本地网络脆弱。个人网络则不脆弱。

Source: Dev.to

本地网络的脆弱性

大多数人遇到的连接问题并非由工具损坏或配置错误引起。
它们源于把物理本地网络当作稳定基础的做法。家庭 Wi‑Fi、LTE、企业 VPN、酒店网络——这些都是临时的传输方式。IP 会变化，DHCP 会重新分配地址，路由会中断，VPN 客户端会覆盖流量。

昨天一切正常。今天 ping 能通，但 SSH 失败。这不是错误；这正是本地网络的设计方式。

WireGuard：一种不同的解决方案

WireGuard 在机器之间创建一个快速、加密、点对点的网络，不依赖它们的连接地点。它之所以成为行业标准，是因为它简约、可预测，并在协议层面上安全。

WireGuard 并未解决的事项

• 谁被允许连接
• 设备如何相互发现
• 移动客户端在不同网络间的行为
• 与 VPN 和 NAT 的共存

这些问题存在于协议之上。

添加更高层的抽象

有经验的工程师常在 WireGuard 之上使用更高层的抽象。Tailscale 或 Headscale 之类的工具并不取代 WireGuard——它们对其进行运营化。它们保持相同的加密基础，但加入了协调、身份和自动化。

转变思维模型

• 传统视角： 家庭 Wi‑Fi / LTE / VPN / 任意网络 → 试图修复本地网络。
• 新视角： 在现有传输之上 构建自己的逻辑网络。

改进家庭基础设施（例如 OpenWrt、更好的路由器、静态 DHCP）可以让传输更干净，但并不能改变本地网络本质上不稳定的事实。

选择抽象而非简化

选择抽象并不是因为缺乏技能或追求简化，而是认识到手动配置在某一点上不再产生价值，而可靠性、可预测性和运维清晰度才是关键。理解 WireGuard 很重要，但手动在其内部操作是可选的。这一区别将纯粹的网络配置与稳健的网络架构分开。