华硕路由器使用ipv6+ddns开启wireguard vpn实现内网穿透

使用路由器作为wireguard server，网速至少可达上行带宽最大值。阿里云ecs免费带宽就1m，100kb/s，完全不够用呀。

1. 华硕路由器要求：[无线路由器] 如何设置WireGuard® VPN服务器? | 官方支持 | ASUS 中国

• 确认您的华硕路由器支持WireGuard®功能。支持的型号可参考 ASUSWRT 4.0
• 更新您的华硕路由器固件版本到3.0.0.4.388.xxxxx 以上版本。有关如何升级固件的信息，请参考FAQ 如何更新华硕无线路由器的固件? 

1. 光猫为桥接模式，用路由器拨号，路由器能获得公网ipv6地址。这个可以找宽带运营商报故障让人改桥接。

网路拓扑图

网络架构如下

vpn下的网络架构如下

这样一来所有设备都在10.6.0.0/24网段下，由VPN server统一做流量转发，防火墙仅需开通一个端口

路由器设置

路由器开启ipv6

参考[IPV6] 如何在路由器中设置IPv6? | 官方支持 | ASUS 中国

网页打开192.168.50.1（华硕路由器管理页面）

选native+ppp，应用本页设置

过一会能在系统记录中看到ipv6信息即设置成功

可在本机连手机热点 ping ipv6 ip验证ipv6是否可公网访问

路由器开启ssh登录

系统管理 -> 系统设置 -> ssh

路由器开启DDNS

外部网络 -> ddns

这里我用的是华硕自己的ddns服务。也能用花生壳

刷了软件中心可以配置阿里云ddns，但是只能配ipv4所以没法用。

可以安装dig命令验证dns是否生效（域名是否解析成了ipv6地址），也可在线查询dns记录（域名解析查询 | DNS查询 | IPv6解析 | 在线dig | IP查询(ipw.cn)）

路由器开启wireguard-server服务

VPN -> 虚拟专用网（VPN）服务器 -> others -> wireguard VPN

一般设置：

高级设置：

路由器开启防火墙

1. 防火墙 -> 启用ipv6防火墙

1. ssh登录后设置开通iptables（ping不通很久才找到问题）

参考https://www.cyberciti.biz/faq/how-to-set-up-wireguard-firewall-rules-in-linux/

网络接口名称查询

# 登录服务器
ssh admin@192.168.50.1
wg

# 查看网络接口信息
ifconfig
# 通过ipv6地址找到外网出口接口名称，这里是ppp0
# 通过ipv4地址找到wireguard server接口名称，这里是wgs1（和wg命令结果中所示一致）

iptables设置

已知：

• 流量出口网络接口名称为ppp0
• wireguardserver网络接口名称为wgs1
• wireguardserver转发端口为51820
• vpn网段为10.6.0.0/24

Step 1: 设置NAT防火墙规则

语法：

iptables -t nat -I POSTROUTING 1 -s {sub/net} -o {interface} -j MASQUERADE

这里执行：

iptables -t nat -I POSTROUTING 1 -s 10.6.0.0/24 -o ppp0 -j MASQUERADE

Step 2: 接受 wireguard 接口创建的所有流量

# wgs1需要调整
iptables -I INPUT 1 -i wgs1 -j ACCEPT

Step 3: 配置双向转发规则

# ppp0流量转发至wgs1
iptables -I FORWARD 1 -i ppp0 -o wgs1 -j ACCEPT
# wgs1流量转发至ppp0
iptables -I FORWARD 1 -i wgs1 -o ppp0 -j ACCEPT

Step 4: 打开 WireGuard UDP 端口 #51820

iptables -I INPUT 1 -i ppp0 -p udp --dport 51820 -j ACCEPT

保存&验证结果

# 保存
iptables-save -t nat
# 验证结果
iptables -t nat -L -n -v

iptables -L -n -v

客户端设置

路由器添加客户端

拷贝到本地修改

# PublicKey 和 PrivateKey 不要改，DNS可以去掉；AllowedIps改为VPN网段
[Interface]
PrivateKey = GCxxxx
Address = 10.6.0.2/32
# DNS = 10.6.0.1[Peer]
PublicKey = ZPWxxx
# AllowedIPs = 0.0.0.0/0
AllowedIPs = 10.6.0.0/24
# 若客户端将endpoint解析成了ipv4地址，这里可以直接改成ipv6地址验证是否连通
# Endpoint = [240e:xxx:xxx:11a5]:51820
Endpoint = xx.asuscomm.cn:51820PersistentKeepalive = 25

客户端安装方式

https://www.wireguard.com/install/

mac的客户端可以在终端中执行brew install wireguard-tools 安装

要使用brew命令需要安装homebrew：Homebrew — The Missing Package Manager for macOS (or Linux)

mac的brew安装设置方式

mkdir -p /usr/local/etc/wireguard
vim /usr/local/etc/wireguard/wg0.conf

将上面的配置写入/usr/local/etc/wireguard/wg0.conf这个文件中

然后执行

sudo wg-quick up wg0

然后执行sudo wg查看运行情况

这里如果transfer中既有sent又有received说明与VPN server之间已经连通

关闭wireguard client的命令为：sudo wg-quick down wg0

windows客户端配置

然后点击连接即可。

验证方案

两台电脑，一台连接手机热点，一台连接路由器wifi，均打开wireguard，关闭防火墙

其中一台电脑开一个端口做http服务器（推荐使用nginx），另一台电脑浏览器访问10.6.0.x:{port}，若能访问则证明端口已经连通

若开启了远程桌面功能可直接用远程桌面连接验证