作者：值友7383808472

昨天寫完了opnsense的配置，今天繼續第二部分，openwrt完成個人VPN和那啥的功能。

Openwrt的路由器玩的人太多了，我就不寫具體的安裝方式了，主要就寫以下如何配置個人VPN部分，那啥功能的話，恩山論壇大把都是，韌體也是一大堆。我的韌體是自己編譯的，只有那啥和wiregurad兩個功能，其他的都沒有，用不上。

技術貼正式開始

和昨天一樣，現在unraid裡建立一個虛擬機器。定義CPU和記憶體，BIOS一樣選擇SeaBIOS，在主要虛擬磁碟位置選擇手動，選擇你的openwrt。img檔案，然後直接建立就完了，很容易。

進去後會進入文字介面，正常來說應該是不用登入的，直接會進入root的控制檯。因為一上來的IP地址可能會不一樣，所以我會直接修改LAN口的地址和我的opnsense防火牆同一網段。直接輸入vim /etc/config/network。

進入vim的編輯頁面，修改interface lan部分的資訊。

然後重啟openwrt。

完成後用你剛才修改的IP地址進入openwrt的WEB介面，使用者名稱基本都是root，密碼麼，就看你下的什麼韌體，基本上網上各個大神的韌體裡都有說明。

登入openwrt後是這個介面，我下面主要說下怎麼用wireguard搭建個人VPN，讓你可以再外面訪問家裡的NAS，也可以透過wireguard實現手機那啥功能，畢竟這樣搞，不用多買賬號，可以一個路由器實現所有終端的那啥服務。

接下來的操作需要再命令列下完成，從unraid虛擬機器進入openwrt的控制檯，然後依次輸入以下命令。

       1. cd /root/  (切換路徑）

       2. mkdir wg （建立wireguard的資料夾）

       3. cd wg （進入wireguard的資料夾）

       4. wg genpsk > sharekey （生成預共享秘鑰）

       5. cat sharekey （把這個輸出的東西複製下來，放在記事本里，邊上寫好是sharekey）

       6. wg genkey | teeserver_privatekey | wg pubkey > server_publickey （建立服務端公鑰和私鑰）

       7. cat server_privatekey （獲取服務端私鑰，同樣記好，等會要用）

       8. cat server_publickey （獲取服務端公鑰，記號，等會用）

       9. wg genkey | teephone_privatekey | wg pubkey > phone_publickey （建立手機客戶端公鑰和私鑰）

       10. cat phone_privatekey （獲取手機客戶端私鑰）

       11. cat phone_publickey （獲取手機客戶端公鑰）

如果你有更多的客戶端，比如你公司的電腦，你老婆的手機，你爸媽家的電腦，那就多建立幾個，重複9，10，11就可以了，不過記得改名字。

接下來登入Openwrt，網路，介面，新增新介面。在介面中選擇wg0，協議選擇WireGuardVPN。然後提交。

這時會退回上一層介面，在介面總覽中會看到兩個網路介面，一個LAN，一個WG。直接點WG介面右邊的修改。進入WG的配置介面。在私鑰中填寫第二步中生成的服務端私鑰，監聽埠寫一個50000-60000之間的埠號，IP地址填寫一個和你當前網段不同的的IP地址。點新增Peers，公鑰中填寫上面客戶端的公鑰，預共享秘鑰填寫預共享秘鑰，允許的IP填寫客戶端的IP地址，以10。10。40。2/32為例，勾選路由允許的IP，其他的不用寫，儲存。具體看下圖。

進入網路->防火牆，勾選棄用SYN-flood防禦，勾選啟用FullCone-NAT。入站資料，出站資料，轉發，都是接受。在區域內點新增。共享名wireguard，入站出站轉發，全都是接受，勾選ip動態偽裝，勾選MSS鉗制，覆蓋網路選擇wg0。埠觸發，勾選允許轉發到目標區域，然後儲存&應用。

最後，進入網，防火牆，自定義規則，在最後新增一行“iptables -t nat -A POSTROUTING -s 10。10。40。0/24 -o br-lan -j MASQUERADE”這裡的IP地址就是你要架設的wiregurad網段地址。然後儲存應用。這一步不做，前面的都不是白做的，最開始折騰的時候死活不通，搞了好久才找到資料要做這一步。

重啟openwrt後，完成openwrt的wiregurad配置。

如果後面要新增新的終端，做完了記得重啟以下openwrt，反正虛擬機器重啟以下也就20秒，很快的。

重新回到昨天opnsense的WEB頁面，昨天選擇防火牆，NAT，埠轉發，然後點右邊的紅色加號。

儲存後系統會提示，NAT配置已更改，必須應用這些更改，以便他們即使生效，點以下右邊的應用更改，就完了。

之後就可以用wiregurad直接訪問家裡的NAS了，不管你是手機還是公司電腦，連上wiregurad，就可以隨便用了，而且安全性也會大很多，畢竟你沒把你的服務對公網開放。當然如果你需要開放的話，要開什麼服務埠，也是這裡進行操作。比如我開了plex的服務在公網上，方便和同事分享電影。

到這，路由器的配置就完成了，昨天是主路由，今天這個是旁路由，網路連結的話，主機板上的第一個口插你家的WIFI。另外一可能是網絡卡，也可能是主機板上的第二個口插你家的貓。記得把自己家的wifi改成AP模式，DHCP會從opnsense上提供。

至於那啥功能麼，我就不講了，唯一提一個就是，在DNS配置裡，我指向的DNS是我的防火牆，因為防火牆上有unbound DNS，所以速度還算不錯。

下一篇就寫寫我裝了什麼docker，以及照片的管理。