개념적으로 단순
WireGuard 가 움직이는 부품 몇 개뿐. 이게 클릭하면 config 가 분명히 말됨.
- Interface — 가상 네트워크 어댑터 (예:
wg0). 각 장치가 자기 private key 와 VPN 서브넷의 IP 가진 거 하나 가짐. - Peer — 이거랑 대화하길 원하는 다른 장치, public key 로 식별.
- Endpoint — peer 의 진짜 IP:port (서버처럼 "항상 도달 가능" 이어야 하는 peer 만 필요).
- AllowedIPs — 어떤 destination IP 가 특정 peer 한테 터널 통해 라우팅돼야 하는지.
0.0.0.0/0= 다;10.0.0.2/32= 그 한 IP 만.
SSH 비유
WireGuard 인증이 거의 정확히 SSH authorized_keys 처럼:
| SSH | WireGuard |
|---|---|
| 키 페어 생성 | 키 페어 생성 |
authorized_keys 에 public key 설치 | [Peer] block 에 public key 추가 |
| Private key 머신 안 떠남 | 같음 |
| Hostname 으로 연결 | Endpoint 로 연결 ("server" peer 만) |
SSH 키 (Track 2) 이해했으면 이미 WireGuard 신뢰 모델 이해.