简述大致配置:家庭局域网中 ROS 作主路由并配置 wg ,endpoint 为 vps-ip ,allow address 为 wg 局域网段 10.0.0.0/24 。pve 中 debian 容器部署 dns 服务器和 xray 客户端,xray 以 tproxy 加 nftables 和 iproute 规则实现透明代理(经测试 xray 节点选择与穿透实现无关); vps 机器配置 wg 和 xray 服务端,vps 的 wg 额外配置了 iptables 规则和 ros 节点家庭局域网段:
[Interface]
Address = 10.0.0.1/32
ListenPort = 51828
PrivateKey = key
PostUp = iptables -I FORWARD -s 10.0.0.0/24 -i wg0 -d 10.0.0.0/24 -j ACCEPT
PostUp = iptables -I FORWARD -s 10.0.0.0/24 -i wg0 -d 192.168.88.0/24 -j ACCEPT
PostUP = iptables -I FORWARD -s 192.168.88.0/24 -i wg0 -d 10.0.0.0/24 -j ACCEPT
PostDown = iptables -D FORWARD -s 10.0.0.0/24 -i wg0 -d 10.0.0.0/24 -j ACCEPT
PostDown = iptables -D FORWARD -s 10.0.0.0/24 -i wg0 -d 192.168.88.0/24 -j ACCEPT
PostDown = iptables -D FORWARD -s 192.168.88.0/24 -i wg0 -d 10.0.0.0/24 -j ACCEPT
#ros
[peer]
PublicKey = key
AllowedIPs = 10.0.0.4/32, 192.168.88.0/24
#client
...
上述 wg 配置在单独使用 wg 节点直连后经常被封 wg 端口,后来未使用但也没有关闭两端的 wg 服务。 偶然发现在小火箭和 loon 等效配置的 skip-proxy 和 tun-excluded 中删除大部分局域网段,并将家庭局域网段 192.168.88.0/24 设为代理规则,即能够在小火箭或 loon 中使用与 wg 相同 vps 机器的 xray 节点直接实现穿透,即使 wg 端口的直连被阻断。 如果能找出实现的具体原理也能方便以后重现,谢谢各位大佬了
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.