V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
爱意满满的作品展示区。
enrolls

BoringTun 不做 manager,那我用 Rust 做一个: WG-FRIEND

  •  
  •   enrolls ·
    harmonsir · 1 天前 · 507 次点击

    最近在折腾一个项目:WG-FRIEND

    一句话介绍:

    Semantic WireGuard/BoringTun lifecycle and client management helper

    它的出发点其实很简单: 我这边最近比较常见的几个场景,是需要一台比较稳定的服务器做跨网络访问,需要远程回家,也需要把多台设备之间的 WireGuard 生命周期管理得更清楚一些。

    但我一直觉得,现有这类方案里有个空档:

    • wg-quick 很好用,但更像“把接口拉起来”的工具
    • PiVPN 这类方案很适合快速起量,但整体还是偏 shell/script orchestration
    • BoringTun 很强,尤其是 Rust userspace WireGuard 这条路线很有价值,但它本身并不负责 manager / control plane

    所以用 Rust 实现wg-friend 就此开始:将“拉起接口 / 管理服务 / 管理客户端 / 导入历史资产 / 做诊断”这些事情,从零散脚本提升成一个语义更明确的 control plane 。

    目前这个项目主要做了几件事:

    1. 把 WireGuard/BoringTun 的操作语义化

    命令面我切成了四组:

    • server
    • client
    • service
    • doctor

    我不太想继续沿用“全靠 shell 拼起来”的方式,而是想把常用动作收敛成更稳定的 CLI 语义。

    2. 不再把客户端状态散落在各处

    wg-friend 会把可完整物化的客户端,纳入 /etc/wg-friend 下面的 canonical state 。

    也就是说,进入管理域的前提不是“这个客户端貌似存在过”,而是它必须足够完整,能产出:

    • 元数据
    • 标准导出配置
    • QR-ready payload

    3. 给历史部署一条 import 路径

    很多现有机器并不是从零开始的,已经有 /etc/wireguard、有过去导出的 client conf 、也可能混着 PiVPN 或手工维护的文件。

    所以我做了 client import,去扫描本地已有客户端配置,校验完整性,推导公钥,对上 server peer set ,然后再写入 wg-friend 的 canonical state 。

    我更希望这个项目能做的是:

    让旧部署渐进迁移,而不是推倒重来。

    4. 明确和 systemd / BoringTun 的职责边界

    这里我比较明确的设计是:

    • systemd 去负责长期进程监督
    • wg-friend 去负责 preflight / configure / verify / cleanup
    • BoringTun 去负责 userspace WireGuard tunnel
    • wg-friend 不去碰协议实现,而是做 manager/control plane

    协议实现、服务托管、运维语义,这三层最好不要混成一团。

    5. Rust 实现,不做 TUI ,优先可维护性

    这个项目是 Rust 写的。 我没有做 TUI ,而是更偏向:

    • 命令优先
    • 缺参时再 prompt
    • 输出尽量语义化
    • 诊断尽量可读
    • systemd 场景下行为尽量稳定

    我想做的不是“一个很炫的界面”,而是一个真正能放到服务器上长期跑的 WireGuard/BoringTun helper 。


    我现在对它的定位,大概就是:

    BoringTun 不做 manager ,那这一层我来做。

    如果你也有下面这些场景:

    • 需要一台稳定的服务器承载 WireGuard/BoringTun
    • 有远程回家需求
    • 有多客户端管理、导出、二维码分发需求
    • 机器上已经有历史 WireGuard 资产,不想推倒重来
    • 希望整个 lifecycle 比 wg-quick + shell 更清晰一些

    欢迎看看,也欢迎直接拍砖。

    目前还是比较早期,主要先把管理模型、状态模型和生命周期边界打清楚。

    5 条回复    2026-04-22 15:49:09 +08:00
    DejavuMoe
        1
    DejavuMoe  
       21 小时 48 分钟前 via iPhone
    不是……而是……
    很……但……

    好浓的 AI 味🫪🫪
    enrolls
        2
    enrolls  
    OP
       19 小时 51 分钟前
    @DejavuMoe 哦,主要懒... 下次都是 I 哥写,但是会控制一下,不 I 。主要想说的是:用了 BoringTun ,然后 合并了 “wg-quick” + “PiVPN ”,变成全程 rust 。顺带改了文件管理的模式,理论上我私有仓的版本支持云配置。最大的好处是,ALL-IN-ONE 一个软件处理了 service init, client manage, doctor tell me the best MTU 。 全文完。
    mywaiting
        3
    mywaiting  
       19 小时 23 分钟前
    不提各种 userspace wireguard 的实现,以内核原生的 wg 来说

    不知道为什么,现在的 wg 管理工具都爱搞自己一套配置,以至于 wg config 各种不透明

    明明 /etc/wireguard/wg0.conf 就是其配置文件,非要单独搞一套配置,搞得两边的配置语法都要看一遍

    我倒是希望有个管理面板能实现:client-server 的结构,client 部分在每个服务器本地负责 upload/download 服务器对当前机器的配置并负责版本比对,server 部分就是系列 wg0.conf 文件编辑/版本保存工具

    这样的设计下,wg0.conf 就是配置数据库本身,控制面只是方便控制网络存在,事实上整个 wireguard 网络可以脱离控制面运行,甚至必要情况下,你可以手动管理/编辑 wg0.conf 而无需关心控制面的管理

    不知道是不是我误解各大管理工具实现,还没有发现有这样的实现,等我有空再 vibe 一个试试看

    PS 上面管理面板可以丢 cf worker 简直完美
    enrolls
        4
    enrolls  
    OP
       16 小时 40 分钟前
    @mywaiting 你讲得一点都没错 /etc/wireguard/wg0.conf 就是其配置文件,我考虑过最终一致性的问题,你原本的 wireguard/wg0.conf 可以配,import 会有最终一致性;当前的阶段没有搞一套独立的,只是改变了 wireguard 的组织配置的方式。为后面做 “云配置” 做准备,哪怕冻结当前版本,当前除了 bugfix,发布即终版。 我自己是认为 “不需要本地控制面”,纯云端控制的,本地的控制只是 backup. 不过最快的落地,还是先做了这个版本。

    “PS 上面管理面板可以丢 cf worker 简直完美” 最后的形态肯定是这个,不过这个特性可能就不会 release public 。
    mywaiting
        5
    mywaiting  
       12 小时 44 分钟前
    @enrolls 一致性的问题并不用怎么刻意解决

    默认情况下,本地 wg0.conf 配置经过解析后会形成 JSON 与服务器同步,每次同步都会比对 md5(wg0.conf) 理论上所有服务器都由 server 管理,可以自由 upload/download 当前配置

    唯一例外就是手动编辑了 wg0.conf 改变了 md5 此时服务器认为当前 wg0.conf 已经脱离控制,不会再自由从 server 下载并覆盖配置,而是必须本地执行一遍类似 manual sync server-config 的强制手动同步过程(提前在 server 已经配置好)即可

    最后就是,面板丢上 cf worker 运行这个,有接口实现后直接 vibe 一下很简单的

    以目前 codex 的水平,免费账号都能 vibe 出来一个成品,release public 与否并不重要
    关于   ·   帮助文档   ·   自助推广系统   ·   博客   ·   API   ·   FAQ   ·   Solana   ·   964 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 32ms · UTC 20:33 · PVG 04:33 · LAX 13:33 · JFK 16:33
    ♥ Do have faith in what you're doing.