记录时间:2020 年 2 月 8 日
关键词:OpenWrt wireguard 配置 ipv6
记录用途
路由器作为服务端,利用ipv6方便地连接到家庭内网,传输文件,局域网游戏等等
记录环境
K2路由器(PSG1218) OpenWrt 19.07.1 固件 ,家庭宽带 ipv6
安装的openwrt 软件包:wireguard luci-app-wireguard 以及汉化包 luci-i18n-wireguard-zh-cn luci-i18n-base-zh-cn luci-i18n-firewall-zh-cn
luci管理界面直接配置
- 添加接口
依次找到网络->接口->添加新接口,设置内容如下
1 | 名称:wg |
然后创建接口。
- 接口>>wg 基本设置
分别填写举例如下
1 | 私钥:Yczs1a2s5dRib6UUEl2a14Wd0OuZ8gVy/Cz6UgjiQI= (必须由程序生成) |
关于公钥私钥的获得:可以在Android或者windows等客户端上,选择手动添加配置,就会自动生成一组,然后直接复制private key填写在这里即可。另外public key也要保存一下,客户端的配置需要用到。
也可以ssh到openwrt,然后执行
1 | wg genkey | tee privatekey | wg pubkey > publickey |
在privatekey文件中得到私钥,在publickey文件得到公钥。
- 接口>>wg 防火墙设置
创建/分配防火墙区域:选择lan
- 接口>>wg Peers
点击添加对等点
,填写配置举例如下:
1 | 描述(可选):android111 (自定一个客户端的英文名称) |
然后保存并应用。若需要添加更多客户端,只需要重复这一步添加更多的Peers即可,最基本的只要填写对应的公钥
和允许的IP
即可。
- 设置防火墙开放监听端口
依次找到网络->防火墙->通信规则->添加,打开的页面为防火墙 - 通信规则 - 未命名规则,在基本设置中只需修改如下几项,其他项默认即可
1 | 名称:Allow_Wireguard-Inbound (名称任意,只要是便于识别的英文即可) |
然后保存并应用。最后还需要重启一次wg接口或路由器才会生效。一旦连接成功可以在 状态->Wireguard状态 中看到相关的信息。
对客户端的配置
推荐参考这篇文章:
自己搭建WireGuard给Android用:https://mine260309.me/archives/1697
如果要配置windows端或其他平台,可以先在手机端配置好后,导出配置文件再发送过去直接导入配置就行了。因为感觉windows客户端目前用起来还是有点简陋啊,静待更新吧。
关于wireguard
其实wireguard本身的设计是既可以作为服务端也可以作为客户端的,所以说一个端点起什么作用只看你的接口(interface)和对等端(peers)设置是如何填写的了。
由于之前对于非对称加密没什么了解,在配置时就被自己坑了,弄错了公钥和私钥的使用对象。所以以配置过程为例,稍稍记录一下这个关系。
interface为本机的相关信息,peers为对方的相关信息。无论服务端还是客户端,在一个完整的配置中,peers的公钥只填写对方设备的公钥,而私钥则是本机(interface)自己的。一开始配置时没有搞清楚这个公私钥的关系,考虑了半天才明白就是这么简单。对于生成的一对公钥和私钥,私钥只给自己用,公钥则交给对方使用。
非ipv6的备选方案
如果没有ipv6或公网ip怎么办? 推荐使用ZeroTier,而且这个感觉使用和配置更简单一些。
关于记录
没有整到用起来流畅的图床,只能用文字记录了
参考
自己搭建WireGuard给Android用:https://mine260309.me/archives/1697
Setting up a WireGuard server on OpenWRT:https://blog.birkhoff.me/setting-up-a-wireguard-server-on-openwrt/
记 WireGuard 部署及注意事项:https://yooooex.com/2019/05/23/wireguard-deploy/