Wireguard+公网轻量应用服务器实现 IPv4 内网穿透
说明
由于商用宽带等链路还未完全支持 IPv6 ,或者说有些单位为了安全考虑禁止了 IPv6 的入口访问和地址分配,导致在外或单位时就是纯 IPv4 环境,而不想要安装客户端,就需要一台 IPv4 公网服务器提供链接服务。
但是像 Ngork 、 Zerotier 之类现在使用体验实在说不上多好,OpenVPN 、 IPsec 又感觉配置繁琐,有的还需要安装客户端。碰巧最近瞄到了 B 站 UP 司波图的新视频,就来试试,发现 4 M带宽的轻量级应用服务器,可以实现 1080P24帧 电影的流畅播放,还有每月重置的 1T 流量。
当然,ESC 云服务器还是好很多,支持 IPv6 就不用内网穿透了,直接代理就完事了,还贵。
介绍
WireGuard是一个易于配置、快速且安全的开源虚拟专用网软件,它利用了最新的加密技术。目的是提供一种更快、更简单、更精简的通用虚拟专用网,它可以轻松地在树莓派这类低端设备到高端服务器上部署。
Wireguard 服务器
我这里使用 spoto 给出的gitee文档进行记录。
Docker Compose
创建 docker-compose.yml :
复制version: "3.3"
services:
wg-easy:
image: weejewel/wg-easy
container_name: wg-easy
environment:
- WG_HOST=<域名或IP>
- PASSWORD=<密码>
- WG_DEFAULT_ADDRESS=10.0.1.x
- WG_DEFAULT_DNS=114.114.114.114
- WG_ALLOWED_IPS=10.0.1.0/24
- WG_PERSISTENT_KEEPALIVE=25
volumes:
- /home/docker/wireguard/wireguard:/etc/wireguard
ports:
- "51822:51820/udp"
- "51821:51821/tcp"
cap_add:
- NET_ADMIN
- SYS_MODULE
sysctls:
- net.ipv4.conf.all.src_valid_mark=1
- net.ipv4.ip_forward=1
restart: unless-stopped
注意
| 参数 | 值 | 说明 |
|---|---|---|
| WG_DEFAULT_ADDRESS | 10.0.1.x |
这里的 x 指的是任意可分配,不要用具体的数值代替。其他示例: 100.100.100.x 。 |
| WG_ALLOWED_IPS | 10.0.1.0/24 |
最好与 WG_DEFAULT_ADDRESS 所指代的相同。 |
| ports | "51822:51820/udp" |
可以根据情况更改监听端口,如果你之后想把这个服务作为网络的一个客户端实现点对点的话。 |
原默认协议交换端口为 51820 ,为将公网服务器也作为一个节点(其实我也没研究过,不甚清除,只是作为余量避免出现问题),将 51820 分配给宿主机,51822 分配给容器。
运行容器后,容器自分配地址 10.0.1.1 ,客户端新建从 10.0.1.2 开始分配。
错误提示
配置错误
若参数 WG_DEFAULT_ADDRESS 设置错误,添加的第一个客户端分配地址为 10.0.1.1 ,在添加第二个客户端时,浏览器将弹窗报错:
复制Maximum number of clients reached.
Wireguard 客户端
Windows 、 Android
可以参考: 【司波图】基于Wireguard组网技术的内网穿透教程 哔哩哔哩 bilibili 。
OPNsense
22.7 版本的 OPNsense 只提供了
wireguard-go这样一个服务器的插件,若仅实现客户端的功能可以通过下载 FreeBSD 源的软件。复制pkg install wireguard
最新的 23.1 版本,提供了 wireguard 和 wireguard-go 两个插件,更多请参考: OPNsense 系列七:WireGuard 安装重整理 。
CentOS 7
官方一共给出了三种方法,这里只推荐第二种:使用标准内核的 ELRepo 的预构建模块。
复制$ sudo yum install epel-release elrepo-release
$ sudo yum install yum-plugin-elrepo
$ sudo yum install kmod-wireguard wireguard-tools
报错
若安装过程中,或者安装完成后调用服务时提示: Cannot find device "wg0" 。那就需要更新 CentOS 7 内核。
-
查看可用列表。
复制
yum --enablerepo="elrepo-kernel" list --showduplicates | sort -r | grep kernel-ml.x86_64 -
安装稳定版本。
复制
yum --enablerepo=elrepo-kernel install kernel-ml -y -
查看现有内核。
复制
awk -F\' '$1=="menuentry " {print $2}' /etc/grub2.cfg -
修改默认启动项。
复制
grub2-set-default <现有内核列表索引号>注意:索引号由上至下、从 0 开始。
-
手动重启
reboot。注意:若为云服务器,在网页 UI 重启云服务器无效。
更多
参阅官方: Installation - WireGuard 。
链路使用
服务器使用
请参阅: 【司波图】基于Wireguard组网技术的内网穿透教程 哔哩哔哩 bilibili 。
客户端使用
Windows 、 Android
参阅视频,略。
OPNsense
最新的 23.1 版本,提供了 wireguard 和 wireguard-go 两个插件,更多请参考: OPNsense 系列七:WireGuard 安装重整理 。
在 OPNsense 中, Wireguard 客户端默认配置路径为
/usr/local/etc/wireguard,在默认配置路径下创建wg0.conf配置文件,并将从wg-easy容器 Web 服务中的配置文件下载粘贴:复制[Interface] PrivateKey = xxxxxxxxxxxxxxxxxxxxxx Address = 10.0.1.2/24 DNS = 114.114.114.114 [Peer] PublicKey = xxxxxxxxxxxxxxxxxxxxxxxxx PresharedKey = xxxxxxxxxxxxxxxxxxxxxxxxxx AllowedIPs = 10.0.1.0/24 PersistentKeepalive = 25 Endpoint = xxxxxxxxxxxxxxxx:51822保存后执行:
复制wg-quick up <默认配置路径>/wg0.conf因为重启后 Wireguard 客户端默认非开机启动,建议添加到计划任务中。
参考 OPNsense 防火墙系列三:阿里云 aliddns + 计划任务 - Yogile - 博客园 (cnblogs.com) 的计划任务的固定命令配置。
示例:
复制root@route:/usr/local/opnsense/service/conf/actions.d # cat actions_wireguard_wg0_yogile.conf [up] command:/home/wireguard/wireguard_up_wg0.sh >> /home/Logs/wireguard-wg0.log parameters: type:script description:wg-quick up the wg0 conf message:wg-quick up在 大厅 -> 服务 中,重启 configd 服务。
在 系统 -> 设置 -> 调度任务 中,点击 + 添加,选择 命令 为 actions_aliddns.conf 中的 description ,其他自定义即可。
其余 Linux
在 CentOS 7 中,默认配置路径为 /etc/wireguard 。
其他 Linux 发行版也是两者中的一个。
在默认配置路径下创建 wg0.conf 配置文件,并将从 wg-easy 容器 Web 服务中的配置文件下载粘贴:
复制[Interface]
PrivateKey = xxxxxxxxxxxxxxxxxxxxxx
Address = 10.0.1.2/24
DNS = 114.114.114.114
[Peer]
PublicKey = xxxxxxxxxxxxxxxxxxxxxxxxx
PresharedKey = xxxxxxxxxxxxxxxxxxxxxxxxxx
AllowedIPs = 10.0.1.0/24
PersistentKeepalive = 25
Endpoint = xxxxxxxxxxxxxxxx:51822
保存后执行:
复制wg-quick up <默认配置路径>/wg0.conf
因为重启后 Wireguard 客户端默认非开机启动,建议添加到计划任务中。
CentOS 7 :
复制0 */4 * * * (/usr/local/bin/wg-quick up /etc/wireguard/wg0.conf) >> /home/Logs/wireguard-wg0.log
Nginx 反向代理 HTTPS
Docker Compose
复制version: '3.1'
services:
nginx:
restart: always
image: nginx:latest
container_name: nginx
ports:
- 80:80
- 443:443
- 51823:51823 # 用于反向代理 Wireguard 提供 ssl
- xxxxx:xxxxx # 更多
volumes:
- /home/docker/nginx/conf.d:/etc/nginx/conf.d
Wireguard 51821 SSL
复制server {
listen 51823 ssl http2;
server_name <域名> www.<域名>;
ssl on;
root html;
index index.html index.htm;
ssl_certificate /etc/nginx/conf.d/ssl/<域名>.pem;
ssl_certificate_key /etc/nginx/conf.d/ssl/<域名>.key;
ssl_session_timeout 5m;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
location / {
proxy_set_header Host $host:$server_port;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "Upgrade";
proxy_pass http://<域名>:51821;
}
#error_page 404 /404.html;
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root /usr/share/nginx/html;
}
}
.conf 文件示例
复制server {
listen 9999 ssl http2;
server_name xxxxxxx www.xxxxxxx;
ssl on;
root html;
index index.html index.htm;
ssl_certificate /etc/nginx/conf.d/ssl/xxxxxxx.pem;
ssl_certificate_key /etc/nginx/conf.d/ssl/xxxxxxx.key;
ssl_session_timeout 5m;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
location / {
proxy_set_header Host $host:$server_port;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header REMOTE-HOST $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_pass https://10.0.1.2:9999$request_uri;
}
#error_page 404 /404.html;
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root /usr/share/nginx/html;
}
}
为了使反向代理的服务不会重定向到 80 端口,设置:
复制 location / {
proxy_set_header Host $host:$server_port;
......
}
【出处】:https://www.cnblogs.com/Yogile/p/16659595.html
=======================================================================================
Wireguard 问题处理记录
1. resolvconf: command not found
问题描述
复制root@firewall:~# wg-quick up firewall
[#] ip link add firewall type wireguard
[#] wg setconf firewall /dev/fd/63
[#] ip -4 address add 10.0.1.2/24 dev firewall
[#] ip link set mtu 1420 up dev firewall
[#] resolvconf -a firewall -m 0 -x
/usr/bin/wg-quick: line 32: resolvconf: command not found
[#] ip link delete dev firewall
root@firewall:~# apt install resolvconf
解决
复制apt install openresolv
若仍然提示 resolvconf: command not found ,则试试 ssh root@127.0.0.1 。无法连接则调整权限: SSH连接报错 “Permission denied” 的解决方法 - Yogile - 博客园 (cnblogs.com) 。
若登陆后 wg-quick up firewall 执行正常,则说明:默认账户转 su 无法获取完整 root 权限。
在 /etc/sudoers.d 中, su -l root 添加文件 firewall (nano /etc/sudoers.d/firewall):
复制firewall ALL=(ALL:ALL) ALL
输入 echo "<root密码>" | sudo -S wg-quick up firewall ,即可命令行执行程序。
来源
2. Unable to access interface: No such device
问题描述
复制root@firewall:~# wg-quick up firewall
[#] ip link add firewall type wireguard
[#] wg setconf firewall /dev/fd/63
Temporary failure in name resolution: `example:51820'. Trying again in 1.00 seconds...
Temporary failure in name resolution: `example:51820'. Trying again in 1.10 seconds...
^C[#] ip link delete dev firewall
Unable to access interface: No such device
[#] ip link delete dev firewall
Cannot find device "firewall"
解决
远程登录权限不够。
【出处】:https://www.cnblogs.com/Yogile/p/17868440.html
=======================================================================================
如果,您希望更容易地发现我的新博客,不妨点击一下绿色通道的【关注我】。(●'◡'●)
因为,我的写作热情也离不开您的肯定与支持,感谢您的阅读,我是【Jack_孟】!
本文来自博客园,作者:jack_Meng,转载请注明原文链接:https://www.cnblogs.com/mq0036/p/17902819.html
【免责声明】本文来自源于网络,如涉及版权或侵权问题,请及时联系我们,我们将第一时间删除或更改!
posted on 2023-12-15 10:34 jack_Meng 阅读(1241) 评论(0) 编辑 收藏 举报
