6.0 KiB
iStoreOS+WireGuard异地组网配置手册
家庭端(服务端) + 公司端(客户端)+ 手机移动端接入
适用场景:两个 iStoreOS 路由器通过 WireGuard 组建虚拟局域网,实现内网互访,并支持手机客户端接入。
首先要说iStore是基于Openwrt做的,但是说实话要比Openwrt好用多了,当然可能运行起来资源占用会大一点,但是who care?在Opwnwrt上很多比较麻烦的问题,iStoreOS上都没有。所以我还是很愿意安利大家用这个的!
下面正式说整个搭建流程和注意事项!
一、网络拓扑与规划
家庭端(服务端),设备iStoreOS(主路由),内网网段192.168.1.0/24,VPN接口IP10.0.0.1/32,有公网动态IP,域名wireguard.yousuke.net。
家庭端(客户端),设备iStoreOS(二级路由),内网网段192.168.3.0/24,VPN接口IP10.0.0.2/32,无公网动态IP。
公司端上级网络,设备烽火CPE(主路由,内网网段)192.168.3.0/24,无公网动态IP。
手机端(客户端),VPN接口IP10.0.0.3/32,通过家庭段接入。
二、家庭端(服务端)配置
1. 创建 WireGuard 接口
进入 网络 → 接口 → 添加新接口
名称:wg_home
协议:WireGuard VPN
点击“创建接口”
2. 配置接口参数
(1)常规设置
生成新的密钥对(记录公钥,后面需要添加到其他端Peer的公钥)
监听端口:51820(建议更换,这个端口很容易连不了,不要选太小的)
IP 地址:10.0.0.1/32
(2)防火墙设置
创建/分配防火墙区域:新建一个 wg 区域,入站数据、出站数据、区域内转发均选接受,勾选TCP MSS钳制,该函的网络选择wg_home,允许转发到目标区域选择lan,允许来自源区域的转发选择lan。
(3)添加对端(公司 iStoreOS)
进入 接口 → wg_home → 对端 → 添加对端
公钥:填写公司 iStoreOS 的公钥
允许的 IP:10.0.0.2/32,192.168.2.0/24,192.168.3.0/24
勾选“为允许的 IP 创建路由”
持续 Keep-Alive:25
保存
3. 添加对端(手机)
(1)再次点击“添加对端”
描述:Mobile
公钥:填写手机端生成的公钥
允许的 IP:10.0.0.3/32
勾选“为允许的 IP 创建路由”
保存
4. 防火墙放行
进入 网络 → 防火墙 → 通信规则 → 添加
名称:Allow-WG
协议:UDP
来源区域:wan
目标端口:51820(之前面的一样哟)
目标区域:设备(或 wg)
动作:接受
三、公司端(客户端)配置
1. 创建 WireGuard 接口
进入 网络 → 接口 → 添加新接口
名称:wg_office
协议:WireGuard VPN
点击“创建接口”
2. 配置接口参数
(1)常规设置
生成新的密钥对(这里的公钥要填到服务端那边)
IP 地址:10.0.0.2/24
(2)防火墙设置
创建/分配防火墙区域:这个地方和服务端完全一样。
3. 添加对端(家庭 iStoreOS)
进入 接口 → wg_office → 对端 → 添加对端
公钥:填写家庭 iStoreOS 的公钥
预共享密钥:可选,建议生成
允许的 IP:10.0.0.1/32,192.168.2.0/24
勾选“为允许的 IP 创建路由”
对端地址:填写家庭公网 IP 或 DDNS 域名
对端端口:58888
持续 Keep-Alive:25
保存
4. 添加手机路由(重要!)
为了让公司端知道手机 10.8.0.3 的存在,需要在家用端对端里补充路由信息:
进入 接口 → wg_office → 对端 → 编辑“家庭 iStoreOS”对端
在“允许的 IP”中添加:10.0.0.3/32(也就是在公司的对端允许的IP就会多一个10.0.0.3/32,最终变成10.0.0.1/32,10.0.0.3/32,192.168.2.0/24)
确保仍勾选“为允许的 IP 创建路由”
保存并应用
后续如果还要添加其他非两个局域网的节点按照这个步骤来就可以了。
5. 防火墙放行
进入 网络 → 防火墙 → 通信规则 → 添加
名称:Allow-WG-In
协议:UDP
来源区域:wan
目标端口:51820
动作:接受
四、手机客户端配置(手动方式)
1. 在手机上生成密钥
安装 WireGuard App
点击“新建空隧道”
系统自动生成一对密钥,复制公钥(用于填到家庭端对端中)
2. 手机端配置文件(手动填写)
[Interface]
PrivateKey = <手机私钥(App自动生成)>
Address = 10.8.0.3/32
DNS = 192.168.1.1(家里iStoreOS的局域网地址)
[Peer]
PublicKey = <家庭 iStoreOS 的公钥>
PresharedKey = (可选,与家庭端对端中保持一致)
Endpoint = 你的公网IP或DDNS:51820
AllowedIPs = 10.0.0.0/24, 192.168.1.0/24, 192.168.2.0/24, 192.168.3.0/24
PersistentKeepAlive = 25
3. 导入并连接
保存配置,开启 VPN
查看握手状态,应能成功连接
注意:添加了新节点后,最好重启一下wg接口(家庭端和公司端都需要)
五、最终验证
家庭端任意计算机,可以ping通10.0.0.2、10.0.0.3、192.168.2.0/24网段设备、192.168.3.0/24网段设备。
公司端任意计算机,可以ping通10.0.0.1、10.0.0.2、192.168.1.0/24网段设备。
手机端,可以ping通10.0.0.1、10.0.0.2、192.168.1.0/24网段设备、192.168.2.0/24网段设备、192.168.3.0/24网段设备。
注意:ping电脑的时候注意检查电脑是否禁ping,否则通了还以为没通。
六、常见问题排查
(1)手机能连但 ping 不通内网:手机端 AllowedIPs 没写全,添加对应网段;
(2)公司端 ping 不通家庭:路由未同步,检查对端 AllowedIPs 是否包含对面网段;
(3)手机能通家庭但通不了公司:公司端不知道手机,在公司端对端添加 10.8.0.3/32;
(4)端口不通:主路由未转发或防火墙未放行,检查端口转发 + 防火墙规则。
以上就是简单的公司和家庭异地Site-to-Site组网方案,有问题欢迎留言!