HQY 一个和谐有爱的空间

前言说明：

       本来是想做一套完整的视频教程的，可国内大部分的视频站基本都和谐了与网络穿墙有关的技术视频（包括架设家庭独立私服！同样被一一和谐掉了），我也查阅很多教学材料与视频有关的基本都在Youtube上，所以这次只是做文字型的归总，在合理的范围内会给予一些图片实例，不做具体操作流程介绍，本文只在于告诉大家WireGuard对在国内搭建网络私服务器的可靠性！于SSR的对比优劣性！

　　相关教学视频材料，所需要的网站，链接，软件，VPS， 我会做链接指向，不懂得或者有疑问的，但凡与技术性操作有关的，一律不在本地回答，可以在Twitter或者Telegram（电报）上联系我，进行留言回复，可以把问题私信我后，我会把解答回复在FaceBook上，

补充一下以下所有的连接端，建议使用Google Chrome打开，所有需要注册的邮箱建议使用国外的,推荐Gmail。

WireGuard简单说就是SSR和“危匹嗯”的精简版，

优点：

　　1、比起SSR来说，秘钥锁定较为安全，防止了爬虫等一些嗅探IP和端口程序。

　　2、SSR是无法做到IP与网段固定锁死的，WireGuard设置完成后可有做到IP与子网同时锁定，（如果有大侠的话可以修改源码把网卡地址一起锁死，那就无敌了！）

　　3、安全性 保密性目前较为高，信号运行商只能识别到你使用了FQ，至于你使用FQ去了哪里是找不到任何痕迹的。【目前而言】

　　4、个人感觉相对于SSR速度上WireGuard会好很多！快了不少，（个人感觉）

　　5、可以解决家庭私服外接，信号运行商正在进行公网IP回收改造，购买向日葵或者花生壳又不是很划算，自己架一个VPS，最低一小时3.4分钱（RMB）超划算不是吗！

　　【小型企业如果PC端不是小于50台的话完全可以不用申请公网IP，不是PC多了不能用，而是多了以后网管自己累，别的也没什么，客户端需要管理员手动添加，客户端秘钥要手动生成 只要VPS服务器CPU处理能强IP网段够大基本可以无限加客户端】

　　6、WireGuard可以与加密隧道内实现设备之间的资源共享及传输！

缺点：

　　1、上述说了，客户端文件和客户端秘钥要手动生成，非常繁琐，

　　2、Windows的服务端与客户端都未开发，实际应用时需要第三方软件支持，

　　3、IOS端真在测试还需时间，

　　4、就是应为安全和私密性，开发者自己也不想留数据痕迹，所以你在使用WireGuard做任何事情，都不会留下任何痕迹数据，自己也找不到自己访问或使用过的IP端，

　　　　4.1、同理如果你的PC或者是手机真在与他人共享时，在没有设置好的情况下，可能会被别人全部拷贝走，不留痕迹。

　　　　　　4.1.1、范例假如A与B是通过WireGuard互联共享时，如果A与B的权限设置不当，很容易拷贝或者误删相关共享数据，如果手机用户密码及权限设置不当很容易一个不小心整部手机的内容连同系统文件一同拷贝走了，手机用户在使用SMB 2.0或UNC路径访问时，建议及用及开，如果是使用FQ也一样！

想找谁拷贝的，或者是谁复制的，或者FQ去过那里，上传过什么，VPS上压根就不会留任何痕迹！找也是徒劳！

　　5、FQ特征相比较SSR和BBR来说明显伪装性不高，但是内容安全性极高，就是说，通信运营商和“请喝茶”的地方，可以很轻松知道你在FQ，但是它不知道你到底去了那里，干什么，看什么，它是不知道的，相比综合数据来看，WireGuard适合于个人小型化互联行为，基本没有什么问题，SSR虽然有很好的伪装性，但是你干什么，看了什么，说了什么，通信运营商和“请喝茶”的地方都知道，它唯一不知道就是，你使用SSR它无法确定你是在FQ还是“墙面”漏洞问题。

所以从个人使用的角度出发，WireGuard算是比较适用于个人及网管远程管理都是极好的。

这里我也说一下怕花钱就不要玩WireGuard，（其实自己买一个VPS也不是很贵，上面有讲到！BAT的云可以使用就是比起国外的VPS贵了点。）建议自己架设自己用，或者可以有绝对可靠朋友架设可以让他帮你开一个IP端口，强烈不建议下载接收来路不名的WireGuard客户端配置文件。复制、剪切、删除，还不留痕迹。你想找找人都没门，这里举例A、B、C 三个端，A为服务端，B、C为客户端，很有可能C偷偷拷贝B的资料，A、B端没有任何痕迹，

所以手机、电脑等一定不要接受和使用网上提供的客户端配置文件。朋友间的客户端也不是特别建议使用，临时FQ一下是可以的，不建议长时间使用，除非朋友能完整的告诉你所有IP客户端的出处和相关设备的链接情况！

（目前我就知道这些，）

　　开始前郑重申明一下，“危匹嗯 ”在我国是违法行为（2018年4月1日起）（这里用于构成商业行为的更是违法，强烈不建议给陌生人或朋友开放端口，自产自用时不散播，不牟利，不利用技术手段购（代）物【合法合理产品介绍例外】以娱乐，学习，为主的！不回传下载与学习，娱乐无关的内容，不扩大影响也是无碍的。）所以禁止用WireGuard进行商业行为，【若有人非要一意孤行触到法底与本人无关。本博文只作为技术型研讨！博站超管 若觉得此文章敏感可以无需通知我自行删除就是了！】从技术层面上说WireGuard也不具备商业行为能力，它的安全性就是它的危险性，一不小心可以不留痕迹的拷贝任何与WireGuard相关联的设备资料，所以如果你有幸架设成功，只推荐把客户端开放给自己熟悉人或者是已知的电子设备。

言归正书来说WireGuard

　　首先你要有个VPS点如果不考虑FQ的话可以使用BAT的任何一个运营商的云服务，就是贵了点，他们的云上都是原装好中文字库段的，像是WEB或者TELNET，FTP，SSH 装好后是不会出现乱码的。国外的VPS便宜到你怀疑人生，就是需要自己动手安装中文字库段的，关于VPS和CentOS7的系统的安装介绍不做FQ自己可以在本博园搜索相关文章，百度也能搜得到！这里不重点说了！

　　一、先从VPS说起吧，在架设WireGuard时候建议使用CentOS7的系统，系统内核一定要≥ 4.20 版本的，3.10虽然可以但是会有一些不稳定的情况，当然Ubuntu也是可以的但同理内核也要≥14.04版本

　　【教学链接】

　　　　　WireGuard在CentOS7上的安装教学 点击转接（时而可以连上，时而需要FQ）时好时坏，有时可能会出现无法安装WG0网卡信息，与安装源码包下载失败的死循环故障，（这里墙无关，是源码网站出现问题导致）

　　　　　WireGuard在Ubuntu上的安装教学 点击转接（时而可以连上，时而需要FQ）建议使用比较稳定，MTU=1500后 “油管”里的视频1080P 基本最低不会低于1000Kbps（链接稳定）魔改后基本不低于5000Kbps（链接稳定前）【这里我不建议使用魔改版，源码文件做了相当大的改动！】

　　说明一下：教学链接中的WireGuard安装脚本是被修改过的！我看过它的.sh文件内容基本没什么问题还算干净，可以使用，源码地址：点击链接 （需要FQ）

　　若有疑虑可以使用WireGuard源站源码：点击链接 （需要FQ）注意一定要找对应自己VPS系统的安装包，这里提一句：WireGuard暂时不支持Windows系统，只有Apple IOS系统正在测试！至于Windows 客户端可以用第三方程序代替Tunsafe 现在是同理需要FQ 点击链接 （这里要注意一下建议下载：Tunsafe 1.5-rc2独立版，分32位系统和64位系统的根据自己PC系统而定，）当然Tunsafe也是有开放源码的：链接地址： 点击链接

友情提醒一下：对自己不太掌握的源码不建议擅自修改本来没漏洞，被你自己改的漏洞百出，对自己一定是百害而无利的！！！

上述链接没有直接给予安装包或源码的地址，是考虑到日后地址更新的变动，所以只是给予网页链接！

　　对于WireGuard的相关链接基本就是这样，至于视频教学链接，在外接的文本网页中都有转接的地方，要仔细阅读！

　　关于安卓端的安装，建议使用Google play 中进行下载，直接在里面搜索WireGuard 即可！ 

　　这里大部分的链接都是需要FQ的所以不管你使用WireGuard干什么，哪怕就是国内点点映射主机使用最好也在海外买一个VPS的节点，就算临时用一下对于自己的安装操作也是很便利的。那么第一次使用WireGuard，在没有VPS的情况下下载文件就是个问题会很麻烦。

　　二、安装完成后，可以自定义IP段，实现多用户登陆，也可以尽可能的减少不必要的危险性。

　　　　1、简单介绍一下服务端wg0.conf的配置：

写入一下命令：

1 cat /etc/wireguard/wg0.conf

之后出现一下代码：

 1 [Interface] 2 PrivateKey = WNEsX7ydweAw2luRvc4cbZirjNByzoJFr34ducxv8l0=  # 服务器的公钥 不建议改动， 3 Address = 10.0.0.1/24 # 服务器WireGuard地址的加密网段地址，（建议这里控制一下网段，更具自己需要来设置子网，防止恶意试探IP地址，随然不会链接上，但是一直探测会增加服务器负担。） 4 PostUp   = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -A FORWARD -o wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE 5 PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -D FORWARD -o wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE 6 ListenPort = 49317 # WireGuard端口号 （安装时随机占用产生的）可以改动，但是客户端一但多了你会疯的，所以如果一定要自己有个独特的端口号建议在安装完成后第一直接修改好，以免日后改动麻烦！ 7 DNS = 8.8.8.8 # DNS解析，便于日后私服转接解析所用，游戏加速时DNS重定向时也需要使用。 8 MTU = 1420 # 默认值 （修改：1500 可以稍微提点速度，是否有其他影响未知。）9 10 [Peer]11 PublicKey = kETT2f1HofQLgqrcyCVdn9EZ3HelQZ2eaS46BoTcvqQ= # 客户端私钥 不建议改动，

12 AllowedIPs = 10.0.0.2/32 # 客户端IP地址，及子网锁定，

　　　　2、简单介绍一下客户端client.conf的配置：

写入一下命令：

1 ls /etc/wireguard/

之后出现一下目录：

 client.conf cprivatekey  cpublickey  sprivatekey  spublickey  wg0.conf

把其中的 client.conf 文件通过FTP传回自己的电脑上，使用记事本打开就可以了！会显示如下代码：

  PrivateKey = KNxHhUj1IT5g7o2oYD3/6hTX+ol8mr3sdBuKZC/loQA= # 客户端公钥 Address = 10.0.0.2/24  # 客户端IP地址与网段 DNS = 8.8.8.8 # DNS解析，便于日后私服转接解析所用，游戏加速时DNS重定向时也需要使用。 MTU = 1420   PublicKey = kcYNxaFRDTVphDUaC7SgvSOnaMfpZrT*TcvitKva2Qk= #服务器私钥 Endpoint = 82.110.150.26:44091 # 服务器外网IP地址与端口 （基本不用改，安装完成后是自动生成的。非要改动的话建议第一次分发文件是就改好以免日后自己麻烦！） AllowedIPs = 0.0.0.0/0, ::0/ PersistentKeepalive = 25

回传后只需要把 client.conf文件添加到Tunsafe客户端上就可以了！如何添加，以上教程链接有介绍，

　　3、至于重点，如果要实现WireGuard多用户上网，也就是电脑和手机或者多个用户上网需要这里不做说明，为了和谐，只给予视频教学的链接 点击链接 （需要FQ） 提醒一下视频说明中的命令是错误的，但视频中显示的命令是正确的，需要的话还是自己手动输入，懒人复制无效！还有就是多用户时client.conf这个文件名是可以修改的便于维护识别设备，但一定要英文名。

　　这里简单说一下客户端IP地址分配问题，建议算好使用的设备后再定IP端，防止暴力探测，一般网段去头去尾之后，Tunsafe会占一个，VPS虚拟主机会占一个，这样一来四个占用了，（举例说如果VPS设置了10.0.0.1那么物理网卡会合用这个地址，如果VPS设置10.0.0.2的话，那么10.0.0.1会被VPS真实物理网卡占用。推荐是被占用一个，便于解析。）根据自己的实际需要设置地址池，如果是真实服务器，那就是三个IP地址被征用，VPS多用户的情况下最小只能是29网段，（这里包括手机，平板，PC等设备）单一用户的话最小可以给30网段。【Tunsafe的程序 在运行时WireGuard配置文件时，也会自己占用一个10.0的地址，当然地址不够用时Tunsafe也可以和服务器端共用一个地址，这个占用的地址是指向A、B两个大的网络端（这里是直接公网指向，而不是局域网网段，）研究了半天才知道原来Tunsafe的地址被当作备用网关来用了，当你服务端的内网IP地址无法联网时可以走Tunsafe占用的IP出去，WireGuard的内网段是你自己分配的，所以在服务端一定要计算好设备用户，在配置地址池。起一个保险的作用！】

            所以你会在windows 的路由表中看到，连上以后路由表是走被Tunsafe占用的IP出去的，自己配置文件中的IP地址上一跳的网关就是Tunsafe被占用的地址。断开后路由表又会被自动删除，一定痕迹也没有！

　　4、关于实现WireGuard内网穿透，首先你的内网要有个WEB页面，如果你的内网系统也是CentOS7 的话，那么你需要下载一个WireGuard客户端，以上介绍的是服务器端。

　　　  这里以Windows 端为例的话，使用Tunsafe链接后，在服务器上只需要进行Iptables 端口开放和路由指向即可，

如果你内网web的IP 为10.0.0.2的话，命令如下：

1 iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT2  3 iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.0.0.2:80

重启Iptables 服务即可，或者重启服务器！

　　同理你完全可以用这个方法自己在家组建一个私有云盘，使用WireGuard 配合 seafile 在搞一个小工控机完全可以自己组建一个云NAS。 安装教学 点击链接 （时而可以连上，时而需要FQ）源码文件也是被修改过的，Iptables 只开放了80 和 443 端口 源码文件地址： 点击链接 （需要FQ）要说一下的是教学中的在VPS上操作的，同理，自己的工控机一样的操作流程！再说一句，如果自己家里做了磁盘阵列，只要把阵列盒/柜链接上主机就可以了！在WEB后台修改映射一下盘符即可，默认的是seafile的默认目录。

　　5、常用的一个功能Windows SMB 2.0的高效率传输，与安卓手机的ES文件浏览器的配合使用速率不亚于WiFi传输，只要Windows 要开启UNC路径访问，并且开启Tunsafe即可。（这里要说明一下，ES文件浏览器的高速SMB 2.0是要付费的（是以美元结算的）需要Google play支付，有国际信用卡的用户随意，不支持银联卡，因为Google在中国没有业务，【解决方案可以上某宝购买等额港币Google礼品卡等额支付美元结算。】意思就是人民币换成港币在用港币换成美元购买。PayPal 虽然可以绑银联卡，但是基本没用，Google不支持银联支付。但是充值PayPal 是可以的，但是充值完了要把银联卡解绑，地区还要在换回美国才行。很繁琐！还不如买礼品卡方便。直截了当！）最后说一句ES文件浏览器建议FQ以后在Google play上下载，国内商店的APP是和谐过后的产物。很多功能都不能用！

　　6、同理通过ES文件浏览器手机与手机之间，平板电脑等之间一样可以互联互通，又有安全加密隧道保证！文件传输不受第三方服务的限制，只要VPS流量够，你可以拷贝下来一部手机或平板的全部内容。

 【PS：玩笑一句，复制华人牌2060款手机傻妞也不过就这样了。】

网上也有魔改过的WireGuard如图：

主要是对速度及客户端批量搭建给予了便利性的支持，

1、在速度上，结合了UDP2RAW 进行的加速，又有KCP与SSR的魔改的选择性加速，

2、对于客户端配置文件进行了批量生成处理，增加了客户端的二维码识别！

本人以为魔改版的不太适用于个人互联操作，个人使用WireGuard基本不会出现多用户登陆的情况，【特殊情况下个人使用也不会超过4台客户端设备，如“Windows SMB 2.0服务及其他网络服务的外接”】所以基本操作也不会特别繁琐，使用时更加用不了二维码。

以上魔改版的WireGuard有强推商业化行为，个人使用，一、用不了那么些客户端，二，更加不需要二维码普及化应用，所以在这里不做教学链接，图中的开源地址，也做了规避！

最后在重申一次，WireGuard自用学习无碍，传播，商用违法！