一款基于 Rust WireGuard 的轻量级去中心化 SD-WAN三行命令打通 NAT 内网零配置实现全球任意节点直连。一、引言痛点与场景你是否遇到过这些困扰远程办公难题。公司服务器只在内网环境回家后 SSH 连不上、GitLab 访问不了、数据库查不了——要么找 IT 开 VPN 账号要么在单位机房蹲到半夜。团队协作障碍。跨地区开发团队A 地的开发者需要直接访问 B 地测试环境的数据库端口映射、IP 白名单、防火墙规则……一套流程下来半小时过去了。家庭网络隔离。NAS、软路由、Home Assistant……家里十来个设备每个都在 NAT 后面手机在外面想访问家里摄像头必须走厂商云转发不仅慢数据还经过第三方。异地服务器组网。多台云服务器在不同的 VPC 里互相不能直接用内网 IP 通信只能走公网暴露端口。这些场景的共同问题是NAT 壁垒。传统的 VPNOpenVPN、WireGuard需要中心服务器中转流量需要预先配置 IP 和密钥需要维护证书。Tinc、ZeroTier 虽然支持 mesh但配置复杂、文档晦涩小团队用起来门槛很高。EasyTier 的出现就是为了用最简单的方式解决这些问题不依赖中心服务器节点之间直接通信 NAT 穿透失败时优雅降级不存在断网就全网瘫痪的单点故障。二、项目简介EasyTier 是一个用 Rust 编写的轻量级去中心化 SD-WAN最新版本为 v2.6.3截至 2026 年 5 月License 为 AGPL-3.0GitHub 已有超过 11,200 颗 Stars 和 1,100 个 Fork。核心设计目标是极简配置 强安全性 真正的去中心化。与传统 VPN 不同EasyTier 节点之间通过 P2P 直连流量不经过中心服务器即使某个节点宕机也不会影响整个网络。技术栈方面核心引擎完全使用 Rust Tokio 异步运行时实现数据面性能极强控制面提供了多端实现桌面端 easytier-gui基于 Tauri Vue3、Web 控制台 easytier-webAxum、移动端 EasyTier-iOSSwiftUI覆盖 Windows / macOS / Linux / Android / iOS / HarmonyOS 等所有主流平台。指标数值GitHub Stars11.2kFork1.1k最新版本v2.6.3LicenseAGPL-3.0主要语言Rust核心/ Vue3GUI三、系统架构▲ 图1EasyTier 系统架构图EasyTier 采用分层模块化设计从上到下分为四层上层应用层包含 easytier-guiTauri Vue3 桌面客户端、easytier-webAxum Web 控制台和 EasyTier-iOSSwiftUI 移动端。GUI 层只负责配置下发和状态展示不参与数据面转发。RPC 层基于 gRPC Protobuf 实现节点间通信同时支持 HTTP/WebSocket 客户端接入方便浏览器端或轻量级设备管理控制面。核心引擎层是整个系统的关键包含 core配置加载与 CLI 入口、peer_center节点发现模块、peers对等体连接管理和 vpn_portalTUN 网卡接口负责将 VPN 流量映射到系统网络栈。核心引擎不感知隧道细节只负责路由决策。隧道层是 EasyTier 的核心竞争力所在实现了多协议栈并行UDP最低延迟适合对等双方都是 FullCone NAT 的场景WireGuard内核级别的加密隧道协议性能极佳QUIC基于 UDP 的多路复用协议抗丢包能力强WSSWebSocket Secure穿透 HTTPS 443 端口可绕过绝大多数防火墙限制FakeTCP模拟 TCP 行为用于 UDP 被阻断的严格网络环境连接层负责实际打通连接路径包含直连双方有公网 IP 时、UDP 打洞双方中有一方为 FullCone NAT 时和 TCP 打洞对称型 NAT 环境下的兜底方案。▲ 图2P2P 连接建立流程节点发现方面EasyTier 通过共享节点Shared Node实现初始引导。新节点启动后连接到任意一个已知的共享节点注册自身网络信息从而获得网络中其他节点列表。这个引导节点不参与任何数据转发仅用于控制面信息交换关闭后不影响已有节点间的通信。四、核心特性解析多协议隧道自动降级▲ 图3运行状态界面展示多协议隧道协商与实时流量EasyTier 根据网络状况自动选择最优协议。UDP 直连最优先延迟最低当 UDP 无法穿透时依次降级到 WSS443 端口→ TCP 中继。全程对上层透明工程师无需关心底层实现。网络波动时协议可以动态切换比如建立时走 UDP中途 NAT 表老化后自动升级到 WSS 保持连接。零配置 NAT 穿透EasyTier 内置 UDP 打洞和 TCP 打洞模块。在 FullCone NAT 环境下两个节点可以直接建立 P2P 连接不需要任何端口映射配置。即使面对对称型 NAT打洞极难成功也可以通过共享节点中继的方式保证网络连通性。▲ 图5EasyTier 多平台客户端界面覆盖桌面与移动端全平台统一体验从树莓派ARMv7到云服务器X86_64从 macOS 到 AndroidEasyTier 提供一致的二进制分发包安装脚本一条命令完成。OpenWrt 路由器还有专门的 luci-app-easytier 管理界面可以将路由器变成网络出口节点家庭设备无论在世界任何角落都可以通过路由器 NAT 出去。▲ 图4网络实例配置界面支持多实例并行独立配置网络实例隔离EasyTier 支持多实例Instance并行每个实例有独立的网段、加密密钥和成员列表。可以将「办公网络」和「开发网络」完全隔离互不干扰或者用 Instance 标签区分不同项目组。高性能 Rust 数据面核心网络处理逻辑完全用 Rust 编写借助 Tokio 异步运行时实现极高的并发处理能力。实测单节点可稳定支撑数千个并发连接CPU 占用极低长时间运行无内存泄漏。加密与安全WireGuard 协议使用 Curve25519 非对称加密、ChaCha20-Poly1305 数据包认证、AES-GCM 硬件加速加密。密钥管理采用 ECDH椭圆曲线 Diffie-Hellman每次会话都会刷新临时公私钥对前向保密Forward Secrecy有保障。Web 控制台零门槛管理easytier.cn/web 提供了在线 Web 控制台可以图形化配置节点、查看网络拓扑、监控流量统计。不需要安装任何客户端直接在浏览器里操作适合运维团队集中管理。公共共享节点开箱即用EasyTier 官方维护了公共共享节点Shared Node新用户无需自建引导节点三行命令安装后直接加入官方公共网络省去了复杂的网络架构设计环节。五、快速上手环境要求Linux / macOS / Windows各平台均有预编译二进制支持架构X86_64、ARM64、ARMv7、MIPS安装命令Linux/macOScurl-fsSLhttps://github.com/EasyTier/EasyTier/blob/main/script/install.sh?rawtrue|sudobashWindows 安装irmhttps://github.com/EasyTier/EasyTier/blob/main/script/install.ps1?rawtrue|iex启动并加入公共网络# 启动 EasyTier默认连接到官方公共节点easytier# 或指定网络名称easytier --network-name my-vpn验证连通性# 查看分配的虚拟 IPeasytier show# 测试访问其他节点ping10.144.144.2预编译二进制所有平台如果脚本安装不成功也可以直接下载 Release 页面预编译好的二进制文件https://github.com/EasyTier/EasyTier/releases零安装体验EasyTier 官方提供了 Web 控制台可以在线体验基础配置功能https://easytier.cn/web六、实战演示以下演示如何用 EasyTier 将两台处于 NAT 后面的云服务器组成虚拟局域网实现 SSH 直连。场景描述服务器 A阿里云上海节点公网 IP 119.XX.XX.1NAT 类型为 FullCone服务器 B腾讯云北京节点公网 IP 150.XX.XX.2NAT 类型为对称型打洞困难目标服务器 A 和 B 通过 EasyTier 分配的虚拟 IP 10.144.144.1 和 10.144.144.2 直接通信不走公网 IP 连接Step 1安装 EasyTier两台服务器均执行curl-fsSLhttps://github.com/EasyTier/EasyTier/blob/main/script/install.sh?rawtrue|sudobashStep 2查看虚拟 IPA 节点easytier show# 输出类似10.144.144.1Step 3另一台服务器同样安装记下其 IPA 节点获取 B 节点 IP在服务器 A 上等待服务器 B 加入公共网络后执行easytier list-peers会看到 10.144.144.2 节点已在线。Step 4直接 SSH 直连sshroot10.144.144.2此时两台服务器无论 NAT 类型如何SSH 流量都经过 EasyTier 的 P2P 隧道传输。FullCone 侧服务器 A会主动维持到对称型侧服务器 B的连接即使 B 没有公网 IP 也能稳定连接。Step 5固定节点 ID可选每次重启后节点 ID 会变化可以通过配置文件固定mkdir-p~/.config/easytiervim~/.config/easytier/config.toml[core] device_name my-server-a七、技术亮点深度解析多协议隧道栈的协议协商机制EasyTier 的隧道层不是简单选择一个固定协议而是实现了协议协商Protocol Negotiation机制。当两个节点建立连接时首先交换双方支持的协议列表然后按优先级协商出双方都支持的最优协议组合。具体实现上EasyTier 在 Proto 层定义了TunnelProtocol枚举包含 UDP、WireGuard、QUIC、WSS、FakeTCP 五种。连接建立时双方通过 Protobuf 消息交换协议能力集再由tunnel模块选择最合适的协议。协商结果保存在 session 中后续数据包复用该协议。这种设计的优势在于协议切换对上层完全透明。比如初始协商为 UDP后续网络波动导致 UDP 丢包严重EasyTier 会自动降级到 WSS 并通知对方更新会话状态应用层感知不到任何变化。Rust 异步架构下的零拷贝网络栈EasyTier 核心网络处理使用 Tokio 的异步 I/O 模型但关键路径上实现了零拷贝Zero-Copy优化。数据包从 TUN 网卡进入后不经过额外的内存复制直接通过 Tokio 的io_uring接口投递到用户态。WireGuard 加密部分使用 AES-NI 硬件指令集在支持 AVX2 的 CPU 上加解密吞吐可达到网卡线速。具体实现上EasyTier 使用tokio-uring的zero_copy_write将数据直接 DMA 传输到网卡的 TX 队列跳过了传统read/write系统调用需要的内核/用户态拷贝。对于 UDP 隧道场景端到端延迟可以控制在 1-2ms 以内同城 IDC 环境。P2P 连接的 ICE-like 候选采集EasyTier 的 NAT 穿透机制借鉴了 WebRTC 的 ICEInteractive Connectivity Establishment思路。每个节点在启动时会采集多个「候选地址」Candidates本地局域网地址、公网出口地址、通过 STUN 获取的映射地址、以及通过中继节点发现的反向地址。连接建立时peer_center模块将这些候选地址打包发给对端对端逐个尝试直到找到一个可用的双向路径。这个过程与 ICE 的候选采集和连通性检测流程高度相似但针对 VPN 场景做了简化放弃了 TURN 中继的复杂授权机制改为 EasyTier 自研的 Shared Node 中继方案。八、相关资源GitHubhttps://github.com/EasyTier/EasyTier官方文档https://easytier.cnWeb 控制台https://easytier.cn/webRelease 下载https://github.com/EasyTier/EasyTier/releases