在现代企业网络架构中,虚拟专用网络（VPN）已成为远程办公、跨地域访问和安全通信的重要手段，在一些特殊场景下，如某些隔离的局域网环境或受限的工控系统中，设备可能仅配置了内网接口，没有连接外部互联网的物理网卡（即“无外网卡”），这种情况下，传统依赖公网IP的VPN服务（如OpenVPN、WireGuard等）难以直接部署，但通过合理规划和巧妙利用内网资源，依然可以实现安全可靠的内网VPN服务，本文将详细介绍如何在仅有内网卡的环境中搭建一个功能完备且安全的私有VPN。

明确需求：目标是让内网中的多个设备能够互相加密通信，同时允许特定终端通过内网跳转访问其他内网资源（例如数据库服务器、文件共享），而不暴露在公网中，这正是典型的“内网穿透”+“零信任网络”的应用场景。

第一步：选择合适的协议，推荐使用WireGuard，它轻量、高性能、易于配置，且支持UDP端口转发，非常适合内网环境，相比OpenVPN，WireGuard不需要复杂的证书管理，配置文件简洁，适合快速部署。

第二步：部署控制节点（Server），假设你有一台服务器A，仅连接内网（如192.168.1.0/24），并且已经安装Linux系统（如Ubuntu 22.04），通过以下步骤安装WireGuard：

sudo apt update && sudo apt install -y wireguard

生成密钥对：

wg genkey | tee private.key | wg pubkey > public.key

创建配置文件 /etc/wireguard/wg0.conf示例：

[Interface]
PrivateKey = <你的私钥>
Address = 10.0.0.1/24
ListenPort = 51820
[Peer]
PublicKey = <客户端公钥>
AllowedIPs = 10.0.0.2/32

启用并启动服务：

sudo systemctl enable wg-quick@wg0
sudo systemctl start wg-quick@wg0

第三步：客户端配置，另一台机器B（同样只在内网）作为客户端，复制Server的公钥，生成自己的密钥对，并加入配置文件，关键点在于：两个节点必须在同一子网（如10.0.0.0/24），才能通过WireGuard隧道直接通信。

第四步：配置内核转发与NAT（可选），如果希望客户端B能访问其他内网资源（如192.168.1.x），需在Server上开启IP转发：

echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf
sysctl -p

然后设置iptables规则,允许流量转发：

iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADE
iptables -A FORWARD -i wg0 -o eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o wg0 -m state --state RELATED,ESTABLISHED -j ACCEPT

第五步：测试与验证，客户端执行 wg show 查看连接状态，用 ping 10.0.0.1 测试连通性，若成功，则说明内网VPN已建立。

即使没有外网卡,也能借助WireGuard等轻量级协议构建安全内网通信通道，此方案适用于实验室、工厂、医院等封闭网络环境，既能保障数据加密，又避免了公网暴露风险，关键是理解内网拓扑、合理分配子网地址，并正确配置路由与防火墙规则，网络安全的本质不是“有没有公网”，而是“是否可控”。