如何在华硕路由器上利用IPv6和DDNS配合WireGuard搭建内网穿透VPN
使用路由器作为wireguard server,网速理论上可达上行带宽最大值。阿里云ecs免费带宽就1m,100kb/s,完全不够用呀。
要求
1.华硕路由器要求:https://www.asus.com.cn/support/FAQ/1048280
- 确认您的华硕路由器支持WireGuard®功能。支持的型号可参考 ASUSWRT 4.0
- 更新您的华硕路由器固件版本到3.0.0.4.388.xxxxx 以上版本。有关如何升级固件的信息,请参考FAQ 如何更新华硕无线路由器的固件?
(可用openwrt系统软路由、阿里云等任意有公网ip的服务器替代华硕路由器,操作思路差不多)
<b>若用其他linux服务器作为wireguard server需要注意的是,wireguard server要求linux内核版本 >= 5.6,若低于此版本需要升级linux内核之后才能顺利安装。(本人没有在低于此版本linux上安装wireguard的经验)</b>
https://www.wireguard.com/
2.光猫为桥接模式,用路由器拨号,路由器能获得公网ipv6地址。这个可以找宽带运营商报故障让人改桥接。
网路拓扑图
家庭网络架构如下(光猫改桥接所以在此省略了光猫设备)
vpn下的网络架构如下
要实现的是所有设备都在10.6.0.0/24网段下,由VPN server统一做流量转发,防火墙仅需开通一个端口。
路由器设置
路由器开启ipv6
参考https://www.asus.com.cn/support/FAQ/113990
网页打开192.168.50.1(华硕路由器管理页面)
选native+ppp,应用本页设置
过一会能在系统记录中看到ipv6信息即设置成功
可在本机连手机热点 ping ipv6 ip验证ipv6是否可公网访问
路由器开启ssh登录
系统管理 -> 系统设置 -> ssh
路由器开启DDNS
外部网络 -> ddns
这里我用的是华硕自己的ddns服务。也能用花生壳
刷了软件中心可以配置阿里云ddns,但是只能配ipv4所以没法用。
可以安装dig命令验证dns是否生效(域名是否解析成了ipv6地址),也可在线查询dns记录(https://ipw.cn/dns/)
路由器开启wireguard-server服务
VPN -> 虚拟专用网(VPN)服务器 -> others -> wireguard VPN
一般设置
高级设置:
路由器开启防火墙
1.防火墙 -> 启用ipv6防火墙
2.ssh登录后设置开通iptables(ping不通很久才找到问题)
参考https://www.cyberciti.biz/faq/how-to-set-up-wireguard-firewall-rules-in-linux/
网络接口名称查询
# 登录服务器
ssh admin@192.168.50.1
wg
# 查看网络接口信息
ifconfig
# 通过ipv6地址找到外网出口接口名称,这里是ppp0
# 通过ipv4地址找到wireguard server接口名称,这里是wgs1(和wg命令结果中所示一致)
iptables设置
已知:
- 流量出口网络接口名称为ppp0
- wireguardserver网络接口名称为wgs1
- wireguardserver转发端口为51820
- vpn网段为10.6.0.0/24
Step 1: 设置NAT防火墙规则
语法:
iptables -t nat -I POSTROUTING 1 -s {sub/net} -o {interface} -j MASQUERADE
这里执行:
iptables -t nat -I POSTROUTING 1 -s 10.6.0.0/24 -o ppp0 -j MASQUERADE
Step 2: 接受 wireguard 接口创建的所有流量
# wgs1需要调整
iptables -I INPUT 1 -i wgs1 -j ACCEPT
Step 3: 配置双向转发规则
# ppp0流量转发至wgs1
iptables -I FORWARD 1 -i ppp0 -o wgs1 -j ACCEPT
# wgs1流量转发至ppp0
iptables -I FORWARD 1 -i wgs1 -o ppp0 -j ACCEPT
Step 4: 打开 WireGuard UDP 端口 #51820
iptables -I INPUT 1 -i ppp0 -p udp --dport 51820 -j ACCEPT
保存&验证结果
# 保存
iptables-save -t nat
# 验证结果
iptables -t nat -L -n -v
iptables -L -n -v
客户端设置
路由器添加客户端
拷贝到本地修改
# PublicKey 和 PrivateKey 不要改,DNS可以去掉;AllowedIps改为VPN网段
[Interface]
PrivateKey = GCxxxx
Address = 10.6.0.2/32[图片上传中...(image26.png-de4b41-1696521204164-0)]
# DNS = 10.6.0.1
[Peer]
PublicKey = ZPWxxx
# AllowedIPs = 0.0.0.0/0
AllowedIPs = 10.6.0.0/24
# 若客户端将endpoint解析成了ipv4地址,这里可以直接改成ipv6地址验证是否连通
# Endpoint = [240e:xxx:xxx:11a5]:51820
Endpoint = xx.asuscomm.cn:51820
PersistentKeepalive = 25
客户端安装方式
- https://www.wireguard.com/install/
- mac的客户端可以在终端中执行brew install wireguard-tools 安装
- 要使用brew命令需要安装homebrew:https://brew.sh/
mac-brew安装的配置方式
mkdir -p /usr/local/etc/wireguard
vim /usr/local/etc/wireguard/wg0.conf
将上面的配置写入/usr/local/etc/wireguard/wg0.conf这个文件中
然后执行
sudo wg-quick up wg0
然后执行sudo wg查看运行情况
这里如果transfer中既有sent又有received说明与VPN server之间已经连通
关闭wireguard client的命令为:sudo wg-quick down wg0
windows客户端配置
然后点击连接即可。
我自己的windows客户端总是把域名解析成ipv4地址导致连不上vpn,所以先直接设置为ipv6了地址(参考上面【路由器添加客户端】里的ipv6配置
验证方案
两台电脑,一台连接手机热点,一台连接路由器wifi,均打开wireguard,关闭防火墙
其中一台电脑开一个端口做http服务器,另一台电脑浏览器访问10.6.0.x:{port},若能访问则证明端口已经连通