devbox
IT小白
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

华硕路由器使用ipv6+ddns开启wireguard vpn实现内网穿透_华硕路由器内网穿透设置

作者:IT小白 | 2024-03-03 06:15:43

华硕路由器内网穿透设置

使用路由器作为wireguard server,网速至少可达上行带宽最大值。阿里云ecs免费带宽就1m,100kb/s,完全不够用呀。

要求

  1. 华硕路由器要求:[无线路由器] 如何设置WireGuard® VPN服务器? | 官方支持 | ASUS 中国
(可用openwrt系统软路由、阿里云等任意有公网ip的服务器替代华硕路由器,操作思路差不多)

若用其他linux服务器作为wireguard server需要注意的是,wireguard server要求linux内核版本 >= 5.6,若低于此版本需要升级linux内核之后才能顺利安装。(本人没有在低于此版本linux上安装wireguard的经验)

https://www.wireguard.com/

  1. 光猫为桥接模式,用路由器拨号,路由器能获得公网ipv6地址。这个可以找宽带运营商报故障让人改桥接。

网路拓扑图

网络架构如下

vpn下的网络架构如下

这样一来所有设备都在10.6.0.0/24网段下,由VPN server统一做流量转发,防火墙仅需开通一个端口

路由器设置

路由器开启ipv6

参考[IPV6] 如何在路由器中设置IPv6? | 官方支持 | ASUS 中国

网页打开192.168.50.1(华硕路由器管理页面)

选native+ppp,应用本页设置

过一会能在系统记录中看到ipv6信息即设置成功

可在本机连手机热点 ping ipv6 ip验证ipv6是否可公网访问

路由器开启ssh登录

系统管理 -> 系统设置 -> ssh

路由器开启DDNS

外部网络 -> ddns

这里我用的是华硕自己的ddns服务。也能用花生壳

刷了软件中心可以配置阿里云ddns,但是只能配ipv4所以没法用。

可以安装dig命令验证dns是否生效(域名是否解析成了ipv6地址),也可在线查询dns记录(域名解析查询 | DNS查询 | IPv6解析 | 在线dig | IP查询(ipw.cn)

路由器开启wireguard-server服务

VPN -> 虚拟专用网(VPN)服务器 -> others -> wireguard VPN

一般设置:

高级设置:

路由器开启防火墙

  1. 防火墙 -> 启用ipv6防火墙

  1. ssh登录后设置开通iptables(ping不通很久才找到问题)

参考https://www.cyberciti.biz/faq/how-to-set-up-wireguard-firewall-rules-in-linux/

网络接口名称查询

  1. # 登录服务器
  2. ssh admin@192.168.50.1
  3. wg

  1. # 查看网络接口信息
  2. ifconfig
  3. # 通过ipv6地址找到外网出口接口名称,这里是ppp0
  4. # 通过ipv4地址找到wireguard server接口名称,这里是wgs1(和wg命令结果中所示一致)

iptables设置

已知:

  • 流量出口网络接口名称为ppp0
  • wireguardserver网络接口名称为wgs1
  • wireguardserver转发端口为51820
  • vpn网段为10.6.0.0/24
Step 1: 设置NAT防火墙规则

语法:

iptables -t nat -I POSTROUTING 1 -s {sub/net} -o {interface} -j MASQUERADE

这里执行:

iptables -t nat -I POSTROUTING 1 -s 10.6.0.0/24 -o ppp0 -j MASQUERADE
Step 2: 接受 wireguard 接口创建的所有流量
  1. # wgs1需要调整
  2. iptables -I INPUT 1 -i wgs1 -j ACCEPT
Step 3: 配置双向转发规则
  1. # ppp0流量转发至wgs1
  2. iptables -I FORWARD 1 -i ppp0 -o wgs1 -j ACCEPT
  3. # wgs1流量转发至ppp0
  4. iptables -I FORWARD 1 -i wgs1 -o ppp0 -j ACCEPT
Step 4: 打开 WireGuard UDP 端口 #51820
iptables -I INPUT 1 -i ppp0 -p udp --dport 51820 -j ACCEPT
保存&验证结果
  1. # 保存
  2. iptables-save -t nat
  3. # 验证结果
  4. iptables -t nat -L -n -v

iptables -L -n -v

客户端设置

路由器添加客户端

拷贝到本地修改

  1. # PublicKey 和 PrivateKey 不要改,DNS可以去掉;AllowedIps改为VPN网段
  2. [Interface]
  3. PrivateKey = GCxxxx
  4. Address = 10.6.0.2/32
  5. # DNS = 10.6.0.1
  6.  
  7. [Peer]
  8. PublicKey = ZPWxxx
  9. # AllowedIPs = 0.0.0.0/0
  10. AllowedIPs = 10.6.0.0/24
  11. # 若客户端将endpoint解析成了ipv4地址,这里可以直接改成ipv6地址验证是否连通
  12. # Endpoint = [240e:xxx:xxx:11a5]:51820
  13. Endpoint = xx.asuscomm.cn:51820
  14.  
  15. PersistentKeepalive = 25

客户端安装方式

https://www.wireguard.com/install/

mac的客户端可以在终端中执行brew install wireguard-tools 安装

要使用brew命令需要安装homebrew:Homebrew — The Missing Package Manager for macOS (or Linux)

mac的brew安装设置方式

  1. mkdir -p /usr/local/etc/wireguard
  2. vim /usr/local/etc/wireguard/wg0.conf

将上面的配置写入/usr/local/etc/wireguard/wg0.conf这个文件中

然后执行

sudo wg-quick up wg0

然后执行sudo wg查看运行情况

这里如果transfer中既有sent又有received说明与VPN server之间已经连通

关闭wireguard client的命令为:sudo wg-quick down wg0

windows客户端配置

然后点击连接即可。

验证方案

两台电脑,一台连接手机热点,一台连接路由器wifi,均打开wireguard,关闭防火墙

其中一台电脑开一个端口做http服务器(推荐使用nginx),另一台电脑浏览器访问10.6.0.x:{port},若能访问则证明端口已经连通

若开启了远程桌面功能可直接用远程桌面连接验证

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/IT小白/article/detail/183928
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号