🔐 先打补丁,再谈公网:用 WireGuard 做“先 VPN 后访问”
一、别急着开公网服务:先把安全补丁打好
把 NAS / 面板直接暴露到公网虽然方便,但风险也同步放大:
- “公网可达”= 你能访问,陌生人/扫描器也能试;
- 只要有一个服务出漏洞,就可能被扫中入侵。
近期类似 Windows IPv6 RCE 的漏洞一爆,传言“开防火墙也未必兜住”。稳妥做法:
- 先去微软官方站把补丁打上:Windows 安全补丁(CVE-2024-38063)
- 关闭不必要的 IPv6 服务暴露;
- 把“公网直连内网服务”改为“先接入 VPN 再访问”。
二、什么是真正的 VPN?与 SS / VMess 有何不同
一句话版:
- VPN:在网络层把完整 IP 包加密封装(像铺一根“虚拟网线”)。
- 代理(SS/VMess/VLESS/Trojan):在传输/应用层转发数据流,不处理网络层头部,无法把你直接“装进对方内网”。
细节:
- WireGuard / IPsec / OpenVPN / L2TP 收发的是 TUN/TAP 的完整 IP 包,连 IP 头一起加密 → 能跨网段互通、打通内网服务、拿到真实 ping(ICMP)。
- 代理看的是上层数据;Clash 的 TUN 只是为接 IP 包,随后仍交由代理层处理 → 往往拿不到被墙目的的真实 ping。
🧠 比喻:
VPN = 从山东家里路由器拉根“虚拟网线”到你在上海的笔记本;
代理 = 请“中转快递员”帮你转发网页/流媒体,能上网但不在同一内网。
三、VPN 通信流程(以 WireGuard 为例)
路由器端
- 公网可达(IPv6 更香),开放 UDP 端口(如
23456); - 新建虚拟接口并分配网段,如
192.168.5.1/24。
客户端端
- 本机新建虚拟接口,地址
192.168.5.2; - 与路由器建立加密隧道。
访问内网服务
访问 http://192.168.2.2:80(家里 NAS):数据 → 本机虚拟网卡 → WireGuard 整包加密 → UDP 23456 → 路由器解密 → 丢给内网 → NAS 回包。看起来就像在同一网段说话。
为什么 VPN 有真实 ping?因为在网络层搬砖;而代理主要处理上层数据流。
四、策略建议:别暴露公网,先 VPN 再进来
- 把「公网 → 内网服务」改为「公网 → VPN → 内网服务」。
- 登录权限、访问边界一收紧,攻防难度直接不在一个量级。
五、动手:基于 WireGuard 的远程访问 VPN(IPv6 + 免费 DDNS)
官方安装文档: wireguard.com/install | 免费 DDNS: dynv6.com
1)准备:装插件(OpenWrt / LuCI)
- 系统 → 软件包:更新列表
- 安装:
luci-app-wireguard(图形界面)、qrencode(二维码)、luci-app-ddns(DDNS) - 系统 → 启动项 → 重启
network
2)配置免费 DDNS(dynv6 示例)
- 注册并创建域名:dynv6
- OpenWrt → “动态 DNS” 新建服务:服务商 dynv6、IP 版本 IPv6、IP 来源 接口(选有 IPv6 的 WAN)
- 保存并应用,查看日志确认成功更新。
3)创建 WireGuard 接口(服务器)
- 网络 → 接口 → 添加新接口:名称如
wg-home,协议选 WireGuard VPN; - 生成密钥对;监听端口
23456;接口地址192.168.5.1/24;防火墙区域先放 lan; - 添加对端(Peer):描述(iphone / laptop)、生成客户端密钥对、允许的 IP:
192.168.5.2/32; - 点击 “生成配置” 获取
.conf与二维码;Endpoint = 你的 DDNS 域名 + 端口。
4)放行防火墙(IPv6 / UDP)
- 防火墙 → 流量规则:名称
wg-udp-23456、协议 UDP、源 wan → 目标 本机、目标端口23456; - 如仅走 IPv6,可在高级选项限制仅 IPv6。
5)端到端打通 & 局域网互访
- 手机(外网):商店安装 WireGuard → “添加隧道” → 扫码导入 → 一键开启;
- 电脑:安装官方客户端 → 新建隧道粘贴
.conf→ 启动; - 访问
http://192.168.2.1(示例 LAN 网关)能打开即通。
若 192.168.2.0/24 与 192.168.5.0/24 都在 lan,确保 lan 内部转发开启;若分区,需加正确的 forward 规则与路由。
六、加餐:性能与常见坑(MTU、速度、DNS)
- 测速卡/白块多:多为 MTU 过大导致分片 → 把 MTU 调到
1400/1380试至稳定; - 连上却解析乱飞:路由器做了 DNS 分流/劫持 → 想统一走家里 DNS,就把客户端 DNS 指向路由器;
- 想用 SS/VMess 访问内网 IP:在分流里不要默认直连内网,显式把
192.168.2.0/24标记为“走代理”(注意安全)。
七、点对点 vs 远程访问:如何选择
| 类型 | 拓扑 | 适用场景 |
|---|---|---|
| 远程访问 VPN(本文) | 公网 → VPN → 家 | 出差/移动端访问家里 NAS、面板 |
| 点对点 VPN | 两地路由器互连 | 两地 LAN 互通(双住所 / 办公-分支) |
八、与“科学上网”结合
若软路由跑了 OpenClash / HomeProxy,客户端通过 VPN 接入后,也能跟随你家的分流策略上网。体验像“先回家,再出海”:私有化、可控、权限可收紧。
九、十步速记清单(给着急的人)
- 打补丁 → 关掉可疑公网暴露;
- OpenWrt 安装
luci-app-wireguard/luci-app-ddns/qrencode; - dynv6 申请域名 → 动态 DNS 跑起来;
- 新建 WG 接口:
192.168.5.1/24、UDP23456; - 添加对端:
192.168.5.2/32,生成配置/二维码; - 防火墙放行 UDP/23456(IPv6);
- 客户端扫码导入 → 一键开启;
- 访问
192.168.2.x内网资产; - 慢?调 MTU 1400/1380;
- 要分流?在路由器里配,客户端跟着走。
十、参考链接(原汁原味)
- WireGuard 安装说明:https://www.wireguard.com/install/
- 免费 DDNS(dynv6):https://dynv6.com/
- Windows 安全补丁(CVE-2024-38063):官方页面
No responses yet