1. 在 Method 列表中选择 Manual。
   2. 单击 Add 来输入隧道 IPv4 地址和子网掩码。将 Gateway 字段留空。

8. 在 IPv6 设置 标签页中：

   1. 在 Method 列表中选择 Manual。
   2. 单击 Add 来输入隧道 IPv6 地址和子网掩码。将 Gateway 字段留空。
9. 点 Save 存储连接配置集。
10. 如果您在具有 DHCP 或无状态地址自动配置(SLAAC)的网络中使用此主机，则连接可能容易被重定向。有关详情和缓解步骤，请参阅将 VPN 连接分配给专用路由表，以防止连接绕过隧道。

验证

1. 显示 wg0 设备的接口配置：

   # wg show wg0
   interface: wg0
     public key: UtjqCJ57DeAscYKRfp7cFGiQqdONRn69u249Fa4O6BE=
     private key: (hidden)
     listening port: 51820
   
   peer: bnwfQcC8/g2i4vvEqcRUM2e6Hi3Nskk6G9t4r26nFVM=
     allowed ips: 192.0.2.2/32, 2001:db8:1::2/128

   Copy to Clipboard Toggle word wrap

   要在输出中显示私钥，请使用 WG_HIDE_KEYS=never wg show wg0 命令。

2. 显示 wg0 设备的 IP 配置：

   # ip address show wg0
   20: wg0: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000
       link/none
       inet 192.0.2.1/24 brd 192.0.2.255 scope global noprefixroute wg0
          valid_lft forever preferred_lft forever
       inet6 2001:db8:1::1/32 scope global noprefixroute
          valid_lft forever preferred_lft forever
       inet6 fe80::3ef:8863:1ce2:844/64 scope link noprefixroute
          valid_lft forever preferred_lft forever

   Copy to Clipboard Toggle word wrap