【Linux】Openwrt(iStoreOS)上使用WireGuard组网

服务器工作

• 准备工作

平台：x86/64

固件：iStoreOS 22.03.5 2023081110 / LuCI istoreos-22.03

安装软件包

系统-软件包-更新列表

然后筛选列表，安装以下软件

kmod-wireguard
luci-app-wireguard
luci-i18n-wireguard-zh-cn
luci-proto-wireguard
wg-installer-server
wg-installer-server-hotplug-babeld
wg-installer-server-hotplug-olsrd
wireguard-tools

重启系统

• 服务端相关配置

登陆 openwrt – 网络 – 接口 – 添加新接口

接口名随意填写例如 WGd

协议选择 WireGuard VPN

点击提交

开机自动运行 打钩

直接生成新的密钥对

监听接口改一下，然后记住例如（12345）

地址改为 192.168.100.1/24 （改为私有地址，不与主网络相同）

防火墙设置 – 选择 lan

防火墙-自定义规则添加iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o br-lan -j MASQUERADE(有人说不加也行，我自己加了的)

• 添加客户端

客户端 peer添加

网络 – 接口 –找到WGd -点击编辑-对端

添加对端

描述（对端名称） 例如PC1

直接生成新的密钥对

直接生成预共享密钥

允许的IP设置为192.168.100.2-254/32

路由允许的IP 打钩

持续 Keep-Alive 设置为：25

然后点击 生成配置

连接端点 改为：DDNS的域名

允许的IP 设置为：内网网段 、WGd的网段 例如 192.168.1.0/24、192.168.100.0/24 把原有的0.0.0.0/0 和 ::/0 删除

下方的配置文件大概格式为：

[Interface]
PrivateKey = qGXmfeG8U******
# ListenPort not defined

[Peer]
PublicKey = F7qCrMXFN0VDhc5td******
PresharedKey = i/SHaYDyZDe16C*****
AllowedIPs = 192.168.1.0/24、192.168.100.0/24
Endpoint = example.com:12345
PersistentKeepAlive = 25

需要添加一条 Address = 192.168.100.2/32到[Interface]内 修改过后的配置文件如下

[Interface]
PrivateKey = qGXmfeG8U******
Address = 192.168.100.2/32
# ListenPort not defined

[Peer]
PublicKey = F7qCrMXFN0VDhc5td******
PresharedKey = i/SHaYDyZDe16C*****
AllowedIPs = 192.168.1.0/24、192.168.100.0/24
Endpoint = example.com:12345
PersistentKeepAlive = 25

配置文件保存为*.conf 导入对应的客户端就可以使用了

网络-防火墙-端口转发-添加 放行192.168.1.1 的12345端口

网络-防火墙-常规设置-lan到wan 编辑添加涵盖网络，把刚刚的WGd接口添加进去

操作完以上记得重启WGd 接口