OpenWrt 路由器上的 WireGuard VPN 客户端设置

WireGuard® 是一个新的开源 VPN 协议，提供防弹级别的私密和安全。要获取有关 WireGuard 协议的更多信息，请查看我们的详细文章：什么是 WireGuard 协议。

通过我们的详细说明，您将了解如何在使用 19.07.和 21.02 固件的 OpenWrt 路由器上配置 WireGuard VPN 客户端。以 TP-Link TL-WR841N 路由器为例： 

注意：要在路由器上设置 WireGuard VPN 客户端，您应该安装最新版的 OpenWrt 固件。

重要！请注意，您将使用生成的设置自行配置您的设备，风险自负。

I. 为您的 OpenWrt 路由器获取手动配置文件

1. 登录到您的 用户主页 选择 VPN Unlimited 应用程序，然后点击 Manage（管理）。

2. 从设备列表中选取一个设备，或创建一个新设备。然后选择合适的服务器位置，并从下拉菜单中选择 WireGuard 协议。

3. 按下 Generate（生成），您将获得设置 VPN 连接所需的全部数据。

II. 在您的 OpenWrt 路由器上配置 WireGuard VPN 客户端

1. 安装 Wireguard 安装包

1. 将您的设备连接到 OpenWrt 路由器，并在浏览器地址栏中输入管理面板的 IP 地址。路由器的默认 IP 地址是 192.168.1.1。

2. 前往 System（系统）> Software（程序）。

3. 点按 Update Lists（更新列表）并等待。向下滚动页面并点击 Dismiss（离开）。

4. 在 Search（搜索）栏中粘贴 luci-i18n-wireguard-en，然后点击 Install（安装）。

5. 点击 Install（安装）。向下滚动页面并点击 Dismiss（离开）。

6. 前往 Installed（已安装）选项卡，在搜索栏中输入 wireguard，然后检查下列安装包是否已安装成功：

• wireguard-tools
• kmod-wireguard
• luci-app-wireguard
• luci-i18n-wireguard-en
• luci-proto-wireguard

7. 要应用更改，请转到 Status（状态）选项卡并重新启动路由器。

2. 创建 WireGuard 接口

1. 前往 Network（网络）选项卡 > Interfaces（接口）> Add New Interface（添加新接口）。

2. 设置自定义名称（如 VPNUnlimited），然后选中 Wireguard 协议。点击 Create Interface（创建接口）。

3. 选择 General Settings（常规设置），粘贴您之前生成的手动配置的详细信息：

• PrivateKey = 从您的  用户主页 粘贴 PrivateKey 
• ListenPort（监听端口） = 粘贴 ListenPort 的详细信息
• IP Addresses（IP 地址）= 粘贴 Address 信息并点击 +

4. 前往 Peers（对等项）选项卡并添加以下信息： 

• PublicKey = 从  用户主页 粘贴 PublicKey
• PresharedKey（预共享密钥） = 粘贴 PresharedKey 详细信息
• AllowedIPs（允许的 IP）= 粘贴第一个 AllowedIP，按下 + 键，然后输入第二个 AllowedIP
• 勾选 Route Allowed IPs（路由允许的 IP）
• Endpoint Host（端点主机）= 在冒号前添加 Endpoint 信息
• Endpoint Port（端点端口）= 在冒号后添加 Endpoint 信息
• Persistent Keep Alive（保持活动状态）= 从  用户主页 粘贴 PersistentKeepalive

5. 在 WAN6 接口按下 Stop（停止）按钮。

6. 点击 Save & Apply（保存和应用）。

3. 设置 Firewall zones（防火墙域）

1. 导航至 Network（网络）> Firewall Zone Settings（防火墙域设置），然后点击 Add（添加）。

2. 在此窗口输入下列配置：

• Name（名称）- 设置任意名称（如 vpnunl）
• Input（输入）- Reject（拒绝）
• Output（输出）- Accept（接受）
• Forward（转发）- Reject（拒绝）
• Masquerading（伪装）- 勾选
• MSS clamping（MSS 夹持）- 勾选
• Covered networks（覆盖网络）- 选择之前创建的 VPN 通道接口（如 VPNUNLIMITED）
• Allow forward to destination zones（允许转发到目标区域）- Unspecified（不指定）
• Allow forward from source zones（允许从源区域转发）- lan（局域网）

3. 点击 Save（保存）。

4. 添加静态 DNS 服务器

1. 前往 Interface（接口）选项卡 > WAN > 点击 Edit（编辑）> 选择 Advanced Settings（高级设置）选项卡。 取消选中 Use DNS servers advertised by Peers（使用对等方通告的 DNS 服务器）选项，从  用户主页 粘贴 DNS 详细信息，然后按下 + 键。

2. 点击 Save（保存）。

3. 点击 Save & Apply（保存和应用）。 

注意：如果您遇到与 VPN 连接有关的任何问题，请重新启动路由器。要执行此操作，请前往 Status（状态）选项卡，然后单击 Reboot（重新启动）。

5. 添加 Kill Switch（可选项）

1. 导航至 Network（网络）> Firewall（防火墙），然后在 LAN Firewall Zone（LAN 防火墙域）点击 Edit（编辑）。

2. 在此窗口输入下列配置：

3. 从“Allow forward to destination zones（允许转发到目标区域）”中移除“wan”。就这样！

现在您拥有了一个通过 WireGuard VPN 协议运行的 VPN 连接。

如果您有其他问题或意见，请随时通过以下方式联系我们的客户支持团队 [email protected]。

“WireGuard”是 Jason A.Donenfeld 的注册商标。