求助老哥帮忙看看wireguard配置

1***

我按网上教程配置完，只有在同一个局域网内才能访问wireguard的网段的设备
用手机流量就无法访问，主路由爱快192.168.2.1 开端口映射到op旁路路由192.168.2.166
现在我就只有在内网才能访问，大佬做完呢直接手机流量能访问，我看防火墙啥的规则也加了，，，还有哪里有问题
想请教下论坛老哥们
发帖子后下面ping无限超时了
图示电脑截图
op界面
wireguard节点界面
wire guard  网段 192.168.100.2 （pc ）  ping  192.168.100.3（手机 ）
设置了一个拨号后的公网ip，非固定

1***

av***

1 要外网访问需要公网IP，鉴于家庭拨号ISP会定期回收IP，要么你搞DDNS要么你在网关整一个IP更新就报告的定时脚本，譬如ip变动就发邮件，否则wireguard是没法用的
2 你要把wireguard配置贴出来才知道，记得隐去密钥部分，不是贴luci界面，是ssh进后台直接贴 /etc/config/network里 wireguard的部分
3 还有防火墙的端口，wireguard监听的端口要在防火墙开放UDP端口转发

1***

avin4 发表于 2022-2-3 15:49
1 要外网访问需要公网IP，鉴于家庭拨号ISP会定期回收IP，要么你搞DDNS要么你在网关整一个IP更新就报告的定 ...

老哥，先谢谢回复
1我有公网ip，爱快里面双播后公网IP可以保持好几天不变，我测试的时候主路由没重新就可以一直保持>24小时
2  换机器重装  密钥应该会变把， 我虚拟机随时可以重装，谢谢老哥提醒config interface 'wg0'
        option proto 'wireguard'
        option private_key '我是隐藏密钥'
        option listen_port '2345'
        list addresses '192.168.100.1/24'
config wireguard_wg0
        option public_key '我是隐藏密钥'
        list allowed_ips '192.168.100.2/32'
        option route_allowed_ips '1'
        option preshared_key '我是隐藏密钥'
3 爱快主路由192.168.2.1，已开启端口映射wan1  ：2345端口UDP 映射到192.168.2.166（op旁路由）

4   op旁路由  防火墙已经添加 iptables -t nat -A POSTROUTING  –s 192.168.100.0/24 -o br-lan –j MASQUERADE
5目前连接手机或者电脑连接wireguard后，只有通过家里wifi才能访问198.168.100.1（wireguard里面op的ip）其他设备如nas192.168.2.9  主路由192.168.2.1都无法访问，
6  如过使用手机流量连接 ，全部设备100.1 网段2.1网段都无法访问任何设备

gl***

和你的很相似，但是我的手机不管是iphone还是安卓都能总运营商流量访问内网，但办公室电脑就不行，回头外研究一下怎么回事。

av***

我的环境和你不同，我是主路由直接做wireguard服务器，

network配置

1. config interface 'WireGuard'
   
2.         option proto 'wireguard'
   
3.         option private_key '=key='
   
4.         option delegate '0'
   
5.         option listen_port '65000'
   
6. 
   
7. config wireguard_WireGuard
   
8.         option description 'avin'
   
9.         option public_key '=key='
   
10.         list allowed_ips '10.67.0.2/32'
    
11.         option route_allowed_ips '1'
    
12.         option persistent_keepalive '25'

复制代码

防火墙配置

1. config rule
   
2.         option name 'WireGuard'
   
3.         list proto 'udp'
   
4.         option src 'wan'
   
5.         option dest_port '65000'
   
6.         option target 'ACCEPT'

复制代码

手机对端配置

1. [Interface]
   
2. Address = 10.67.0.2/32
   
3. PrivateKey = =key=
   
4. 
   
5. [Peer]
   
6. AllowedIPs = 192.168.88.0/24
   
7. Endpoint = public ip:65000
   
8. PersistentKeepalive = 25
   
9. PublicKey = =key=

复制代码

如果Endpoint =
这里配置了DDNS，例如IPV6地址，而客户端没有IPV6解析能力，就会访问失败。

1***

avin4 发表于 2022-2-5 13:51
我的环境和你不同，我是主路由直接做wireguard服务器，

network配置

谢谢我我参考看看

ghd***

我也是旁路由做的wg
第一个peer可以连上
第二个peer连上第一个就会永久失效
第三个peer连上 ，第二个也会失效。
也就是只有最后一个配置的才能连上。

阿***

ghdong 发表于 2023-6-7 09:32
我也是旁路由做的wg
第一个peer可以连上
第二个peer连上第一个就会永久失效

这是WireGuard本身的特性
每个peer只能跟一个目标地址通信，多个设备需要配置多个peer
同时要注意给多个peer配置 Allowed IPs 时要使用/32而不能是/24，否则会冲突同样导致最后一个配置才有效
一般客户端只配置一个服务端的peer，所以可以用/24。但如果客户端需要配置多个peer的话，也要考虑冲突问题