如何在华硕路由器上利用IPv6和DDNS配合WireGuard搭建内网穿透VPN

使用路由器作为wireguard server，网速理论上可达上行带宽最大值。阿里云ecs免费带宽就1m，100kb/s，完全不够用呀。

要求

1.华硕路由器要求：https://www.asus.com.cn/support/FAQ/1048280

• 确认您的华硕路由器支持WireGuard®功能。支持的型号可参考 ASUSWRT 4.0
• 更新您的华硕路由器固件版本到3.0.0.4.388.xxxxx 以上版本。有关如何升级固件的信息，请参考FAQ 如何更新华硕无线路由器的固件?

（可用openwrt系统软路由、阿里云等任意有公网ip的服务器替代华硕路由器，操作思路差不多）

<b>若用其他linux服务器作为wireguard server需要注意的是，wireguard server要求linux内核版本 >= 5.6，若低于此版本需要升级linux内核之后才能顺利安装。（本人没有在低于此版本linux上安装wireguard的经验）</b>

https://www.wireguard.com/

2.光猫为桥接模式，用路由器拨号，路由器能获得公网ipv6地址。这个可以找宽带运营商报故障让人改桥接。

网路拓扑图

家庭网络架构如下（光猫改桥接所以在此省略了光猫设备）

vpn下的网络架构如下

要实现的是所有设备都在10.6.0.0/24网段下，由VPN server统一做流量转发，防火墙仅需开通一个端口。

路由器设置

路由器开启ipv6

参考https://www.asus.com.cn/support/FAQ/113990

网页打开192.168.50.1（华硕路由器管理页面）
选native+ppp，应用本页设置

过一会能在系统记录中看到ipv6信息即设置成功

可在本机连手机热点 ping ipv6 ip验证ipv6是否可公网访问

路由器开启ssh登录

系统管理 -> 系统设置 -> ssh

路由器开启DDNS

外部网络 -> ddns
这里我用的是华硕自己的ddns服务。也能用花生壳
刷了软件中心可以配置阿里云ddns，但是只能配ipv4所以没法用。

可以安装dig命令验证dns是否生效（域名是否解析成了ipv6地址），也可在线查询dns记录（https://ipw.cn/dns/）

路由器开启wireguard-server服务

VPN -> 虚拟专用网（VPN）服务器 -> others -> wireguard VPN

一般设置

高级设置：

路由器开启防火墙

1.防火墙 -> 启用ipv6防火墙

2.ssh登录后设置开通iptables（ping不通很久才找到问题）

参考https://www.cyberciti.biz/faq/how-to-set-up-wireguard-firewall-rules-in-linux/

网络接口名称查询

# 登录服务器
ssh admin@192.168.50.1
wg

# 查看网络接口信息
ifconfig
# 通过ipv6地址找到外网出口接口名称，这里是ppp0
# 通过ipv4地址找到wireguard server接口名称，这里是wgs1（和wg命令结果中所示一致）

iptables设置

已知：

• 流量出口网络接口名称为ppp0
• wireguardserver网络接口名称为wgs1
• wireguardserver转发端口为51820
• vpn网段为10.6.0.0/24

Step 1: 设置NAT防火墙规则

语法：

iptables -t nat -I POSTROUTING 1 -s {sub/net} -o {interface} -j MASQUERADE

这里执行：

iptables -t nat -I POSTROUTING 1 -s 10.6.0.0/24 -o ppp0 -j MASQUERADE

Step 2: 接受 wireguard 接口创建的所有流量

# wgs1需要调整
iptables -I INPUT 1 -i wgs1 -j ACCEPT

Step 3: 配置双向转发规则

# ppp0流量转发至wgs1
iptables -I FORWARD 1 -i ppp0 -o wgs1 -j ACCEPT
# wgs1流量转发至ppp0
iptables -I FORWARD 1 -i wgs1 -o ppp0 -j ACCEPT

Step 4: 打开 WireGuard UDP 端口 #51820

iptables -I INPUT 1 -i ppp0 -p udp --dport 51820 -j ACCEPT

保存&验证结果

# 保存
iptables-save -t nat
# 验证结果
iptables -t nat -L -n -v

iptables -L -n -v

客户端设置

路由器添加客户端

拷贝到本地修改

# PublicKey 和 PrivateKey 不要改，DNS可以去掉；AllowedIps改为VPN网段
[Interface]
PrivateKey = GCxxxx
Address = 10.6.0.2/32[图片上传中...(image26.png-de4b41-1696521204164-0)]

# DNS = 10.6.0.1

[Peer]
PublicKey = ZPWxxx
# AllowedIPs = 0.0.0.0/0
AllowedIPs = 10.6.0.0/24
# 若客户端将endpoint解析成了ipv4地址，这里可以直接改成ipv6地址验证是否连通
# Endpoint = [240e:xxx:xxx:11a5]:51820
Endpoint = xx.asuscomm.cn:51820
PersistentKeepalive = 25

客户端安装方式

• https://www.wireguard.com/install/
• mac的客户端可以在终端中执行brew install wireguard-tools 安装
• 要使用brew命令需要安装homebrew：https://brew.sh/

mac-brew安装的配置方式

mkdir -p /usr/local/etc/wireguard
vim /usr/local/etc/wireguard/wg0.conf

将上面的配置写入/usr/local/etc/wireguard/wg0.conf这个文件中
然后执行

sudo wg-quick up wg0

然后执行sudo wg查看运行情况

这里如果transfer中既有sent又有received说明与VPN server之间已经连通

关闭wireguard client的命令为：sudo wg-quick down wg0

windows客户端配置

然后点击连接即可。

我自己的windows客户端总是把域名解析成ipv4地址导致连不上vpn，所以先直接设置为ipv6了地址（参考上面【路由器添加客户端】里的ipv6配置

验证方案

两台电脑，一台连接手机热点，一台连接路由器wifi，均打开wireguard，关闭防火墙

其中一台电脑开一个端口做http服务器，另一台电脑浏览器访问10.6.0.x:{port}，若能访问则证明端口已经连通