7965d31319b3c07dafeb433c9cb4af22

🛠️ 阶段一:基建准备(网络寻址)

这是确保外网能找到你家的前提。

  1. 确认公网 IP:在中兴主路由(192.168.100.10)后台,确认 WAN 口获取的是真实的公网 IPv4 地址。
  2. 配置 DDNS 解析:在 ImmortalWrt 旁路由中安装 ddns-go。通过外部接口获取真实公网 IP,并绑定到你的域名(如 kakalong.top)。

![image-20260324232050510](/Users/kakalong/Library/Application Support/typora-user-images/image-20260324232050510.png)

![image-20260324232326637](/Users/kakalong/Library/Application Support/typora-user-images/image-20260324232326637.png)

⚙️ 阶段二:旁路由服务端搭建 (ImmortalWrt)

在旁路由里建立 VPN 的大本营。

  1. 安装核心包:在软件包中安装 wireguard-toolskmod-wireguardluci-proto-wireguard安装后务必重启路由器
  2. 创建 wg0 接口
    • 协议选 WireGuard VPN
    • 生成服务端密钥对,妥善保存【服务端公钥】
    • 监听端口设为 51820
    • 分配虚拟局域网 IP(例如 10.10.10.1/24)。
    • 防火墙区域分配给 lan

🛡️ 阶段三:旁路由防火墙打通(最关键的两步)

因为是旁路由,这两步如果漏掉,必定无法通信。

  1. 解决回程迷路(IP 动态伪装)
    • 进入 网络 - 防火墙 - 常规设置。
    • 找到 lan 区域,勾选“IP 动态伪装 (Masquerading)”
  2. 放行 51820 端口
    • 在防火墙 - 通信规则中,添加一条规则。
    • 协议选 UDP,目标区域选 设备 (Input),目标端口填 51820,动作选 接受

📱 阶段四:客户端配置 (手机 / 电脑)

  1. 生成客户端密钥:新建隧道,自动生成密钥对,复制【客户端公钥】

    https://www.wireguard.com/install/

    https://github.com/vaardan/wireguard-macos-app

  2. 本地 (Interface) 设置

    • 分配一个独立的 VPN IP(例如 10.10.10.2/24)。
    • DNS 填主路由 IP(192.168.100.10)。

  3. 远程对端 (Peer) 设置

    • 公钥:填入阶段二保存的【服务端公钥】
    • **对端 (Endpoint)**:填入你的动态域名和端口(kakalong.top:51820)。
    • 允许的 IP (AllowedIPs):为了实现不影响正常上网的分流模式,填入内网网段和 VPN 网段(192.168.100.0/24, 10.10.10.0/24)。

🤝 阶段五:互相登记与开门

  1. 旁路由登记客户端
    • 回到 ImmortalWrt 的 wg0 接口,在“Peers (对端)”中添加新设备。
    • 填入阶段四生成的【客户端公钥】
    • 允许的 IP 填入分配给该客户端的 IP,后缀必须是 /32(例如 10.10.10.2/32),勾选“路由允许的 IP”。
  2. 主路由开门(端口映射)
    • 登录中兴主路由。
    • 在应用/安全中找到“端口转发”。
    • 添加规则:协议 UDP,外部端口 51820,内部 IP 填旁路由的真实 IP,内部端口 51820

🌟 阶段六:新增客户端

  1. 新设备配置wireguard客户端
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
[Interface]
# 名字随便起,私钥系统已经自动生成好了,不要动它
PrivateKey = (这里保留系统自动生成的私钥,不要改)
# 给 Mac 分配一个新的独立 IP,手机是 10.10.10.2,Mac 我们用 10.10.10.3
Address = 10.10.10.3/24
# DNS 指向你的中兴主路由
DNS = 192.168.100.10

[Peer]
# 填入你最初在 ImmortalWrt (wg0 接口) 里生成的【服务端公钥】
PublicKey = 填入你的服务端公钥
# 分流模式:只在访问 100 网段和 VPN 网段时走隧道,不影响 Mac 正常看视频、下载
AllowedIPs = 192.168.100.0/24, 10.10.10.0/24
# 你的动态域名和端口
Endpoint = kakalong.top:51820
  1. 去 ImmortalWrt 后台给 Mac“登记注册”
1
2
3
4
5
6
7
1. 登录 ImmortalWrt 后台。
2. 进入 网络 -> 接口,找到 wg0,点击 修改。
3. 切换到 Peers (对端) 标签页,往下滚动,点击 “添加 Peer”(你会看到之前手机的 Peer 还在那里,不要动它,我们是新增一个)。
4. 公钥 (Public Key):粘贴你在第二步里复制的 Mac 的公钥。
5. 允许的 IP (Allowed IPs):填入分给 Mac 的 IP:10.10.10.3/32(注意后缀必须是 /32)。
6. 勾选 路由允许的 IP。
7. 点击右下角的 保存并应用 (Save & Apply)。

注意:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
WireGuard 单独开启时的问题:
路由劫持:WireGuard 可能修改了默认路由,所有流量都尝试走 utun4
DNS 限制:只配置了家庭 DNS 192.168.100.10,无法解析外网域名
出口限制:WireGuard 配置可能只允许访问家庭内网段
Clash Verge 的作用:
TUN 模式接管所有流量:创建虚拟网卡 utun5
智能路由:国内流量直连,国外流量走代理
DNS 处理:使用 114.114.114.114 等公网 DNS
流量分流:自动判断哪些流量走 WireGuard,哪些走公网
 
当前配置是合理的
你的配置实际上是最佳实践:
✅ WireGuard:访问家庭内网资源(NAS、数据库等)
✅ Clash Verge:访问互联网,智能分流
✅ 两者共存:互不干扰,各司其职

快来参与讨论吧~

博客近期分类标签归档
项目软件开发人工智能Staller
社交友链
更多关于本站
本站由 卡卡龙 使用 Stellar 1.29.1主题创建

本站访问量 次. 本文阅读量 次.

Stellar Copyright Licenses Hexo 备案 描述文字 描述文字