在 OpenWrt 中搭建 WireGuard 服务器并实现手机远程连接

WireGuard 是一种现代、快速且安全的虚拟专用网络 (VPN) 通信协议和免费开源软件。它易于使用、性能高效，利用了最新的加密技术，提供了比 IPsec 和 OpenVPN 等传统 VPN 协议更好的性能和更强大的功能。WireGuard 协议通过 UDP 传递流量，在速度和安全性方面具有显著优势。其设计简单、高效，适用范围广泛。本文介绍在 OpenWrt 中搭建 WireGuard 服务器，并通过手机远程连接的方法。

本文使用的固件：ImmortalWrt 23.05.3。其他固件的配置方法可能与本文不尽相同。

安装软件

导航到 系统 > 软件包，搜索并安装 luci-proto-wireguard 和 qrencode 两个软件包。其中 luci-proto-wireguard 是 WireGuard 的核心包，qrencode 用来生成客户端二维码。

安装后需要重启一次网络服务，以便让接口生成 WireGuard VPN 协议，也可以直接重启 OpenWrt，否则无法进行下一步。

转到 系统 > 启动项，找到 network，点击右侧的重启按钮即可。

配置服务

1、创建接口

WireGuard 在 OpenWrt 中是以接口的形式来配置和使用的。转到 网络 > 接口，添加一个接口，协议选择 WireGuard VPN。

接口配置选项如下：

在常规设置栏，点击 生成新的密钥对，输入监听地址和 IP 地址。该 IP 地址是 WireGuard VPN 隧道使用的地址，不能与 LAN 接口地址在同一网段。

高级设置部分，选中 使用默认网关 选项，通过 OpenWrt 来路由流量，其他选项保持默认即可。

防火墙区域，设置为与 LAN 在同一区域，方便访问内网资源。

添加一个远程端点，点击 生成新的密钥对，输入远程端点的 IP 地址，该 IP 地址必须与 WireGuard 服务器的 IP 地址在同一网段。

防火墙配置

放行 WireGuard 入站端口。转到 网络 > 防火墙，在通信规则选项卡中添加一条放行规则：源区域为 WAN，目标区域为设备，目标 IP 端口为 WireGuard 服务器设置的监听端口，操作选 接受。

添加完成以后如下图所示：

至此，OpenWrt 的 WireGuard 服务器就配置完成了。

客户端配置

在 WireGuard 接口的对端中打开目标对端的详情页，点击 生成配置 按钮。此页面上半部分设置导出给客户端配置的连接端点、路由、DNS 和 IP 等信息，下半部分则是对应的配置二维码。

如果是动态公网，可以在连接端点处输入动态域名，回车确认后会生成新的连接二维码。

用手机 WireGuard 客户端扫描二维码，即可添加客户端的配置。

Windows 系统只需要在 WireGuard 中新建一个空隧道，然后复制上面的配置文本即可建立隧道。

检查测试

手机客户端关闭 WiFi，使用 5G 连接，打开 WireGuard 软件的 VPN 连接，测试是否可以正常访问 OpenWrt。如果 OpenWrt 设置了代理，那么手机客户端也能正常访问 Google、YouTube 等网站。WireGuard 连接状态可以在 状态 > WireGuard 处查看。

提示： 如果步骤和配置都没有问题，但始终连不上，实例也没有对端出现，试试重启一下 OpenWrt，可能会解决问题。