从网络安全方面考虑 ， wireguard 服务安装在拨号的路由器是更好，还是内网服务器上更好?

没觉得这两个方案在安全性上有什么差异

@hronro 主要差别是路由器是否开放端口。目前相关知识匮乏，不能判断路由器开放端口与路由器端口转发哪个更安全，所以发帖问问大家

安全性没什么区别啊。但是如果你要做互通的话，就会感觉到放在路由器上方便太多了……否则还需要在路由器上把到 wg 网段的路由指向那个 wg 服务器。

安全性上两者区别确实不太大，都依赖 wireguard 本身的安全性，一旦 wireguard 被突破都会被网漫游的。
不过从可靠性和逻辑上考虑，把 wireguard 放在路由器更合适一点，方便你配置防火墙之类的规则。

@sakisaki 你开启端口转发了 端口也相当于打开了 有什么本质区别吗？

都很安全只要合理配置防火墙，方案 1 更方便

你的问题很有深度，我尝试着回答一下：
我的理解如下，我自己是做在 OpenWRT 路由器上面的，以前也有做在内网服务器主机上。
1 、路由器本身的 IPV4 NAT 机制相当于一个防火墙，正常情况下，外面是没有办法访问内网的，因此，可以理解为 NAT 后面的局域网为一个可信任区域。
2 、WIREGUARD 放在路由上，如果区域设置为 LAN ，那么与放内网主机并无实质区别，因为都在可信任区域。
3 、WIREGUARD 放路由器上，区域设置为 VPN ，或者 WAN ，放在了不可信任的区域，那么在路由层面它本身就是和内网是隔离的，需要通过 NAT 机制，因此，理论上它是安全的。
4 、关于端口映射和开放端口，其实用到的是 NETFLITER 机制（ IPTABLES ）中两个不同的链表，路由开放端口是 INPUT 链表，是针对路由设备本身而言。开放端口转发是在 NAT 和 FORWARD 表，它本身是不对路由设备造成危害，但暴露的是咱们内网（安全区域）。
话说，WIREGUARD 是点对多点的，一个终端配置同时只能在一个终端用，并不能复用，因此，我觉得要破解还是有难度的。

放内网主机 A ，需要 A 和外网接入客户端（ WG 没有客户端不过暂且这么叫）同时配置路由，否则只能在外网访问内网主机 A
而要在客户端配置路由，如果客户端是安卓设备，基本就需要 root ，在现在这是不小的问题
所以你要访问内网除了 A 之外的机子，就只能把 WG 放网关，起码我的理解是这样

在用和方便之间，你要懂得权衡与取舍。同时要知道哪些不能做，哪些是能做的。

另，wireguard 可以绑定在 ipv6 ，现在蜂窝普遍支持 v6

我现在是 ipv6 和 v4 都绑定在 udp443 ，一直开放的。

wireguard 建议开启 psk ，防止量子攻击的。定期检查下服务，基本没什么问题。除非有顶级 hacker 。再说了，你又不是什么大人物，人家 hack 你的成本是什么呢？

按照楼主的思维，暴露在公网环境中的所有应用端口，都可能会被攻击渗透进来，那干脆不要开放任何端口就 OK 了。

@azure2023us559 网络上就有很多这种 hacker ，利用已知或者未知的漏洞，批量扫描端口，批量植入木马，然后你的全部东西，包括照片，各种账号密码，各种秘密，这些不就是价值很高的东西吗？千万不要轻视个人电脑的安全保护！

路由器相比内网主机更容易被外网发现。但总体上没有太大区别。

能无差别突破 wireguard 的人有更多的事情要忙，可能没空光顾你家

安全没有区别，性能有区别