为红米 AX6000 路由器官方固件增加 wireguard server 并支持自启动

silver***

拿到红米 AX6000 路由器也有一段时间了，一直都在用官方固件，主要是为了稳定。最近申请到了宽带公网 IP，因此花了好几天时间，研究了下怎样在官方固件上加上 wireguard 支持，这样可以在外面连接到家里的路由器，访问家里的内网资源。

这里主要用到了 "wireguard-go"，不需要内核编译支持 wireguard 模块。测试支持的路由器固件版本包括 "1.0.64~1.0.67"。

具体步骤如下：

1. 下载网盘中的文件，解压后得到 "wireguard" 文件夹；
链接: https://pan.baidu.com/s/1-BB5S638aQsDbShlYy2IrA?pwd=h2ji 提取码: h2ji

2. 默认 wiregurad 服务端的地址设为了 "192.168.69.1/24"，如果需要的话，可以修改文件 "wireguard/bin/start-wireguard-daemon.sh"：

1. $ cat wireguard/bin/start-wireguard-daemon.sh
   
2. #!/bin/sh
   
3. #
   
4. # start wireguard on boot
   
5. # by: silverzhaojr
   
6. #
   
7. # included by /etc/config/firewall
   
8. #
   
9. 
   
10. wg_if="wg0"
    
11. 
    
12. [ -n "$wg_if" ] && \
    
13. [ -r /data/wireguard/etc/"$wg_if".conf ] && \
    
14. (ip link del dev "$wg_if" 2>/dev/null || true) && \
    
15. /data/wireguard/bin/wireguard-go "$wg_if" && \
    
16. /data/wireguard/bin/wg setconf "$wg_if" /data/wireguard/etc/"$wg_if".conf && \
    
17. ip -4 addr add dev "$wg_if" 192.168.69.1/24 && \
    
18. ip -6 addr add dev "$wg_if" fd69::1/64 && \   # 需要 ipv6 支持的话，这行必须加上
    
19. ip link set dev "$wg_if" up && \
    
20. echo "wireguard started successfully!"
    
21. 
    
22. # 如果想要 ipv6 支持的话，加上下面这段代码
    
23. # for ipv6 support
    
24. sleep 120   # 这里等待 120 秒是为了确保路由器重启后有足够的时间获取到 ipv6 地址，可以根据实际情况改变等待时间
    
25. # set masq6 for wireguard outgoing traffic
    
26. . /lib/functions/network.sh
    
27. network_find_wan6 NET_IF6
    
28. network_get_device NET_DEV6 "${NET_IF6}"
    
29. if [ -n "${NET_DEV6}" ]; then
    
30.   ip6tables -t nat -A POSTROUTING -s "fd69::/64" -o "${NET_DEV6}" -j MASQUERADE
    
31. fi
    

复制代码

3. 修改 wireguard 配置文件 "wireguard/etc/wg0.conf"：

1. $ cat wireguard/etc/wg0.conf
   
2. [Interface]
   
3. ListenPort = 51820
   
4. PrivateKey = server/private/key/here=  # <== 这里改成服务器的私钥
   
5. 
   
6. [Peer]
   
7. PublicKey = you/peer/public/key/here=  # <== 这里改成你想加进来的客户端的公钥
   
8. AllowedIPs = 192.168.69.11/32,fd69::11/128  # <== 这里改成你想加进来的客户端的地址，注意要和上面的服务器地址在同一网段
   
9. 
   
10. # 需要的话，可以在下面增加更多的 "[Peer]" 字段
    
11. [Peer]
    
12. ...

复制代码

4. 将文件夹 "wireguard" 复制到红米 AX6000 路由器的 "/data" 目录下，并增加可执行权限：

1. root@XiaoQiang:~# chmod a+x /data/wireguard/bin/*

复制代码

5. 测试下 wireguard 是否可以正常运行：

1. root@XiaoQiang:~# /data/wireguard/bin/start-wireguard-daemon.sh
   
2. 2022/12/15 15:20:48 Interface wg0 configured.
   
3. wireguard started successfully!

复制代码

如果看到 "wireguard started successfully!" 说明成功，可以再运行如下命令查看 wireguard 的运行详情。如果没有任何输出的话，说明有问题，需要进一步排查。

1. root@XiaoQiang:~# /data/wireguard/bin/wg show
   
2. Interface: wg0 (userspace)
   
3.   public key: JlYMHTR9gwFE/gZZqYz/bx19/kMMyQY4MmkxDSPxn1A=
   
4.   private key: (hidden)
   
5.   listening port: 51820
   
6. 
   
7. peer: gTslP57kRYnPtvzD4XWq3oUDdJ5iQ7c0mZr59pDQdmU=
   
8.   endpoint = (none)
   
9.   allowed ips = 192.168.69.11/32
   
10.   keep alive interval = 0s
    
11.   last handshake time = 0001-01-01T00:00:00Z
    
12.   transfer: 0 bytes received, 0 bytes sent
    
13.   protocol version = 1

复制代码

6. 修改路由器的防火墙设置，允许客户端连接进来。编辑文件 "/etc/config/firewall"，在最后增加如下内容（从 "### wireguard setting ###" 起，至 "### end wireguard setting ###" 结束，包括 "###" 这两行）：

1. root@XiaoQiang:~# vi /etc/config/firewall
   
2. 
   
3. ### wireguard setting ###
   
4. config zone
   
5.     option name 'wg'
   
6.     option device 'wg+'
   
7.     option input 'ACCEPT'
   
8.     option output 'ACCEPT'
   
9.     option forward 'ACCEPT'
   
10. 
    
11. config forwarding
    
12.     option src 'wg'
    
13.     option dest 'lan'
    
14. 
    
15. config forwarding
    
16.     option src 'wg'
    
17.     option dest 'wan'
    
18. 
    
19. config forwarding
    
20.     option src 'lan'
    
21.     option dest 'wg'
    
22. 
    
23. config rule
    
24.     option name 'Allow-WireGuard'
    
25.     option src 'wan'
    
26.     option dest_port '51820'
    
27.     option proto 'udp'
    
28.     option target 'ACCEPT'
    
29. 
    
30. config include
    
31.     option type 'script'
    
32.     option path '/data/wireguard/bin/start-wireguard-daemon.sh'
    
33.     option enabled '1'
    
34. ### end wireguard setting ###

复制代码

7. 重新载入防火墙的设置，使改动生效。这时用客户端连下，应该可以正常连上该 wireguard 服务器了，注意客户端的配置文件中要将服务器的端口设为 "51820"：

1. root@XiaoQiang:~# /etc/init.d/firewall restart
   
2. 
   
3. root@XiaoQiang:~# /data/wireguard/bin/wg show
   
4. Interface: wg0 (userspace)
   
5.   public key: JlYMHTR9gwFE/gZZqYz/bx19/kMMyQY4MmkxDSPxn1A=
   
6.   private key: (hidden)
   
7.   listening port: 51820
   
8. 
   
9. peer: gTslP57kRYnPtvzD4XWq3oUDdJ5iQ7c0mZr59pDQdmU=
   
10.   endpoint = 1.2.3.4:18440
    
11.   allowed ips = 192.168.69.11/32
    
12.   keep alive interval = 0s
    
13.   last handshake time = 2022-12-15T15:39:45Z
    
14.   transfer: 9264 bytes received, 9228 bytes sent
    
15.   protocol version = 1

复制代码

8. 最后可以重启下路由器，以确认 wireguard 自启动是否生效。重启后，用如下命令查看：

1. root@XiaoQiang:~# ip link | grep wg0
   
2. 12: wg0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1420 qdisc fq_codel state UNKNOWN qlen 500
   
3. 
   
4. root@XiaoQiang:~# /data/wireguard/bin/wg show
   
5. Interface: wg0 (userspace)
   
6. ...

复制代码

### 补充内容 ###

a. 如果想临时停止 wireguard server，则在路由器上运行：

1. root@XiaoQiang:~# ip link del dev wg0

复制代码

稍后可以通过如下命令手动启动：

1. root@XiaoQiang:~# /data/wireguard/bin/start-wireguard-daemon.sh
   

复制代码

b. 如果想要禁用 wireguard 的自启动，则编辑文件 "/etc/config/firewall"，将其中的 "enabled" 改成 "0"：

1. root@XiaoQiang:~# vi /etc/config/firewall
   
2. ...
   
3. config include
   
4.     option type 'script'
   
5.     option path '/data/wireguard/bin/start-wireguard-daemon.sh'
   
6.     option enabled '1'  # <== 将这里修改成 "0" 可以禁止 wireguard 的自启动
   
7. ### end wireguard setting ###

复制代码

c. 如果想要完全卸载 wireguard，则先删除防火墙中新增的设置（编辑文件 "/etc/config/firewall"，删除从 "### wireguard setting ###" 开始至 "### end wireguard setting ###" 的所有内容），再删除文件夹 "/data/wireguard"，最后重启路由器：

1. root@XiaoQiang:~# vi /etc/config/firewall
   
2. root@XiaoQiang:~# rm -rf /data/wireguard/

复制代码

a888***

按这个配置client端连接后会导致没有网络


客户端配置





客户端显示连接成功，但是服务端没有Peer信息

1. root@XiaoQiang:/data/wireguard/bin# ./wg show
   
2. Interface: wg0 (userspace)
   
3.   public key: vWlwXr6NJ1LHISb7GhVtOP5ebpZLTTrBF3cZq1zJXQI=
   
4.   private key: (hidden)
   
5.   listening port: 51820
   
6. 
   
7. root@XiaoQiang:/data/wireguard/bin#

复制代码

hw***

不错的贴子，太好了

silver***

a8885313 发表于 2022-12-16 13:49
按这个配置client端连接后会导致没有网络

看起来是服务端没有配置 peer，因为即使没有任何客户端连进来，"wg show" 也应该显示出所有的 peer 的。再检查下路由器的文件 "/data/wireguard/etc/wg0.conf"。

quan***

感谢辛苦制作分享，多谢楼主分享,非常不错，此处有你更精彩！！

hw***

https://www.right.com.cn/forum/f ... highlight=wireguard

hw***

楼主把这个解决了吧https://www.right.com.cn/forum/f ... highlight=wireguard

silver***

hwlon 发表于 2023-3-16 11:41
楼主把这个解决了吧https://www.right.com.cn/forum/forum.php?mod=viewthread&tid=8225129&highlight=wire ...

一定要在路由器刷这个 pandavan 固件吗？可以在虚拟机里搞不？不然我也没办法测试。

zu***

谢谢分享，暂时用不上，不过确实是好东西

鱼米***

PrivateKey = server/private/key/here=  # <== 这里改成服务器的私钥
服务器私钥怎么得到啊?

silver***

鱼米花生 发表于 2023-3-29 12:05
PrivateKey = server/private/key/here=  #

可以用如下命令生成：

1. root@XiaoQiang:~# /data/wireguard/bin/wg genkey | tee /tmp/privatekey | /data/wireguard/bin/wg pubkey > /tmp/publickey
   
2. root@XiaoQiang:~# cat /tmp/privatekey # 服务器私钥，你那里生成的可能和我的不一样
   
3. uC3X8YkhKcPt31jXY1fR0BGqrEvxOLt6AtNJIilID2s=
   
4. root@XiaoQiang:~# cat /tmp/publickey # 服务器公钥，这个填写在客户端
   
5. Ir7ZwegGHtSBDVdwcinYq/q5SHs5W9lw3eKu6NMF8Fg=

复制代码

鱼米***

silverzhaojr 发表于 2023-3-29 16:53
可以用如下命令生成：

之前客户端配置只要复制服务端生成的就行
这个需要自己写吗？
给个模板出来呢

silver***

鱼米花生 发表于 2023-3-30 09:04
之前客户端配置只要复制服务端生成的就行
这个需要自己写吗？
给个模板出来呢

上面命令生成的 03、05行你就可以直接用。

xini***

很棒的文章， 请问一下，ax6000怎么能当client呀，比如，云上有多个机器，想在路由器上装一个client，然后局域网设备都能访问云上的多个机器呢

xini***

搞定了，还是防火墙设置的问题， 1.0.67 按照楼主的方法没问题，
我的需求更复杂一点，想当virtual**用，也就是路由器上当一个peer，腾讯就一个对外出口，其他家里机器都能访问腾讯云内网所有机器。（算是堡垒机型？）