个人用 wireguard 笔记

wireguard

字数统计: 3.3k阅读时长: 15 min

 2020/08/05 

作为 IT homelab 人员，经常需要连到家里的机器， openvpn 之类的配置麻烦啰嗦。这里写下 wireguard 的简单搭建。它比 IPSec 更快，更简单，更精简，更有用。它工作在内核态，比 OpenVPN 更高效。WireGuard 设计为通用 VPN，适用于多种不同情况。它是跨平台的，可大规模部署。

通常如下图的部署: 一台 ECS 主机，得有公网 IP，下图就是 pc ----> ECS <------ 家里的 pc

            +----------+
            |          |
   +------->+ ECS      +<-----+
   |        +----------+      |
   |                          |
   |                          |
   |                          |
   |                          |          home
   |                      +---+------------------+
+--++                     |                      |
|PC |                     |            +---+     |
+---+                     |            |PC |     |
                          |            +---+     |
                          |                      |
                          +----------------------+

当然，如果你会折腾的话 pc 可以是软路由，有兴趣和条件的可以看我博客 proxmox x86软路由笔记。

登录到 ECS 上

得益于 wireguard 中没有 client/server 的概念，只要所有 nat 中的某台机器能够和 gateway 主机建立连接，即可实现共享所有节点的网络资源。这里 ECS 有公网ip，所以担当 gateway

安装 wireguard

官方安装文档，或者查看如何在五分钟内装好 WireGuard？ ECS 是 linux 系统的话内核要5.x以上，没有就升级下内核，其他个人 pc 电脑则下载客户端，当然软路由的话则去找个带 wireguard的固件。

centos7

yum -y install https://www.elrepo.org/elrepo-release-7.0-4.el7.elrepo.noarch.rpm
rpm --import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org
yum --enablerepo=elrepo-kernel install -y kernel-lt

yum -y --enablerepo=elrepo-kernel install kernel-lt-{devel,headers,perf}
# 失败就加   --skip-broken 


awk -F\' '$1=="menuentry " {print i++ " : " $2}' /etc/grub2.cfg

#看数字
grub2-set-default 2
grub2-mkconfig -o /etc/grub2.cfg
reboot

yum install dkms kmod-wireguard wireguard-tools

reboot

modprobe wireguard
# 查看下能否加载模块
lsmod | grep wireguard
# 增加模块开机导入
echo wireguard > /etc/modules-load.d/wireguard.conf

# 设置开机器自启
systemctl enable wg-quick@wg0.service
systemctl daemon-reload

配置

开启转发

1	sysctl -w net.ipv4.ip_forward=1

1	cd /etc/wireguard

生成密钥对

wg 的每个互相之间要一对密钥，例如 A 连 gateway， A 需要 gateway的公钥，gateway 需要 A 的公钥，不能共用一套密钥对。

生成 gateway 的密钥对

1	wg genkey \| tee gw-privatekey \| wg pubkey > gw-publickey

生成个人电脑的密钥对

1	wg genkey \| tee pc-privatekey \| wg pubkey > pc-publickey

生成家里电脑的密钥对

1	wg genkey \| tee home-pc-privatekey \| wg pubkey > home-pc-publickey

配置文件

wg 的组网得定义一个网段，这个网段和你所有运行了 wg 的局域网的 ip 不能一样，例如我定义的是 10.1.0.1/24，ecs 上配置文件为：

cat > wg0.conf <<EOF
[Interface]
ListenPort = 16000 # 客户端连过来填写的端口，安全组的tcp和udp都要放行
Address = 10.1.0.1/24  #wg之前通信组网的内网ip和段
PrivateKey = $(cat gw-privatekey)   # 使用 shell 读取gateway的私钥到这里
# 下面两条是放行的iptables和MASQUERADE
PostUp   = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

# pc
[Peer]
PublicKey = $(cat pc-publickey)
AllowedIPs = 10.1.0.2/32

# home-pc
[Peer]
PublicKey = $(cat home-pc-publickey)
# wg 接口进来的下面的这些段发往 home-pc
# 例如下面的个人pc 定义这些网段走 wg，然后会发到 ecs，因为这块内容是 ecs 的 wg 配置，ecs会把请求发到 home-pc 那去
AllowedIPs = 10.1.0.3/32, 192.168.2.0/24, 10.243.0.0/16, 10.76.6.0/24, 172.13.0.0/16

EOF

然后是每个客户端的配置文件，下面是我笔记本 wg 的客户端软件配置文件内容。

cat > pc.conf <<EOF
[Interface]
PrivateKey = $(cat pc-privatekey)
Address = 10.1.0.2/24 #wg之前通信组网的内网ip和段，主机位每个得不一样
# DNS = 192.168.2.3

[Peer]
PublicKey = $(cat gw-publickey)   # gateway的公钥
# pc 上访问下面的这些段都会发往 ecs 上的 wg
AllowedIPs = 10.1.0.0/24, 192.168.2.0/24, 10.243.0.0/16, 10.76.6.0/24, 172.13.0.0/16
Endpoint = $(curl -s ip.sb):16000 #gateway 公网ip和端口
PersistentKeepalive = 10 # 心跳时间
EOF

家里的电脑 wg 配置文件

cat > home-pc.conf <<EOF
[Interface]
PrivateKey = $(cat home-pc-privatekey)
Address = 10.1.0.3/24 #wg之前通信组网的内网ip和段，主机位每个得不一样

[Peer]
PublicKey = $(cat gw-publickey)   # gateway的公钥
AllowedIPs = 10.1.0.0/24
Endpoint = $(curl -s ip.sb):16000  # gateway 公网ip和端口
PersistentKeepalive = 10 # 心跳时间
EOF

然后把 pc.conf 和 home-pc.conf 的内容拷贝到对应的 wg 客户端软件里。

wireguard-simple

讲解下配置文件，家里的台式机 proxmox 里有软路由，并不是上面我说的 pc，这样我接入的设备也可以访问。我个人是推荐搞个 proxmox 整虚拟机和软路由。

家里的路由器网段是 192.168.2.0/24，192.168.2.3是软路由，主要是上面有dns server（adguard home），家里整个网络上添加 hosts 我是直接在dns server上添加的。所以我个人PC那里写了 DNS = 192.168.2.3，这样 dns 解析都走到家里的软路由上，不需要本地配置 hosts。

10.243.0.0/16, 10.76.6.0/24, 172.13.0.0/16 的网段都是家里的内网网段。AllowedIPs意思就是把请求目的 IP 是这些网段的，都发到 wg0 这个接口上，也就是添加路由表。这样我在外面哪里，我个人 pc 打开 wg 后，就能访问这些内网网段了。

不要在一些云厂商上使用 100.64.0.0/10 网段, 如果你有兴趣查询了该地址段, 那么你应该明白它叫 CGNAT; 很不幸的是例如 Aliyun 底层的 apt 源等都在这个范围内, 可能会有一些奇怪问题。

ECS上启动 wg 和停止 wg

1
2
3

wg-quick up wg0 #默认取 /etc/wireguard/$name.conf
# 指定配置文件启动 wg-quick up /etc/wireguard/wg0.conf
wg-quick down wg0

PostUp 和 PostDown 就是启动后和停止后的命令，是 Linux 的话就推荐写 iptables 放行转发和做 NAT。

查看组网状态，shell 上 wg 回车即可

$ wg
interface: wg0
  public key: FZcFhf0eq2yFgXPNBqYnpoZHnzmgFI7JCLp/5vn1DG0=
  private key: (hidden)
  listening port: 16000

peer: OtydRPJDt+H8upZDz5zJueRjUQ0tS4tr9P6w4BL2+w0=
  endpoint: xxxxxxxxxxx:53956
  allowed ips: 10.1.0.3/32, 192.168.2.0/24, 10.243.0.0/16, 10.76.6.0/24, 172.13.0.0/16
  latest handshake: 1 minute, 2 seconds ago
  transfer: 485.48 MiB received, 55.88 MiB sent

peer: VkhLdmaPS2KmhlSOrPk1XS1MWZrhb+00BdsC0swUBhk=
  endpoint: xxxxxxxxxx:13545
  allowed ips: 10.1.0.2/32
  latest handshake: 21 minutes, 25 seconds ago
  transfer: 56.11 MiB received, 476.83 MiB sent

一些注意点

如果是软路由，开了 pxsswxll 代理之类的，记得把 ECS 的公网IP 设置为不走代理。
openwrt 运行 wireguard 的话：网络 – 防火墙 – 常规设置 – 常规设置 – 转发 设置为接受
openwrt 的 wg0 接口推荐添加一个 wg0 的 firewall zone，然后 zone 里修改，允许转发到 lan(或者全部勾选上)。这个 zone 开动态伪装和 mss 。

死亡回环

如果你有 N 个局域网组网，假设 A 设备上 wg 能连到 B 局域网，然后你把 A 带到 B 的局域网内，只要 A 分配到了 B 局域网 IP ，默认路由和 A 上 wg 的路由都包含 B 的网段，你会抓包发现包发过去没有回应（也就是你无法网络上通到这个A设备，ssh啥的都不行）。避免这种办法有个优雅手段就是在 A 设备拿到 B 局域网之前提前准备好 hotplug。也可以用 fmark 避免这种问题。

cat > /etc/hotplug.d/iface/50-wg << 'EOF'
#!/bin/sh
if [ "ifup" = "$ACTION" ] && [ "$INTERFACE" = "wg0" ]; then
    # 设备在 192.168.101.0/24 网段内 wg 不代理 192.168.101.0/24，否则代理 192.168.101.0/24
    if ip -4 a s | grep -Eq 192.168.101. &&  uci show network.@wireguard_wg0[0] | grep -Eq 192.168.101.0 ;then
        uci del_list network.@wireguard_wg0[0].allowed_ips='192.168.101.0/24'
        ip route delete 192.168.101.0/24 dev wg0
    else
        uci add_list network.@wireguard_wg0[0].allowed_ips='192.168.101.0/24'
        ip route add 192.168.101.0/24 dev wg0
    fi
    # 测了下 commit network 并不会触发 ifup wg从而死循环，所以上面临时操作下路由表
    uci commit network
fi
EOF

udp 被 qos 下配合 udp2raw 使用

udp 没 TCP 的流控，所以会被运营商 qos 很正常，实际使用中很大几率遇到 udp 被 qos 了，导致连接经常断开，这里使用 udp2raw 把 udp 报文伪装成 tcp 避免被 qos。这里我使用 docker 部署的，实体进程和相关文档见 udp2raw运行

Linux server端 (这里包括后面的端口 86 可能运营商会被封，尽量使用数字大的作为端口):

# 监听86的tcp端口，把86端口收到的伪装成tcp的udp报文转发到 127.0.0.1:16000 上
docker run \
    -d --name udp2raw  \
    --restart always \
    --net host \
    --cap-add NET_RAW \
    --cap-add NET_ADMIN  \
    -v /run/xtables.lock:/run/xtables.lock \
    zhangguanzhang/udp2raw \
    -s -l 0.0.0.0:86 \
    -r 127.0.0.1:16000 \
    -k passwd123 \
    --raw-mode faketcp  \
    --cipher-mode xor  -a

Linux或者软路由系统 client 端，软路径 openwrt 的话 iptables 的锁文件是位于 /var/run/xtables.lock，常规系统是 `/run/xtables.lock :

# 监听16000的 udp 端口，把16000端口收到的udp报文伪装成tcp发到 <public_ip>:86 上
docker run --net host \
    -d --name udp2raw  \
    --restart always \
    --cap-add NET_RAW \
    --cap-add NET_ADMIN    \
    -v /var/run/xtables.lock:/run/xtables.lock \
    zhangguanzhang/udp2raw \
    -c -l 0.0.0.0:16000 \
    -r <public_ip>:86 \
    -k passwd123 \
    --raw-mode faketcp   \
    --cipher-mode xor  -a

windows 安装 pcap，udp2raw 运行需要依赖 pcap，如果你安装了 wireshark 之类的勾选了就不用安装，没有就安装下
windows 客户端下载，运行命令参考:

1	./udp2raw_mp.exe -c -l 0.0.0.0:16000 -r <public_ip>:86 -k passwd123 --raw-mode faketcp --cipher-mode xor

所有 client 端的 [peer] 部分里之前连云主机的 ip 都写成127.0.0.1:16000，这样 wg 客户端是先向本地的 udp2raw 客户端发 udp 报文，然后报文被封装成 tcp 发往云主机上的 udp2raw server，再到 wg server 上。

客户端和云主机上 的 wg 的 mtu 设置成 1280(网上有写1200的，但是 windows 的 wg 客户端无法启动，邮件询问作者说最小 1280 才能启动)。例如我路由器配置

[Interface]
...
MTU = 1280
[Peer]
...
Endpoint = 127.0.0.1:16000
PersistentKeepalive = 10

windows的 wg 目前 Endpoint必须写本机的 ip（ipconfig命令查看），不能写127.0.0.1，否则无法连 peer（日志会一直刷Failed to send handshake initiation write udp4 0.0.0.0:xxx->127.0.0.1:16000: wsasendto: The requested address is not valid in its context），这个 bug 已经反馈给作者了。

udp2raw 的 client 连上 server 后，双方都会打印下面日志:

# server
changed state to server_ready
# client
changed state from to client_handshake2 to client_ready

qos

但是也不是说你用了 udp2raw 就能百分之百能用，不同两个地方（或者说小区）俩 udpraw 使用同一个参数连云主机，可能一个能连一个不能连。比如你 A 和 B 同时 udp2raw 连你的云主机，A 可以 B 不可以，这种情况可以考虑换下 --raw-mode 和 --seq-mode ，有的可能 faketcp，有的可能 udp ，有的可能 icmp

usage:
    run as client : ./this_program -c -l local_listen_ip:local_port -r server_address:server_port  [options]
    run as server : ./this_program -s -l server_listen_ip:server_port -r remote_address:remote_port  [options]

common options,these options must be same on both side:
    --raw-mode            <string>        available values:faketcp(default),udp,icmp and easy-faketcp
    -k,--key              <string>        password to gen symetric key,default:"secret key"
    --cipher-mode         <string>        available values:aes128cfb,aes128cbc(default),xor,none
    --auth-mode           <string>        available values:hmac_sha1,md5(default),crc32,simple,none
    -a,--auto-rule                        auto add (and delete) iptables rule
    -g,--gen-rule                         generate iptables rule then exit,so that you can copy and
                                          add it manually.overrides -a
    --disable-anti-replay                 disable anti-replay,not suggested
    --fix-gro                             try to fix huge packet caused by GRO. this option is at an early stage.
                                          make sure client and server are at same version.
client options:
    --source-ip           <ip>            force source-ip for raw socket
    --source-port         <port>          force source-port for raw socket,tcp/udp only
                                          this option disables port changing while re-connecting
other options:
    --conf-file           <string>        read options from a configuration file instead of command line.
                                          check example.conf in repo for format
    --fifo                <string>        use a fifo(named pipe) for sending commands to the running program,
                                          check readme.md in repository for supported commands.
    --log-level           <number>        0:never    1:fatal   2:error   3:warn 
                                          4:info (default)     5:debug   6:trace
    --log-position                        enable file name,function name,line number in log
    --disable-color                       disable log color
    --disable-bpf                         disable the kernel space filter,most time its not necessary
                                          unless you suspect there is a bug
    --dev                 <string>        bind raw socket to a device, not necessary but improves performance
    --sock-buf            <number>        buf size for socket,>=10 and <=10240,unit:kbyte,default:1024
    --force-sock-buf                      bypass system limitation while setting sock-buf
    --seq-mode            <number>        seq increase mode for faketcp:
                                          0:static header,do not increase seq and ack_seq
                                          1:increase seq for every packet,simply ack last seq
                                          2:increase seq randomly, about every 3 packets,simply ack last seq
                                          3:simulate an almost real seq/ack procedure(default)
                                          4:similiar to 3,but do not consider TCP Option Window_Scale,
                                          maybe useful when firewall doesnt support TCP Option 
    --lower-level         <string>        send packets at OSI level 2, format:'if_name#dest_mac_adress'
                                          ie:'eth0#00:23:45:67:89:b9'.or try '--lower-level auto' to obtain
                                          the parameter automatically,specify it manually if 'auto' failed
    --wait-lock                           wait for xtables lock while invoking iptables, need iptables v1.4.20+
    --gen-add                             generate iptables rule and add it permanently,then exit.overrides -g
    --keep-rule                           monitor iptables and auto re-add if necessary.implys -a
    --hb-len              <number>        length of heart-beat packet, >=0 and <=1500
    --mtu-warn            <number>        mtu warning threshold, unit:byte, default:1375
    --clear                               clear any iptables rules added by this program.overrides everything
    --retry-on-error                      retry on error, allow to start udp2raw before network is initialized
    -h,--help                             print this help message