Weil Jimmer's Blog

使用 OpenWrt 與 WireGuard 實現 NordVPN、雙層 NAT、特定區域網路 VPN 與 Kill Switch

前言

繼上次玩 OpenWrt 的第三篇，這次是設定 WireGuard VPN，我查了不少文章，感覺很少人遇到我這問題，我覺得應該是我的網路配置的關係，在這邊分享踩坑經驗出來。

如果你的網路配置比較單純的話，不需要做太多設定，我是比較特殊一點，搞了很複雜的網路環境。

網路環境

首先介紹我家網路配置，多了交換機後有點複雜，下圖現實接線的示意圖，圖中的顏色用以區分網段，而粗細用以區分層級。

目前會想這樣設計，主要是想要隔離我家人與我的網路環境，讓他們干擾不到我，其實一台交換機就夠了。

不過交換機可沒有強大的防火牆阿，軟路由的防火牆才是真的強大。而且只有軟路由才可以辦得到我這複雜的需求。

下面一張圖是化簡後的網路布局，把交換器拔掉（實際上是接著的）的虛擬網路圖。

ASUS 硬路由在這邊是一級路由，而軟路由則是二級路由，透過軟路由的虛擬區網，已經做到兩個區域網路各自隔離（LAN 藍色、LAN2 紅色）。

目的

我的主要目的是想要我常用的電腦，也就是 LAN（藍色），加上 VPN，使我連線到公網是走 NordVPN 的路線。

不過這步有點小麻煩，因為 NordVPN 並沒有提供 WireGuard 的金鑰，但你還是有機會可以實現。

取得 NordVPN 的連線資訊

第一步，先在 Linux 環境中安裝工具包以及 NordVPN。

sudo apt install wireguard curl jq net-tools
sh <(curl -sSf https://downloads.nordcdn.com/apps/linux/install.sh)

第二步，連線到 NordVPN。

# 登入 NordVPN
sudo nordvpn login
# 設定協議
sudo nordvpn set technology nordlynx
# 連線
sudo nordvpn c 

第三步，取得金鑰（公鑰與私鑰）。

# 顯示私鑰
sudo wg show nordlynx private-key
# 顯示公鑰 與 伺服器資訊
curl -s "https://api.nordvpn.com/v1/servers/recommendations?&filters\[servers_technologies\]\[identifier\]=wireguard_udp&limit=1"|jq -r '.[]|.hostname, .station, (.locations|.[]|.country|.city.name), (.locations|.[]|.country|.name), (.technologies|.[].metadata|.[].value), .load'

上圖是我在 Kali Linux 中輸入指令的示意圖。

最後記得要中斷 NordVPN 的連線。

sudo nordvpn d

設置 OpenWrt

如果你的 OpenWrt 還不支援 WireGuard，請先安裝。

opkg install kmod-wireguard luci-app-wireguard luci-proto-wireguard wireguard wireguard-tools

設置 WireGuard

如果前面都沒問題，這裡就是關鍵步驟了。還記得先前拿到的私鑰和公鑰嗎？

第一步，開啟 OpenWrt 接口畫面 (Interface)。

第二步，添加新的接口，通常取名為為 wg0。按照你習慣設定即可。選好協議 WireGuard VPN 點添加。

第三步，一般設定中，填入你剛剛取得的私鑰，不要點到「生成密鑰」。

IP 地址，就從你剛剛連線 NordVPN 的介面卡中取得（ifconfig）。

設定好後，就可以開啟下個介面，對端 (EndPoint)，我一直覺得這翻譯很怪，總之就是遠端 Server 的意思，路由器本身當 Client 端連上 遠端 VPN Server。

第四步，填入剛剛取得的公鑰，允許的 IP 輸入 0.0.0.0/0 。

路由允許的 IP 這裡是一個大坑，如果你的網路環境很單純，直接打勾就可以了。這邊我暫時不打勾，因為我要自己設定路由。

如果你的軟路由是二級路由器，也不應該打勾，因為你會到不了 Gateway ，0.0.0.0/0 會路由你的 Gateway 地址，導致迴圈，封包出不去外網，至少我這邊的情況是這樣。

端點主機就填入 NordVPN 的主機位置。

端口保持預設值 51820，Keep-Alive 設定 25。

設定到這邊，VPN 的部分基本上就完工了！如果沒有生效，請重新開機。只要有動到路由表，建議都重新啟動軟路由會比較好。

路由表設定

# 新增路由表300，設定 wg0 路由 0.0.0.0/0
uci add network route
uci set network.@route[-1].interface="wg0"
uci set network.@route[-1].target="0.0.0.0"
uci set network.@route[-1].netmask="0.0.0.0"
uci set network.@route[-1].table="300"

# 新增 IP 網路規則，LAN 接口查詢路由表300
uci add network rule
uci set network.@rule[-1].in="lan"
uci set network.@rule[-1].lookup="300"

# 儲存網路規則 並 重啟網路
uci commit network
/etc/init.d/network restart

防火牆設定

首先一般情況，應該設定 lan 可以轉發到 wan 以及 wg0，如下圖。

到這裡，就算是完工了。但如果你要設定 Kill-Switch，就必須要把 wan 移出允許轉發到的目標區域。

設定防火牆 Kill-Switch (選)

要開啟 Kill-Switch 就必須把 lan 轉發到 wan 的選項移除掉，只能轉發到 wg0，這樣 lan 不走 VPN 就永遠到不了外網。

這是示意圖，直接把 LAN 到 WAN 的路由，用防火牆轉發規則擋掉，這樣 LAN 就出不去。

檢查

現在的 IP 應該是剛剛設定的 VPN Server 的 IP，如果不是，代表你某步驟做錯。

如果你有開啟 Kill-Switch，可以連上 wan 確認 Kill-Switch 有沒有工作。在這裡我的 WAN 是 192.168.0.1 (一級路由)。

或是你可以停止 wg0 接口，當 wg0 接口被切斷，那你會默認轉發到 wan，如果你可以成功上網，而且 IP 是你原本的真實 IP，那麼代表你 Kill-Switch 沒有設定成功。

測速

到了最令人振奮的時刻，軟路由進行對岸所謂的「科學上網」，最重要的就是性能了，根據你的軟路由 CPU 的好壞，可以決定你的網速可以跑到多快。

聽說 x86 CPU 是很不錯的，所以我也選擇了 Intel 的 J4125。

下面是我的測速結果：兩次測速，下載約 470 Mbps、上傳約 74 Mbps。

如果沒有連線 wg0，使用 wan 接口上網，（無 VPN）的結果如下，大概是直接跑滿目前申裝的網路，500 Mbps 上/下傳 。

參考資料：
https://www.ivpn.net/setup/router/openwrt-wireguard/
https://hiy.tw/2021/06/nordvpn_wireguard/

其他文章：
軟路由初體驗 在 PVE 8.0 上安裝 OpenWrt 22.03
使用 OpenWrt 踩坑經驗與心得 設置虛擬區域網路進行隔離
在 OpenWrt 設定 WireGuard VPN 白名單繞過本地網路 並且維持 Kill Switch 開啟

使用 OpenWrt 踩坑經驗與心得 設置虛擬區域網路進行隔離

前言

這次我就不說太多廢話了，接上篇文章的故事。

其實光是搞這個軟路由的所花的精力應該遠遠大於你省下的錢，就純粹是為了自己動手搞事才會弄這個東西，總感覺有點不划算。

在上次的經驗中，光是韌體的選擇就五花八門了，而且我還踩了不少出錯的點，例如，我下載的版本是 openwrt-x64-R23.4.1-squashfs-combined-efi.img，紅字重點。

那就不是常規的安裝方式，在用 PVE 建立虛擬機的時候，就要選 UEFI，當初根本想都沒想，後來上網查，看到別人說使用沒有 EFI 就正常。

可是多數版本都是阿，我也是找好久文章才翻到有篇提到要設定，覺得是知識盲區。

話說回來，你選的版本如果是 squashfs 版本，則是可以自由延伸你的硬碟大小的。例如用 PVE 內建的就可以直接延伸了。

後來我試了好幾套，因為我想設置 VLAN 阿！結果沒想到新版本的 OpenWrt都不支援。被拿掉了。

我還特別去裝了 L大的版本。想說不可能沒有啊。裝完才發現沒有支援 VLAN，白費時間。

安裝

後來，又去查了第二套，結果我也在上面浪費了許久時間。嘗試安裝了 immortalwrt-21.02.6-x86-64 。

這次是有支援 VLAN 功能的，但問題是沒想像中那麼簡單。因為 OpenWrt 似乎在 18 以上的版本就直接拔掉 Switch 的功能，只能用 Bridge 的方式去橋接網路裝置。

而這個正是很大的坑，試滿久最後覺得非常古怪，總感覺不是我的問題。總之，其實也不太推這版本就是。

裝這個版本的時候，看網路上還有透過打指令的方式重新調整硬碟大小的覺得滿奇特的，在這邊附上他用的指令，做為筆記。

#進入資料夾
root@pve1:/var/lib/vz/template/iso#

#填入 2GB 的零資料
dd if=/dev/zero bs=1M count=2048 >> your.img

#讀取 img 到 parted 的工具中
parted your.img 

#列出分區
(parted) print
Model:  (file)
Disk /var/lib/vz/template/iso/immortalwrt-21.02.6-x86-64-generic-squashfs-combined-efi.img: 3004MB
Sector size (logical/physical): 512B/512B
Partition Table: gpt
Disk Flags: 

Number  Start   End     Size    File system  Name                  Flags
128     17.4kB  262kB   245kB                                      bios_grub
 1      262kB   17.0MB  16.8MB  fat16        EFI System Partition  boot, esp
 2      17.3MB  856MB   839MB                                      msftdata

(parted)

#重新調整大小
resizepart 2 100%

最後再匯入至 PVE 虛擬機。

# 100 是你建立的虛擬機 ID。
qm importdisk 100 immortalwrt-21.02.6-x86-64-generic-squashfs-combined-efi.img local-lvm

後來研究了頗久，還是決定直接重裝一版新的，也就是我目前的版本！

現在體驗其實還滿良好的，雖然最終放棄搞那個鬼東西，但我有想到替代方案，頂多就是重新配置一下網路。也許以後有機會再回來研究，暫時先這麼做。

按照慣例，安裝完硬碟，開機，首先原則上，因為網段不一樣，所以沒辦法直接進，除非改網卡，有點麻煩。

所以這邊我都會先用 PVE主控台進去，而且我後來才發現如果在 NoVNC 畫面中按下某些鍵會被擋的話，只要輸入 Ctrl + Q 就可以關閉，接著繼續打指令都不會被干擾到，之前輸入 A或S之類的，都彈出個視窗，害我沒辦法輸入進去，有夠靠杯，我還以為是 bug，看起來是 feature，有夠廢。

root@OpenWrt:~# vim /etc/config/network

進入修改 network 檔案裡面的 interface，把 WAN、LAN 所用的 ETH 接口定義好。

root@OpenWrt:~# vim /etc/config/firewall

默認沒有裝 Nano 有點不爽，只能用 Vim，好險還有 Vim 可以用，不然真的很難改。

config defaults
        option syn_flood '1'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'REJECT'
        option fullcone '1'
        option flow_offloading '1'
        option flow_offloading_hw '0'

config zone
        option name 'lan'
        list network 'lan'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'ACCEPT'

config zone
        option name 'wan'
        list network 'wan'
        list network 'wan6'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'REJECT'
        option masq '1'
        option mtu_fix '1'

如果把路由器的 WAN 插到另一台路由器的 LAN 上，就不用改網段，但是預設值都會擋 WAN。所以，只要把 WAN 的 INPUT 改成 ACCEPT 就可以了。

然後別忘記要重啟網路服務，不然配置不會應用，除非重開機。

root@OpenWrt:~# /etc/init.d/network restart
root@OpenWrt:~# /etc/init.d/firewall restart

接著就可以直接訪問 OpenWrt 的管理網頁。

光是看到這介面，就覺得挺不錯的，直接下定決心就用它了。

原本想搞 VLAN 的，後來一直遇到鬼問題，覺得奇怪，有時候啥都沒改重開機就正常了，讓我覺得很訝異，見鬼了，剛好現在農曆七月。

搞到後來，覺得有可能就是硬體和內核方面的問題，乾脆放棄。更改一下網路模式，目前是弄個雙網卡，直接設置兩個網橋不同的 LAN，這樣也算是差不多的概念，而且沒毛病，更好設置，不用管那個 Tag。

設定

第一步就很簡單，直接在設備 (Device) 建立一個網橋，添加 ETH1，非常簡單。

記得關掉 IPv6，很沒意義的功能，通常也不會用到，而且說不定就是因為這東西搞事。

添加完後，再去接口 (Interface) 建立 lan2 接口，設置成靜態 IP。

建立完記得設置 IP 地址，網段，那些東西，然後不要忘記要加入 DHCP，這個沒加的話，LAN 插上去不會配發 IP 自然就沒網路。

數量那些維持預設就好了，基本上沒差，不用動。

然後是坑人的地方，你以為這樣就完了嗎？還有防火牆阿！

要建立一個新規則，比如取名為 lan2，編輯規則，轉發到 WAN，如果是設置 VLAN 其實也是同樣的道理，如果沒有轉發到 WAN，那基本上等於無網際網路的純內網，如果要架設隔離公網的環境是可以考慮這麼做。

總結

基本上你搞完橋接，新增接口，設置 DHCP，防火牆也設定了，你的 WAN 也正常，那理論上就可以 Work。

像我這情況就是 ETH0 (LAN) 和 ETH1 (LAN2)，兩邊是互相隔離的。

由於我網孔其實很少，配一配基本上就沒得用了。下面是我的架構圖，只剩下一個孔，QQ。

端口同個顏色代表同個區網，ETH3 是我 PVE 會用到的網路口，暫時不會拔掉，然後交換機也要設定 Port-based 的 VLAN。不然讓我自己建立的虛擬網路和硬路由疊在一起。

同時有兩個 DHCP 伺服器會出錯。

雖然感覺有交換器就夠了。根本不需要軟路由啊！不過軟路由上面的防火牆功能似乎非常強大，我覺得如果會用算是很不錯的工具。

相對於交換器就少得可憐，幾乎沒什麼可以設定的，除了端口隔離之外就沒甚麼有用的東西了。

而且軟路由還有一堆別人做的插件安裝包，可以一鍵下載。用不用得到是一回事，有總比沒有好。（雖然都是大陸貨，要小心後門。）

其他文章：
軟路由初體驗 在 PVE 8.0 上安裝 OpenWrt 22.03
使用 OpenWrt 與 WireGuard 實現 NordVPN、雙層 NAT、特定區域網路 VPN 與 Kill Switch

軟路由初體驗 在 PVE 8.0 上安裝 OpenWrt 22.03

前言

時隔多年，久違的發了一篇文章，五年來第一篇文章。長久以來一直沒發文的理由很可笑，因為我的圖床死了，然後我懶得修，一直認為寫文章怎麼可以沒有圖片，既然不能上傳圖片那就乾脆不寫。說實話有點後悔，最近肝了好幾天自己網站的code，寫了新的圖床系統，不過這是題外話了。

最近心血來潮，一直想搞個家裡的網路環境，原本想搞 10 Gb/s 的高速網路，但顯然我沒這個摳摳。直接放棄，先弄個 1 Gb/s 出來就很不錯了。

我們的主角登場！

配備

這次我訂購的軟路由，CPU 選用 Intel 的 J4125，看不少人說用 x86 CPU 比較好，我也是看很久才挑這個。記憶體的部分隨便配，RAM 8 GB，SSD 128 GB。有四個 2.5 GbE 的乙太網孔。

插上電和網線後，直連 PVE 的 WebUI，結果令我很意外，一直都進不去阿。心想怪事，為什麼連不上，檢查好幾次，還去看交換器設定頁，應該都沒錯啊。直接插上螢幕和鍵盤，Debug 老半天看不出所以然，直到我又重新檢查網線，看到我接的網路孔上面的小字 ETH3…

默默地坐回位子上，修改 /etc/network/interfaces 把網孔換成 enp3s0 。應該插第一個孔，結果插到第四個，我一直以為我是插進 ETH0 阿…

重開機後，在瀏覽器上輸入 PVE 的預先設定好的靜態 IP，果然就成功連上 PVE 管理介面。

https://192.168.0.11:8006/

接著就是開始瞎搞的時刻，網路上很多教學，這裡也不講那麼多了，很簡單。犧牲一點空間安裝 OpenWrt 系統，各種 img 可以使用，我也算是嘗試了滿久。

然後啟動系統！

看到 OpenWrt 字樣就大功告成了！

不過 OpenWrt 預設的靜態 IP 是 192.168.1.1 跟我目前環境的網段不一樣，有點靠北。要先改成同網段才可以連上 SSH 和 WebUI 介面。

改完就可以 ping 通軟路由本身，直接用 putty 連上 SSH，設定防火牆允許 WAN 連上 WebUI 和 SSH。

uci add firewall rule
uci set firewall.@rule[-1].name='Allow-Admin'
uci set firewall.@rule[-1].enabled='true'
uci set firewall.@rule[-1].src='wan'
uci set firewall.@rule[-1].proto='tcp'
uci set firewall.@rule[-1].dest_port='22 80 443'
uci set firewall.@rule[-1].target='ACCEPT'
uci commit firewall
service firewall restart

不然原本我這邊的環境很麻煩，我又暫時不想動 LAN 的部分，以後我要拿它當作層三交換機（L3-Switch）阿！

設定完防火牆後，就可以透過我目前的網段連上 WebUI，因為我現在是接 WAN 的環境，以後可能會有兩層 NAT 架構。

想到我現在缺網路線，只能暫時先擱置這個計畫，等我網路線到貨再說。再加上我目前應該是用官方的，想嘗試看看 LEDE 的版本。有空再實驗吧，先告一段落，後續有進展再更新。

最後，使用 iperf3 測試一下內網速度！看到這速度，真棒。

其他文章：
使用 OpenWrt 踩坑經驗與心得 設置虛擬區域網路進行隔離
使用 OpenWrt 與 WireGuard 實現 NordVPN、雙層 NAT、特定區域網路 VPN 與 Kill Switch

域名的故事

前言：最近會想寫這篇文章都是因為看到網路上有別人在講他們的故事，讓我有感而發。

本站在 2012 年就已經成立了，那時候還是在使用 TWBBS 免費自由網域，隨意以電腦資訊為主題想了一個名稱「0000」，於是乎註冊了「0000.twgogo.org」，至本文章發布日，此網域仍舊可以使用，我甚至心想乾脆就以之為永久網域吧！不料自由網域也即將關停長達十八年的服務，讓我心中頗有不捨。

在2016年二月前，我一直都是採用自由網域，不過一直期盼能夠擁有 .com 網域，不過頂級網域並非免費的，而且我也沒管道不知道要怎麼付款，再加上那時候都還是國中國小階段，怎麼可能有錢付…，故只好用免費的架站。直到高中三年級才擁有了自己的第一個網域「00wbf.com」，原本是想繼承「零」的特性，可是四個零早早就被別人註冊走，我也不想要太長的網域名稱，想註冊 wbf 相關類的網域，結果大多都被註冊走了，只好變成 00wbf 這個名稱。使用這網域將近九個月時，我已經開始厭惡了，因為開頭是數字再加上後面英文輸入不太好打，要嘛就全數字或全英文，而且好像也不好記憶。

因此，2016年十一月，我又在域名註冊網站上閒晃，一直在想一個好名稱，喜歡的，有代表性的，結果當我查到 weils.net 時，發現沒有人註冊！讓我突然心一喜，就決定是這個域名了，可以直接翻譯成 Weil's Net，讓我覺得還可以接受，雖然我比較想要 weil.net，不過都被別人註冊走了，當初註冊完後就開始祕密佈署，等到正式測試完後再取代掉原本網域。

原以為這樣就可以鬆一口氣，沒想到我竟然有一點不捨，第二年，我還是又續約了 00wbf，心想這種網域萬一落入他人之手，是不是可以冒用我的名義？開始在想：換網域的缺點似乎不只有網址改變，不只有影響SEO，最重要的是要保持著原本的網域…我還在想，到底何時要放棄舊的網域，目前沒有什麼定案。

以上都是講我自己的私人網域，其次也有註冊比較公用性質的，個人比較重視公私分明，能盡量不合一就不合一。同樣在 2012 年註冊了名為「birch.twgogo.org」這個名稱，birch 是白樺樹的英文，原本也是一直架著論壇好幾年，直到後來主機一直有問題，再加上自己本身無心管理，才暫時放棄管理，但網站一直都是 Online 的。而且我也註冊很多個自由網域指向同個 IP，同時我還註冊了「birch.idv.la」(之前在香港IT聯盟註冊的，現在已停止服務)。

後來私人網域已經有了頂級網域後，我認為公用域名應該也要是頂級域名，才可以凸顯其專業，原先有拿到免費優惠碼，故註冊一年的 wbft.asia，不過是在我不太喜歡的網站註冊的，覺得續約麻煩，轉移又要錢，再加上不喜歡 asia 這個後驟，即使 asia 也是 gTLD，我依舊老古板的認為要用傳統域名比較專業，於是註冊了 wbftw.org，同樣的，為何不註冊 wbft.org，我也是很想阿，不過已經被別人註冊走了，我甚至想註冊 wbf 就好，最後還是決定使用 wbftw.org。

「wbftw」可以直接解釋為「wbf」(白樺論壇)與「tw」(台灣)，也可以解釋成白樺論壇網頁，多一個 w，跟我自己的私人網域一樣，總是多出不想要的字母，我個人是對團隊網域沒有任何不滿，就這樣了，覺得取名也不會太爛，是有點難記但很獨一無二，原本想註冊 WBFTeam 礙於太長了，就不考慮註冊那麼長的網域，於是就沿用此網域至今。不知道何時，白樺論壇才能正式再度 Online。

網域這種東西，不僅僅象徵了品牌、唯一性，一旦註冊了就影響深遠，大家都是記憶這個名稱、這個網址，一旦換網域問題真的很多！尤其是當舊網址已經散播出去時，要通知所有大大小小的網頁去修改網址是非常困難的！

行動日(Day of Action) - 網際網路自由

2017年07月12日，有很多大型網站、論壇、網友們都會團結一致的向美國聯邦通訊委員會(FCC)對網路中立性的破壞表達抗議！您也可以透過這個連結一起加入抗議：https://www.battleforthenet.com/july12/

現在，新的FCC主席試圖有計劃性的摧毀網路中立性，並使各種大型電信業者能夠控制我們所看到的各種網站。如果他們順利通過了，FCC將給這些大公司權力來控制我們在網際網路上看到的東西，同時有權降低網站速度或阻擋網站，甚至對特定網站或應用程式收取額外的費用。

如果我們失去了網際網路中立性，我們很快就會面臨一個受控制、受審查、不自由的網路，一些你喜歡的網頁可能會跑得特別慢，一些擁有資金的大公司的瀏覽相同的網頁卻跑得特別快。或是一些網頁被徹底封鎖無法瀏覽。

但在七月十二日，網際網路中，將會誕生出一股力量團結在一起阻止他們。各大網站與網民和網上論壇都將齊心對抗FCC的對網路的攻擊。

Google、Facebook、Twitter、Dropbox、Imgur、Opera、Amazon……等數不清大大小小的網站都已經加入這個行列了。

「網際網路的戰役(The Battle for the Net)」活動即將展開，使您的朋友、家人和追隨者能夠採取很簡單的行動以抵制這項法案通過。

了解更多並加入行動：https://www.battleforthenet.com/july12/

什麼是網際網路中立？

簡言之，就是網路使用不應該因為使用者的階級、身分、各種因素而被有所差別待遇，ISP業者不可以因為一些私人因素或是政府法令而故意限制某些網站的連線速度、或是封鎖、審查某些網站。所有資訊的獲得應該平等對待，不會受到各種不公的濫用，不會使網際網路變成一個滿足私利的一個工具。

如果沒有網路中立，有可能會發生哪些事情？

我覺得最好拿來比喻的一件事就是中國大陸的網際網路封鎖，沒有所謂的網路言論自由，可能有一堆網站根本連不上或變非常慢，有一堆政府審查的機制。想想看，如果有人在背後監視你在網路上的一舉一動那將是什麼樣的感覺？

我認為網際網路本身就應該要是自由開放的，不會因為被企業、政府控制著而抑制了網路的多元性。