如何使用威联通自带的wireguard异地组网

前言:

​ 我的主路由使用的是性能较弱的红米AC2100,用的老毛子系统，为了保证主路由的稳定性，采用了旁路由，扩展功能由威联通虚拟机里面的openwrt实现，本来想通过虚拟机里的openwrt安装wg实现异地组网。但是最近发现威联通官方的QVPN既然也已经支持了wireguard，使用起来更加的简洁和方便，于是使用威联通自带的wireguard进行异地组网，实现内网穿透。

威联通的QVPN可以直接配置wireguard服务端，如下图:

威联通的wireguard接口配置的路径在/mnt/HDA_ROOT/.config/qvpn/wireguard

默认使用的wg0.conf接口配置，这里有一个比较坑的位置，如果通过命令行修改了wg0.conf配置，再在页面启动wireguard服务端，那么页面的配置会直接覆盖wg0.conf配置，使用wg-quick up wg0启动不会覆盖。

wireguard服务端的默认监听端口为51280，安全起见，建议修改为另一个高位端口。

由于威联通是在主路由的NAT下，所以需要注意的是必需在主路由上做端口转发。同时主路由防火墙需要放行对应的端口，老毛子参数设置页可以设置在防火墙启动后执行脚本。

### qnap wireguard 
iptables -A INPUT -p tcp --dport wireguard监听端口 -j ACCEPT
iptables -A OUTPUT -p tcp --dport wireguard监听端口 -j ACCEPT
iptables -A FORWARD -p tcp --dport wireguard监听端口 -j ACCEPT
iptables -A INPUT -p udp --dport wireguard监听端口 -j ACCEPT
iptables -A OUTPUT -p udp --dport wireguard监听端口 -j ACCEPT
iptables -A FORWARD -p udp --dport wireguard监听端口 -j ACCEPT

威联通的防火墙也需要放行wireguard内网IP

如果想实现直接使用内网IP异地访问服务，在客户端的AllowedIPs配置对应的IP范围即可，例如:wireguard服务端配置的网络范围为10.0.5.0/24，内网IP为192.168.1.0/24那么在客户端的AllowedIPs配置AllowedIPs = 10.0.5.0/24, 192.168.1.0/24 那么就可以直接使用192.168.1.X访问对应的服务了，AllowedIPs配置以,分割，可以配置多个，例如：AllowedIPs = 10.0.5.0/24, 192.168.1.2/32，192.168.1.3/32 允许10.0.5.0/24范围和192.168.1.2、192.168.1.3单独访问。