padavan上使用wg、wg-go和tunsafe

liao***

wireguard-go和tunsafe是实现wireguard的应用，是由于内核问题，无法正常使用wireguard内核一种折中方法
其中，tunsafe已经停止更新了，但从我测试各项数据来看，tunsafe性能优于wireguard-go。
从外网测速看：

从内网测速看：



wrieguard.ko 、wireguard-go、tunsafe三个项目的对比：

项目	wireguard.ko	wireguard-go	tunsafe
配置难易度	难	较难	易
性能	优	较差	较优

对内核依赖度	极高	不依赖	不依赖
运行需要的文件	wireguard.ko wg wg0.conf (配置文件)	wireguard-go wg wg0.conf (配置文件)	tunsafe wg0.conf (配置文件)

配置文件内容	[Interface] PrivateKey = ListenPort = [Peer] PublicKey = AllowedIPs = Endpoint = PersistentKeepalive =	[Interface] PrivateKey = ListenPort = [Peer] PublicKey = AllowedIPs = Endpoint = PersistentKeepalive =	[Interface] PrivateKey = ListenPort = Address = [Peer] PublicKey = AllowedIPs = Endpoint = PersistentKeepalive =
运行步骤	insmod ./wireguard.ko ip link add dev wg0 type wireguard ip -4 addr add dev wg0 20.0.0.2/24 ./wg setconf wg0 ./wg0.conf ip link set dev wg0 up	./wireguard-go -f wg0 & ip -4 addr add dev wg0 20.0.0.2/24 ./wg setconf wg0 ./wg0.conf & ip link set dev wg0 up	./tunsafe start -d -n wg0 ./wg0.conf &
停止	ip link del dev wg0 rmmod wireguard.ko	ip link del dev wg0	./tunsafe stop wg0
遇到的问题	死机重启：与内核不兼容，请下载对应cpu型号的模块，或者改用Tunsafe	严重丢包：检查./wireguard-go wg0 & 中是否加上 “-f”，在前台运行	一段时间后自动断开： 配置文件里加上“PersistentKeepalive = 25”

所用的文件都来自@8267 大佬的

3.4内核的padavan安装wireguard内核模块进行组网

下面以我的红米路由器RM2100作为服务器进行组网配置，RM2100用的是hiboy大佬的padavan，所以无法使用内核模块，使用了tunsafe!
编写配置文件太繁琐了，还好，有傻瓜全自动生成配置的网站

https://www.wireguardconfig.com/

从网站生成的配置文件不能直接套用
需要进行修改
其中的客户端配置文件：

1. AllowedIPs = 0.0.0.0/0, ::/0

复制代码

要根据实际情况修改

1. AllowedIPs = 20.0.0.0/24,192.168.1.1/32,192.168.1.5/32

复制代码

意思是可以访问到 20.0.0.0/24网段，服务端下的192.168.1.1和192.168.1.5两个主机


接着修改服务端配置文件：

1. AllowedIPs = 20.10.0.2/32

复制代码

可能，增加想访问的主机

1. AllowedIPs = 20.10.0.2/32,192.168.2.1/32,192.168.3.1/32

复制代码

变成对等端了按上面表格中的“运行步骤”进行配置，就行了！

最后关于防火墙问题
先是开放整个防火墙，试着能否ping对端网络，再开启防火墙，试着能否ping对端网络

不通时，检查配置文件中是否有

1. PostUp = iptables -I INPUT -i %i -j ACCEPT; iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o wg0 -j MASQUERADE
   
2. PostDown = iptables -D INPUT -i %i -j ACCEPT; iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o wg0 -j MASQUERADE

复制代码

但是对于wireguard.ko和wireguard-go、tunsafe添加上面两条到配置文件中运行起来会报错！只能用命令运行和添加

1. iptables -I INPUT -i wg0 -j ACCEPT
   
2. iptables -A FORWARD -i wg0 -j ACCEPT
   
3. iptables -A FORWARD -o wg0 -j ACCEPT
   
4. iptables -t nat -A POSTROUTING -o wg0 -j MASQUERADE

复制代码

实际上只运行下面两条命令就行

1. iptables -I INPUT -i wg0 -j ACCEPT
   
2. iptables -A FORWARD -i wg0 -j ACCEPT

复制代码

对于服务端或对等端都需要放行对应端口号（51820）

1. #路由器自身监听端口：
   
2. iptables -A INPUT -p udp --dport 51820 -j ACCEPT

复制代码

用到ipv6的，也要放行对应的端口

1. #路由器自身监听端口：
   
2. ip6tables -A INPUT -p udp --dport 51820 -j ACCEPT
   
3. ip6tables -A OUTPUT -p udp --sport 51820 -j ACCEPT

复制代码

为了在下次开机重启有效，将命令写入到如下图所示：



padavan防火墙放行规则，请查阅：@a63661312大佬的

老毛子IPV6防火墙放行端口远程访问汇总

82***

防火墙命令也不需要吗 就可以访问对端下面的设备了吗

liao***

8267 发表于 2024-2-21 16:06
防火墙命令也不需要吗 就可以访问对端下面的设备了吗

关闭防火墙后，不需要用什么命令，就可以访问对下的设备

myc***

看样子还是你搞的vnt简单多了吧！！！！！！！！！！！！！！！！！

liao***

mycsun 发表于 2024-2-22 08:54
看样子还是你搞的vnt简单多了吧！！！！！！！！！！！！！！！！！

我只不过是为它写个启动脚本而已

82***

大佬 测试用了这么多 哪个稳定好用啊

liao***

8267 发表于 2024-3-11 22:53
大佬 测试用了这么多 哪个稳定好用啊

当然是vnt了，其次是wg

82***

liaohcai 发表于 2024-3-12 15:14
当然是vnt了，其次是wg

那我不需要再折腾其他了，继续用vnt