WireGuard中转，云主机可连WG server，其他终端却无法连云主机

keng868

WireGuard 服务端部署在家中路由器上，阿里云作为客户端接入，阿里云WG配置中添加了iPhone的Peer。而iPhone的wg配置的Endpoint填写的是阿里云的IP

这样部署下来应该可以让iPhone走阿里云中转到路由吧？

现在的问题是，阿里云已经接入到路由了，可以ping通。 但是iPhone却无法ping阿里云，更连不上路由wg

问题出在哪里呢？

我的阿里云WG 配置如下：

[Interface]
Address = 10.10.10.8
PrivateKey = 8888888888888888888888
ListenPort = 51820
PostUp   = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]  # 路由器
PublicKey = 88888888888888888888888
AllowedIPs = 10.10.10.1/32, 192.168.100.0/24
Endpoint = 111.111.111.111:51820
PersistentKeepalive = 25

[Peer] # iPhone手机
PublicKey = 888888888888888888888
AllowedIPs = 10.10.10.4

zhfreal

阿里云上路由器peer的allowedips去掉192.168.0/24, 这里是问题关键

zhfreal

zhfreal 发表于 2025-6-13 12:22
阿里云上路由器peer的allowedips去掉192.168.0/24, 这里是问题关键

看错了

zhfreal

互联是主要问题，先解决互联问题
然后防火墙有缺失规则

zhfreal

阿里云的51820得对外开放

zhfreal

还有wg得做dnat和转发规则

zhfreal

zhfreal 发表于 2025-6-13 12:28
还有wg得做dnat和转发规则

是snat，zsbd

keng868

zhfreal 发表于 2025-6-13 12:29
是snat，zsbd

老哥你在说什么？

tian349776608

1.家里的路由作为服务端，有无公网IP？有公网IP，iphone可直接连接，通过阿里云连接有什么意义，若没有公网ip，应把阿里云服务器作为服务端，其他都是客户端，客户端通过阿里云服务器中转连接。
2.阿里云服务器作为服务器，要开启IP转发，另配置文件也有问题，直接在deepseek中查询配置文件的格式即可。

pigzilla

1. 阿里云上WG配置为什么要搞iptables那一堆？你要互联需要的是路由规则，而不是iptables的NAT，伪装哪些。
2. 既然阿里云都能连上你路由器了，那说明你路由器有公网IP且没有防火墙阻碍，那iPhone直接连就好了。如果是IP经常变，加个DDNS也就行了。

keng868

pigzilla 发表于 2025-6-13 14:22
1. 阿里云上WG配置为什么要搞iptables那一堆？你要互联需要的是路由规则，而不是iptables的NAT，伪装哪些。 ...

直连经常遇到跨省qos，所以采用阿里云中转

keng868

tian349776608 发表于 2025-6-13 13:51
1.家里的路由作为服务端，有无公网IP？有公网IP，iphone可直接连接，通过阿里云连接有什么意义，若没有公网 ...

直连经常遇到跨省qos，所以采用阿里云中转

tianjie

看上去是个菊花链，阿里云既是作为客户端连回家，也是服务器端被iphone连，那么你的阿里云主机的IP和UDP 51820端口能不能正常地从公网访问？想在云平台上开端口可不是件简单的事
如果可以，那为什么不直接把服务器端放在阿里云上，家和iphone都作为客户端连上去？

pigzilla

keng868 发表于 2025-6-13 14:31
直连经常遇到跨省qos，所以采用阿里云中转

中转可以理解，但是你为什么要用iptables搞NAT？

keng868

tianjie 发表于 2025-6-13 14:45
看上去是个菊花链，阿里云既是作为客户端连回家，也是服务器端被iphone连，那么你的阿里云主机的IP和UDP 51 ...

很明显服务器部署在自己路由器更方便啊，阿里云宕机咋办？不想续费了咋办？想换厂家了咋办？

云主机中转，出了问题，随时可以切换到直连路由

keng868

pigzilla 发表于 2025-6-13 15:23
中转可以理解，但是你为什么要用iptables搞NAT？

正在排查不能访问的问题，各种都在尝试，不过加了好像也没影响呢

pigzilla

keng868 发表于 2025-6-13 16:01
正在排查不能访问的问题，各种都在尝试，不过加了好像也没影响呢

你要先确保iphone能WG正常连上你云主机，云主机也正常能WG连上你路由器。用wg命令就可以看到连接状态。iphone连不上你云主机最大的可能就是端口被云防火墙拦住了，要去阿里云的防火墙设置里面放行。

其次你需要云主机会转发你iphone的包到路由器，这需要要么你把3个节点都配置在一个IP subnet，或者在不同的subnet但开启ip forwarding（net.ipv4.ip_forward=1）。

lujunda

"阿里云已经接入到路由了，可以ping通。 但是iPhone却无法ping阿里云，更连不上路由wg" 这里描述有点乱，这里是谁 ping 谁，ping 内网 ip 还是公网 ip。

如果你的路由器装的openwrt，icmp 协议大概率是默认关闭的，阿里云 ping 不通路由是正常的。
阿里云的 icmp 协议是默认放行的，路由器 ping 阿里云应该是 ok 的。

iphone ping不通 aliyun，这里如果是公网 ip 不通，那可以看看 aliyun 是不是海外机器，ip 被运营商强了。
如果是iphone ping 内网 ip，先确认wg 握手是否成功。

二蛋子

那为什么不用阿里云当服务端呢