本文主要是介绍华硕路由器使用ipv6+ddns开启wireguard vpn实现内网穿透,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
目录
编辑
要求
网路拓扑图
路由器设置
路由器开启ipv6
路由器开启ssh登录
路由器开启DDNS
路由器开启wireguard-server服务
路由器开启防火墙
网络接口名称查询
iptables设置
Step 1: 设置NAT防火墙规则
Step 2: 接受 wireguard 接口创建的所有流量
Step 3: 配置双向转发规则
Step 4: 打开 WireGuard UDP 端口 #51820
保存&验证结果
客户端设置
路由器添加客户端
mac的brew安装设置方式
windows客户端配置
验证方案
使用路由器作为wireguard server,网速至少可达上行带宽最大值。阿里云ecs免费带宽就1m,100kb/s,完全不够用呀。
要求
- 华硕路由器要求:[无线路由器] 如何设置WireGuard® VPN服务器? | 官方支持 | ASUS 中国
- 确认您的华硕路由器支持WireGuard®功能。支持的型号可参考 ASUSWRT 4.0
- 更新您的华硕路由器固件版本到3.0.0.4.388.xxxxx 以上版本。有关如何升级固件的信息,请参考FAQ 如何更新华硕无线路由器的固件?
若用其他linux服务器作为wireguard server需要注意的是,wireguard server要求linux内核版本 >= 5.6,若低于此版本需要升级linux内核之后才能顺利安装。(本人没有在低于此版本linux上安装wireguard的经验)
https://www.wireguard.com/
- 光猫为桥接模式,用路由器拨号,路由器能获得公网ipv6地址。这个可以找宽带运营商报故障让人改桥接。
网路拓扑图
网络架构如下
vpn下的网络架构如下
这样一来所有设备都在10.6.0.0/24网段下,由VPN server统一做流量转发,防火墙仅需开通一个端口
路由器设置
路由器开启ipv6
参考[IPV6] 如何在路由器中设置IPv6? | 官方支持 | ASUS 中国
网页打开192.168.50.1(华硕路由器管理页面)
选native+ppp,应用本页设置
过一会能在系统记录中看到ipv6信息即设置成功
可在本机连手机热点 ping ipv6 ip验证ipv6是否可公网访问
路由器开启ssh登录
系统管理 -> 系统设置 -> ssh
路由器开启DDNS
外部网络 -> ddns
这里我用的是华硕自己的ddns服务。也能用花生壳
刷了软件中心可以配置阿里云ddns,但是只能配ipv4所以没法用。
可以安装dig命令验证dns是否生效(域名是否解析成了ipv6地址),也可在线查询dns记录(域名解析查询 | DNS查询 | IPv6解析 | 在线dig | IP查询(ipw.cn))
路由器开启wireguard-server服务
VPN -> 虚拟专用网(VPN)服务器 -> others -> wireguard VPN
一般设置:
高级设置:
路由器开启防火墙
- 防火墙 -> 启用ipv6防火墙
- ssh登录后设置开通iptables(ping不通很久才找到问题)
参考https://www.cyberciti.biz/faq/how-to-set-up-wireguard-firewall-rules-in-linux/
网络接口名称查询
# 登录服务器
ssh admin@192.168.50.1
wg
# 查看网络接口信息
ifconfig
# 通过ipv6地址找到外网出口接口名称,这里是ppp0
# 通过ipv4地址找到wireguard server接口名称,这里是wgs1(和wg命令结果中所示一致)
iptables设置
已知:
- 流量出口网络接口名称为ppp0
- wireguardserver网络接口名称为wgs1
- wireguardserver转发端口为51820
- vpn网段为10.6.0.0/24
Step 1: 设置NAT防火墙规则
语法:
iptables -t nat -I POSTROUTING 1 -s {sub/net} -o {interface} -j MASQUERADE这里执行:
iptables -t nat -I POSTROUTING 1 -s 10.6.0.0/24 -o ppp0 -j MASQUERADEStep 2: 接受 wireguard 接口创建的所有流量
# wgs1需要调整
iptables -I INPUT 1 -i wgs1 -j ACCEPTStep 3: 配置双向转发规则
# ppp0流量转发至wgs1
iptables -I FORWARD 1 -i ppp0 -o wgs1 -j ACCEPT
# wgs1流量转发至ppp0
iptables -I FORWARD 1 -i wgs1 -o ppp0 -j ACCEPTStep 4: 打开 WireGuard UDP 端口 #51820
iptables -I INPUT 1 -i ppp0 -p udp --dport 51820 -j ACCEPT保存&验证结果
# 保存
iptables-save -t nat
# 验证结果
iptables -t nat -L -n -v
iptables -L -n -v
客户端设置
路由器添加客户端
拷贝到本地修改
# PublicKey 和 PrivateKey 不要改,DNS可以去掉;AllowedIps改为VPN网段
[Interface]
PrivateKey = GCxxxx
Address = 10.6.0.2/32
# DNS = 10.6.0.1[Peer]
PublicKey = ZPWxxx
# AllowedIPs = 0.0.0.0/0
AllowedIPs = 10.6.0.0/24
# 若客户端将endpoint解析成了ipv4地址,这里可以直接改成ipv6地址验证是否连通
# Endpoint = [240e:xxx:xxx:11a5]:51820
Endpoint = xx.asuscomm.cn:51820PersistentKeepalive = 25客户端安装方式
https://www.wireguard.com/install/
mac的客户端可以在终端中执行brew install wireguard-tools 安装
要使用brew命令需要安装homebrew:Homebrew — The Missing Package Manager for macOS (or Linux)
mac的brew安装设置方式
mkdir -p /usr/local/etc/wireguard
vim /usr/local/etc/wireguard/wg0.conf将上面的配置写入/usr/local/etc/wireguard/wg0.conf这个文件中
然后执行
sudo wg-quick up wg0
然后执行sudo wg查看运行情况
这里如果transfer中既有sent又有received说明与VPN server之间已经连通
关闭wireguard client的命令为:sudo wg-quick down wg0
windows客户端配置
然后点击连接即可。
验证方案
两台电脑,一台连接手机热点,一台连接路由器wifi,均打开wireguard,关闭防火墙
其中一台电脑开一个端口做http服务器(推荐使用nginx),另一台电脑浏览器访问10.6.0.x:{port},若能访问则证明端口已经连通
若开启了远程桌面功能可直接用远程桌面连接验证
这篇关于华硕路由器使用ipv6+ddns开启wireguard vpn实现内网穿透的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
