wg-easy vs WireGuard: GUI vs 명령줄
Source: Dev.to
WG‑Easy vs WireGuard GUI vs Command Line
개요
WireGuard는 빠르고, 간단하며, 안전한 VPN 프로토콜입니다. 하지만 설정을 어떻게 할지는 여러 가지 방법이 있습니다.
이 글에서는 세 가지 접근 방식을 비교합니다.
| 방법 | 장점 | 단점 |
|---|---|---|
| WG‑Easy (웹 UI) | - 웹 기반 UI - 자동 키 관리 - Docker 이미지로 손쉬운 배포 | - 추가 컨테이너가 필요 - UI가 제한적 |
| WireGuard GUI (앱) | - 로컬 GUI - 시스템 트레이 아이콘 - 복잡한 명령어 없이 설정 | - 플랫폼별 앱 필요 - 일부 고급 옵션 미지원 |
| Command Line | - 가장 가벼움 - 모든 옵션에 접근 가능 - 스크립트 자동화 용이 | - CLI에 익숙해야 함 - 실수 시 디버깅이 어려울 수 있음 |
1️⃣ WG‑Easy (Docker)
설치
docker run -d \
--name=wg-easy \
-e WG_HOST=your.domain.com \
-e PASSWORD=yourpassword \
-p 51820:51820/udp \
-p 51821:51821/tcp \
-v /path/to/wg-easy-data:/etc/wireguard \
weejewel/wg-easyWG_HOST: 클라이언트가 연결할 도메인 또는 IPPASSWORD: UI 로그인 비밀번호-v: 설정 파일을 영구 저장
UI 사용법
- 브라우저에서
http://your.server.ip:51821로 접속 - 로그인 후 Add Peer 버튼을 클릭
- 이름과 IP(예:
10.8.0.2/24) 입력 → Create - 생성된 QR 코드와 conf 파일을 클라이언트에 적용
Tip: Docker Compose를 사용하면 재시작 정책과 네트워크 구성을 한 번에 관리할 수 있습니다.
version: "3.8"
services:
wg-easy:
image: weejewel/wg-easy
container_name: wg-easy
environment:
- WG_HOST=your.domain.com
- PASSWORD=yourpassword
ports:
- "51820:51820/udp"
- "51821:51821/tcp"
volumes:
- ./wg-easy-data:/etc/wireguard
restart: unless-stopped2️⃣ WireGuard GUI (앱)
주요 클라이언트
| OS | 앱 | 다운로드 |
|---|---|---|
| Windows | WireGuard (공식) | https://www.wireguard.com/install/ |
| macOS | WireGuard (App Store) | https://apps.apple.com/app/wireguard |
| Linux (GNOME/KDE) | NetworkManager‑wireguard | sudo apt install network-manager-wireguard |
| Android | WireGuard | Play Store |
| iOS | WireGuard | App Store |
설정 흐름
- Import 버튼을 눌러
.conf파일을 불러오기 - UI에서 Activate 클릭 → 연결이 즉시 활성화
- Peers 탭에서 피어 정보를 추가/편집 가능
주의: GUI는 기본적인
AllowedIPs,Endpoint,PersistentKeepalive만 노출합니다.
고급 옵션(예:PreUp,PostDown스크립트)은 CLI에서 직접 편집해야 합니다.
3️⃣ Command Line (CLI)
기본 설정 파일 (/etc/wireguard/wg0.conf)
[Interface]
PrivateKey = <서버_프라이빗키>
Address = 10.8.0.1/24
ListenPort = 51820
# Optional: SaveConfig = true
[Peer]
PublicKey = <클라이언트_퍼블릭키>
AllowedIPs = 10.8.0.2/32
# Optional: PersistentKeepalive = 25서비스 관리
# 인터페이스 시작
sudo wg-quick up wg0
# 인터페이스 중지
sudo wg-quick down wg0
# 현재 상태 확인
sudo wg show스크립트 자동화 예시
#!/bin/bash
# 새로운 피어 추가 스크립트
PEER_NAME=$1
PEER_IP=$2
# 키 생성
wg genkey | tee ${PEER_NAME}_private.key | wg pubkey > ${PEER_NAME}_public.key
# 서버에 피어 추가
cat <<EOF >> /etc/wireguard/wg0.conf
[Peer]
PublicKey = $(cat ${PEER_NAME}_public.key)
AllowedIPs = ${PEER_IP}/32
EOF
# 변경 사항 적용
sudo wg-quick down wg0 && sudo wg-quick up wg0결론
| 상황 | 추천 방법 |
|---|---|
| 빠른 배포 및 웹 UI가 필요할 때 | WG‑Easy (Docker) |
| 데스크톱/모바일에서 클릭 몇 번으로 연결하고 싶을 때 | WireGuard GUI (공식 앱) |
| 최대 제어와 스크립트 자동화가 필요할 때 | Command Line |
각 방법은 서로 보완적이며, 동일한 WireGuard 프로토콜을 사용합니다.
필요에 따라 하나를 선택하거나, 여러 방식을 조합해도 무방합니다.
추가 자료
- WireGuard 공식 문서: https://www.wireguard.com/
- WG‑Easy GitHub: https://github.com/WeeJeWel/wg-easy
- NetworkManager‑wireguard: https://gitlab.com/wireshark/wireshark/-/issues/12345
Tip: 프로덕션 환경에서는
iptables혹은nftables로 포트와 트래픽을 제한하고,Fail2Ban으로 무차별 로그인 시도를 방어하세요.
빠른 판단
wg‑easy는 대부분의 자체 호스팅 사용자들이 WireGuard VPN 서버를 운영할 때 더 나은 선택입니다. 동일한 WireGuard 프로토콜을 그대로 사용하지만 클라이언트를 관리할 수 있는 깔끔한 웹 UI로 감싸져 있습니다. 구성 파일을 편집하는 대신 클릭 몇 번으로 VPN 클라이언트를 생성, 비활성화 및 폐기할 수 있습니다.
원시 WireGuard를 선택하는 경우는 제한된 하드웨어에서 커널 모드 성능이 필요하거나, WireGuard를 맞춤형 자동화 파이프라인에 통합하고 싶거나, 단순히 명령줄을 선호할 때뿐입니다.
이것은 두 가지 다른 VPN 프로토콜을 비교하는 것이 아니라 — wg‑easy는 WireGuard이며, 그 위에 웹 인터페이스가 추가된 것입니다.
WireGuard란 무엇인가?
WireGuard는 기본 VPN 프로토콜이자 커널 모듈입니다. /etc/wireguard/wg0.conf와 같은 설정 파일을 통해 구성하고, wg genkey로 키를 생성하며, 해당 파일들을 편집하여 피어를 관리합니다. 빠르고 안전하며 최소화된 설계이지만, 모든 관리가 수동으로 이루어집니다.
wg‑easy란?
wg‑easy는 WireGuard를 실행하고 웹‑기반 관리 인터페이스를 추가하는 Docker 컨테이너입니다. 브라우저를 통해 VPN 클라이언트를 생성하고 관리할 수 있습니다. 각 클라이언트는 다운로드 가능한 구성 파일과 모바일 설정을 위한 QR 코드를 받습니다. 내부적으로 동일한 WireGuard 구성 파일을 생성하고 동일한 WireGuard 인터페이스를 관리합니다.
기능 비교
| 기능 | WireGuard (raw) | wg‑easy |
|---|---|---|
| VPN 프로토콜 | WireGuard | WireGuard (same) |
| 클라이언트 관리 | 구성 파일을 수동으로 편집 | 웹 UI (생성/비활성화/폐기) |
| 모바일용 QR 코드 | qrencode 로 생성 | 내장 |
| 클라이언트 구성 파일 다운로드 | 서버에서 수동으로 복사 | 원클릭 다운로드 |
| 클라이언트 트래픽 통계 | wg show 명령 | 웹 UI 대시보드 |
| 비밀번호 보호 | 해당 없음 | 웹 UI 비밀번호 |
| 클라이언트 활성화/비활성화 | 구성에서 피어 제거/추가 | UI에서 토글 |
| DNS 설정 | 클라이언트 구성에서 수동 | 환경 변수로 설정 가능 |
| 다중 서버 지원 | 다중 wg 인터페이스 | 컨테이너당 단일 인스턴스 |
| 사용자 정의 라우팅 규칙 | 전체 iptables 제어 | 기본 (환경 변수 사용) |
| 커널 모듈 지원 | 예 (최고 성능) | 예 (호스트 커널 모듈 사용) |
| 설치 방법 | 패키지 매니저 / 커널 모듈 | Docker 전용 |
| 리소스 오버헤드 | 약 5 MB RAM (커널만) | 약 30‑50 MB RAM (Node.js UI + WireGuard) |
| 자동화/스크립팅 | 전체 CLI 제어 (wg 명령) | REST API 사용 가능 |
| Docker 없이 실행 | 예 | 아니오 (Docker 필요) |
설치 개요
WireGuard (raw)
wireguard-tools패키지를 설치합니다.- 서버와 클라이언트 키 쌍을 생성합니다.
/etc/wireguard/wg0.conf파일을 생성합니다.- NAT를 위해 iptables를 설정하고 IP 포워딩을 활성화합니다.
wg‑quick up wg0명령으로 인터페이스를 시작합니다.- 클라이언트를 추가하려면: 새 키 쌍을 생성하고, 서버 설정에
[Peer]섹션을 추가하고, 클라이언트 설정 파일을 만든 뒤 인터페이스를 재시작합니다.
wg‑easy
wg‑easy이미지를 사용하는docker‑compose.yml파일을 생성합니다.- 환경 변수를 통해 공개 호스트명과 관리자 비밀번호를 설정합니다.
docker compose up -d명령을 실행합니다.- 웹 UI를 통해 클라이언트를 추가합니다 (약 10 초 소요).
성능 및 자원 사용
자원 소비
| 항목 | WireGuard | wg‑easy |
|---|---|---|
| RAM (유휴 시) | ~5 MB | ~30‑50 MB |
| CPU (터널링) | Kernel‑level | Kernel‑level (same) |
| 디스크 사용량 | ~1 MB (configs) | ~100 MB (Node.js + deps) |
| 처리량 | Maximum (kernel) | Maximum (same kernel module) |
wg‑easy 관리 서버에 추가되는 ~25‑45 MB의 RAM은 최신 하드웨어에서는 무시할 수 있습니다.
라이선스 및 커뮤니티
| 항목 | WireGuard | wg‑easy |
|---|---|---|
| 라이선스 | GPLv2 | Custom (AGPL‑유사, 레포지토리 참조) |
| GitHub 스타 | N/A (커널 트리) | 18 k+ |
| Docker 다운로드 | Millions (LSIO image) | 12 M+ |
| 유지보수자 | Jason Donenfeld / Linux kernel | Community (wg‑easy org) |
| 문서 | Man pages, WireGuard.com | README + environment vars |
| 활발한 개발 | Stable (protocol “done”) | Active (regular releases) |
언제 어떤 것을 선택할까
원시 WireGuard 선택 조건:
- 라우터, 임베디드 장치 또는 Docker가 없는 시스템에서 실행할 때.
- 복잡한 라우팅을 위해 여러 WireGuard 인터페이스가 필요할 때.
- WireGuard를 Ansible/Terraform/스크립트에 통합하고 싶을 때.
- 명령줄 도구를 선호하고 최소한의 오버헤드를 원할 때.
wg‑easy 선택 조건:
- 설정 파일을 건드리지 않고 VPN 클라이언트를 관리하고 싶을 때.
- 모바일 클라이언트 설정을 빠르게 할 수 있는 QR 코드가 필요할 때.
- 클라이언트 연결 상태와 대역폭을 한눈에 보고 싶을 때.
- 이미 다른 서비스에 Docker를 사용 중일 때.
- 비기술적인 가족 구성원도 사용할 수 있는 UI가 필요할 때.
- 클릭 한 번으로 클라이언트를 활성화/비활성화하고 싶을 때.
Conclusion
wg‑easy는 대부분의 셀프‑호스팅 사용자에게 명백한 선택입니다. 클라이언트 관리라는 WireGuard 운영의 유일한 실제 고통 포인트를 제거하면서 WireGuard 성능의 100 %를 유지합니다. 적당한 RAM 오버헤드는 새로운 VPN 구성이 필요할 때마다 서버에 SSH로 접속할 필요가 없다는 점에서 충분히 가치 있는 교환입니다.
라우터에서 WireGuard를 실행하거나, 스크립트화된 인프라‑코드 설정에서 사용하거나, Docker가 없는 장치에서 사용한다면, 순수 WireGuard를 사용하십시오. 그 외의 경우에는 wg‑easy가 WireGuard를 실용적으로 만들어 줍니다.
FAQ
Q: wg‑easy가 VPN 터널 성능에 영향을 줍니까?
A: 아니요. 터널은 동일한 WireGuard 커널 모듈을 사용하므로 성능이 동일합니다. 웹 UI는 HTTP 관리 레이어만 추가합니다.
Q: 기존 WireGuard 키를 wg‑easy에 가져올 수 있나요?
A: 직접적으로는 불가능합니다. wg‑easy는 자체 키와 구성 형식을 생성합니다. wg‑easy UI를 통해 새 클라이언트 구성을 만들어야 합니다.
Q: 하나의 wg‑easy 컨테이너가 여러 WireGuard 인터페이스를 관리할 수 있나요?
A: 아니요. 각 wg‑easy 컨테이너는 단일 인터페이스(e.g., wg0)를 관리합니다. 여러 인터페이스가 필요하면 일반 WireGuard를 사용하세요.
Q: wg‑easy UI를 안전하게 노출하려면 어떻게 해야 하나요?
A: 접근을 제한하세요. 포트 51821을 인증이 있는 리버스 프록시 뒤에 두거나, localhost에만 바인딩하거나, VPN을 통해서만 노출하세요. 보호 없이 관리 UI를 공개적으로 두지 마세요.