padavan上使用wg、wg-go和tunsafe

liaohcai · 发表于 2024-2-21 14:53

本帖最后由 liaohcai 于 2024-3-9 21:40 编辑

wireguard-go和tunsafe是实现wireguard的应用，是由于内核问题，无法正常使用wireguard内核一种折中方法
其中，tunsafe已经停止更新了，但从我测试各项数据来看，tunsafe性能优于wireguard-go。
从外网测速看：

从内网测速看：

wrieguard.ko 、wireguard-go、tunsafe三个项目的对比：

项目	wireguard.ko	wireguard-go	tunsafe
配置难易度	难	较难	易
性能	优	较差	较优

对内核依赖度	极高	不依赖	不依赖
运行需要的文件	wireguard.ko wg wg0.conf (配置文件)	wireguard-go wg wg0.conf (配置文件)	tunsafe wg0.conf (配置文件)

配置文件内容	[Interface] PrivateKey = ListenPort = [Peer] PublicKey = AllowedIPs = Endpoint = PersistentKeepalive =	[Interface] PrivateKey = ListenPort = [Peer] PublicKey = AllowedIPs = Endpoint = PersistentKeepalive =	[Interface] PrivateKey = ListenPort = Address = [Peer] PublicKey = AllowedIPs = Endpoint = PersistentKeepalive =
运行步骤	insmod ./wireguard.ko ip link add dev wg0 type wireguard ip -4 addr add dev wg0 20.0.0.2/24 ./wg setconf wg0 ./wg0.conf ip link set dev wg0 up	./wireguard-go -f wg0 & ip -4 addr add dev wg0 20.0.0.2/24 ./wg setconf wg0 ./wg0.conf & ip link set dev wg0 up	./tunsafe start -d -n wg0 ./wg0.conf &
停止	ip link del dev wg0 rmmod wireguard.ko	ip link del dev wg0	./tunsafe stop wg0
遇到的问题	死机重启：与内核不兼容，请下载对应cpu型号的模块，或者改用Tunsafe	严重丢包：检查./wireguard-go wg0 & 中是否加上 “-f”，在前台运行	一段时间后自动断开：配置文件里加上“PersistentKeepalive = 25”

所用的文件都来自@8267 大佬的

3.4内核的padavan安装wireguard内核模块进行组网

下面以我的红米路由器RM2100作为服务器进行组网配置，RM2100用的是hiboy大佬的padavan，所以无法使用内核模块，使用了tunsafe!
编写配置文件太繁琐了，还好，有傻瓜全自动生成配置的网站

https://www.wireguardconfig.com/

从网站生成的配置文件不能直接套用
需要进行修改
其中的客户端配置文件：

AllowedIPs = 0.0.0.0/0, ::/0

复制代码

要根据实际情况修改

AllowedIPs = 20.0.0.0/24,192.168.1.1/32,192.168.1.5/32

复制代码

意思是可以访问到 20.0.0.0/24网段，服务端下的192.168.1.1和192.168.1.5两个主机

接着修改服务端配置文件：

AllowedIPs = 20.10.0.2/32

复制代码

可能，增加想访问的主机

AllowedIPs = 20.10.0.2/32,192.168.2.1/32,192.168.3.1/32

复制代码

变成对等端了按上面表格中的“运行步骤”进行配置，就行了！

最后关于防火墙问题
先是开放整个防火墙，试着能否ping对端网络，再开启防火墙，试着能否ping对端网络

不通时，检查配置文件中是否有

PostUp = iptables -I INPUT -i %i -j ACCEPT; iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o wg0 -j MASQUERADE
PostDown = iptables -D INPUT -i %i -j ACCEPT; iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o wg0 -j MASQUERADE

复制代码

但是对于wireguard.ko和wireguard-go、tunsafe添加上面两条到配置文件中运行起来会报错！只能用命令运行和添加

iptables -I INPUT -i wg0 -j ACCEPT
iptables -A FORWARD -i wg0 -j ACCEPT
iptables -A FORWARD -o wg0 -j ACCEPT
iptables -t nat -A POSTROUTING -o wg0 -j MASQUERADE

复制代码

实际上只运行下面两条命令就行

iptables -I INPUT -i wg0 -j ACCEPT
iptables -A FORWARD -i wg0 -j ACCEPT

复制代码

对于服务端或对等端都需要放行对应端口号（51820）

#路由器自身监听端口：
iptables -A INPUT -p udp --dport 51820 -j ACCEPT

复制代码

用到ipv6的，也要放行对应的端口

#路由器自身监听端口：
ip6tables -A INPUT -p udp --dport 51820 -j ACCEPT
ip6tables -A OUTPUT -p udp --sport 51820 -j ACCEPT

复制代码

为了在下次开机重启有效，将命令写入到如下图所示：

padavan防火墙放行规则，请查阅：@a63661312大佬的

老毛子IPV6防火墙放行端口远程访问汇总

8267 · 发表于 2024-2-21 16:06

防火墙命令也不需要吗就可以访问对端下面的设备了吗

liaohcai · 发表于 2024-2-21 17:40

本帖最后由 liaohcai 于 2024-2-22 01:49 编辑

8267 发表于 2024-2-21 16:06
防火墙命令也不需要吗就可以访问对端下面的设备了吗

关闭防火墙后，不需要用什么命令，就可以访问对下的设备

mycsun · 发表于 2024-2-22 08:54

看样子还是你搞的vnt简单多了吧！！！！！！！！！！！！！！！！！

liaohcai · 发表于 2024-2-23 23:11

mycsun 发表于 2024-2-22 08:54
看样子还是你搞的vnt简单多了吧！！！！！！！！！！！！！！！！！

我只不过是为它写个启动脚本而已

8267 · 发表于 2024-3-11 22:53

大佬测试用了这么多哪个稳定好用啊

liaohcai · 发表于 2024-3-12 15:14

8267 发表于 2024-3-11 22:53
大佬测试用了这么多哪个稳定好用啊

当然是vnt了，其次是wg

8267 · 发表于 2024-3-12 15:32

liaohcai 发表于 2024-3-12 15:14
当然是vnt了，其次是wg

那我不需要再折腾其他了，继续用vnt

8267 · 发表于 2024-10-17 06:46

还有netlink的测速

soonco · 发表于 2024-12-23 14:13

https://www.right.com.cn/forum/f ... ;extra=#pid21075334
唉，没搞定~ 可以在公司连通家里内网，但是无法用连通家里网关

8267 · 发表于 2024-12-23 14:20

soonco 发表于 2024-12-23 14:13
https://www.right.com.cn/forum/forum.php?mod=viewthread&tid=8411582&page=1&extra=#pid21075334
唉，没 ...

这里有个小米的

https://www.right.com.cn/forum/forum.php?mod=viewthread&tid=8268253

8267 · 发表于 2025-2-21 23:27

更新

账号		自动登录	找回密码
密码			立即注册

padavan上使用wg、wg-go和tunsafe

本帖子中包含更多资源

相关帖子

点评

点评

点评

欢迎大家光临恩山无线论坛 1/1