ps:在隧道中是通过IPv4通信的,因此内网设备不需要IPv6地址
前提
wan已获得IPv6地址
已为软路由地址绑定域名配置DDNS
luci-proto-wireguardqrencode
添加并配置端口
- 网络 -> 接口 -> 添加新接口
- 名称:wireguard(随意)
- 协议:WireGuard VPN 创建
- 常规设置
- 生成密钥对
- 监听端口:<要开放的端口>
- IP 地址:192.168.5.1/24(不能和已有网段冲突)
- 防火墙:lan
- 对端 -> 添加对端
- 描述:<设备名称>
- 生成新的密钥对
- 生成预共享密钥对(可选)
- 允许的 IP:192.168.5.2(网段内的地址)添加
- 生成配置
- 拉到最上面 -> 连接端点:<域名>
客户端下载WireGuard并配置
手机端
+号 -> 扫描二维码 -> <名称>
电脑端
- 添加空隧道
- 复制生成的配置到替换WireGuard中的原有配置
保存配置
- 保存并应用
- 重启wireguard接口
防火墙配置放行端口
- 网络 -> 防火墙 -> 通信规则
- 左下角添加
- 常规设置
- 名称:Allow-WireGuard
- 协议:UDP
- 源区域:wan
- 目标区域:设备
- 目标端口:<要放行的端口>
- 操作:接受
- 高级设备
- 地址族限制:仅IPv6
- 常规设置
- 保存并应用
- 验证
- 网络 -> 接口 查看wireguard接口有无数据接收发送
问题:wireguard接口接收发送都为0
解决:前提需要有设备连接
- 慎重操作
- 关闭所有第三方DNS插件
- 网络 -> DHCP/DNS -> 高级设置 -> 取消勾选过滤 IPv6 AAAA 记录
问题:网络卡顿严重
解决:用wireshark抓包观察数据包是否分片
将客户端配置的MTU调小( 比如1400或1380)调整至无分片