記錄環(huán)境

qnap301w路由器 OpenWrt 24 固件 ，家庭寬帶 ipv4

安裝的openwrt 軟件包：wireguard luci-app-wireguard 以及漢化包 luci-i18n-wireguard-zh-cn luci-i18n-base-zh-cn luci-i18n-firewall-zh-cn

luci管理界面直接配置

1. 添加接口

依次找到網(wǎng)絡(luò)->接口->添加新接口，設(shè)置內(nèi)容如下

1
2

名稱(chēng)：wg
協(xié)議：WireGuard VPN

然后創(chuàng)建接口。

1. 接口>>wg 基本設(shè)置

分別填寫(xiě)舉例如下

1
2
3

私鑰：Yczs1a2s5dRib6UUEl2a14Wd0OuZ8gVy/Cz6UgjiQI= （必須由程序生成）
監(jiān)聽(tīng)端口：23333 （可以在1~65535范圍內(nèi)選擇，盡量大一些，另外注意避免與常用端口沖突）
IP地址:  192.168.8.1/24 （填寫(xiě)一個(gè)私人的子網(wǎng)ipv4地址，不能與已有的網(wǎng)段沖突）

關(guān)于公鑰私鑰的獲得：可以在Android或者windows等客戶(hù)端上，選擇手動(dòng)添加配置，就會(huì)自動(dòng)生成一組，然后直接復(fù)制private key填寫(xiě)在這里即可。另外public key也要保存一下，客戶(hù)端的配置需要用到。

也可以ssh到openwrt，然后執(zhí)行

1

wg genkey | tee privatekey | wg pubkey > publickey

在privatekey文件中得到私鑰，在publickey文件得到公鑰。

1. 接口>>wg 防火墻設(shè)置

創(chuàng)建/分配防火墻區(qū)域：選擇lan

1. 接口>>wg Peers

點(diǎn)擊添加對(duì)等點(diǎn)，填寫(xiě)配置舉例如下：

1
2
3
4
5

描述（可選）：android111  （自定一個(gè)客戶(hù)端的英文名稱(chēng)）
公鑰：WKpXJN/qy1d6541WxUQuhMPxfE6vQ6r5+LvO1xFZT38=  （填寫(xiě)客戶(hù)端的公鑰，而不是服務(wù)端的）
允許的 IP：192.168.8.8/32  （允許客戶(hù)端在VPN網(wǎng)絡(luò)中使用的ip地址）
路由允許的 IP：√  （這里一定要選中！不然無(wú)法訪問(wèn)內(nèi)網(wǎng)設(shè)備）
持續(xù) Keep-Alive（可選）：25  （若對(duì)方客戶(hù)端網(wǎng)絡(luò)是在NAT后的環(huán)境，則需要開(kāi)啟，但ipv6基本不存在NAT所以不用開(kāi)啟）

然后保存并應(yīng)用。若需要添加更多客戶(hù)端，只需要重復(fù)這一步添加更多的Peers即可，最基本的只要填寫(xiě)對(duì)應(yīng)的公鑰和允許的IP即可。

1. 設(shè)置防火墻開(kāi)放監(jiān)聽(tīng)端口

依次找到網(wǎng)絡(luò)->防火墻->通信規(guī)則->添加，打開(kāi)的頁(yè)面為防火墻 - 通信規(guī)則 - 未命名規(guī)則，在基本設(shè)置中只需修改如下幾項(xiàng)，其他項(xiàng)默認(rèn)即可

1
2
3
4
5

名稱(chēng)：Allow_Wireguard-Inbound   （名稱(chēng)任意，只要是便于識(shí)別的英文即可）
協(xié)議：UDP        （wireguard只支持UDP協(xié)議）
源區(qū)域：任意區(qū)域（轉(zhuǎn)發(fā)）
目標(biāo)區(qū)域：設(shè)備（輸入）
目標(biāo)端口：23333      （這個(gè)目標(biāo)端口必須與第2步設(shè)置的監(jiān)聽(tīng)端口一致）

然后保存并應(yīng)用。最后還需要重啟一次wg接口或路由器才會(huì)生效。一旦連接成功可以在 狀態(tài)->Wireguard狀態(tài) 中看到相關(guān)的信息。

對(duì)客戶(hù)端的配置

推薦參考這篇文章：

自己搭建WireGuard給Android用：https://mine260309.me/archives/1697

如果要配置windows端或其他平臺(tái)，可以先在手機(jī)端配置好后，導(dǎo)出配置文件再發(fā)送過(guò)去直接導(dǎo)入配置就行了。因?yàn)楦杏X(jué)windows客戶(hù)端目前用起來(lái)還是有點(diǎn)簡(jiǎn)陋啊，靜待更新吧。

關(guān)于wireguard

其實(shí)wireguard本身的設(shè)計(jì)是既可以作為服務(wù)端也可以作為客戶(hù)端的，所以說(shuō)一個(gè)端點(diǎn)起什么作用只看你的接口(interface)和對(duì)等端(peers)設(shè)置是如何填寫(xiě)的了。

由于之前對(duì)于非對(duì)稱(chēng)加密沒(méi)什么了解，在配置時(shí)就被自己坑了，弄錯(cuò)了公鑰和私鑰的使用對(duì)象。所以以配置過(guò)程為例，稍稍記錄一下這個(gè)關(guān)系。

interface為本機(jī)的相關(guān)信息，peers為對(duì)方的相關(guān)信息。無(wú)論服務(wù)端還是客戶(hù)端，在一個(gè)完整的配置中，peers的公鑰只填寫(xiě)對(duì)方設(shè)備的公鑰，而私鑰則是本機(jī)（interface）自己的。一開(kāi)始配置時(shí)沒(méi)有搞清楚這個(gè)公私鑰的關(guān)系，考慮了半天才明白就是這么簡(jiǎn)單。對(duì)于生成的一對(duì)公鑰和私鑰，私鑰只給自己用，公鑰則交給對(duì)方使用。

非ipv6的備選方案

如果沒(méi)有ipv6或公網(wǎng)ip怎么辦？ 推薦使用ZeroTier，而且這個(gè)感覺(jué)使用和配置更簡(jiǎn)單一些。