无聊前话

虽然有公网IPV6，但是不想把所有的设备都映射出去，只能自己搭建一个回家VPN隧道。

之前有使用过hwdsl2/ipsec-vpn-server的docker搭建过一个，但是之前的环境是有IPV4公网的。这次家中仅有IPV6的环境，在github上问了作者，说是不支持只好作罢。

在谷歌搜索上发现WireGuard是支持IPV6回家的，刚好满足我的诉求，所以开始着手搭建。

起先也是照着视频博主使用的WireGuard Easydocker部署，但是发现一个问题。原本就是宿主机加容器，然后docker里又有一层WireGuard的网卡，多层的NAT弄的我也是看不懂。博主装完服务以后，手机扫码直接可以就可以访问内网了，也没有添加路由等其他操作。而我却是不行。问了DeepSeek、ChatGPT、豆包，都说加路由配置，但都说不清楚是哪里加哪个笔记太多层了。可能也是我表达的有问题，反正就是折腾了一晚上，不了了之，能连上无法访问内网！！！（这边知道原理的朋友也欢迎留言指导一下，毕竟折腾了通宵没搞定）。

可用实操

接下来就是我弄通的实机操作了，先分享一下软路由的版本和配置，我记得低版本的是没有带WireGuard的。

主机名	iStoreOS
型号	FriendlyElec NanoPi R5S LTS
架构	ARMv8 Processor rev 0
目标平台	rockchip/armv8
固件版本	iStoreOS 24.10.4 2025102410 / LuCI openwrt-24.10 branch 25.295.16898~9fec633
内核版本	6.6.110

网络-接口-添加新接口

名称：WireGuard（随意你认得就行）

协议：WireGuard VPN

编辑刚才创建的接口-常规设置

私钥、公钥（这两个使用生成新的密钥对，自动生成即可）

监听端口：51820（这个随意填不冲突就好，后面需要到防火墙那放行对应端口）

IP地址：10.8.0.0/24（相当于又一层NAT，属于WireGuard的子网段，不能和当前的主网段一致）

常规设置切换到-防火墙设置

我是直接把lan的防火墙也分配给了wireguard，如果有特别配置可以自己建一个新的

常规设置切换到-对端设置-添加对端

描述：随意

公钥、私钥、密钥（都直接生成）

允许的IP：10.8.0.2（这个很重要，很容易搞混，这个是给WireGuard客户端分配ip用的）

路由允许的IP钩上

端点主机（有DDNS域名的直接填域名，没域名的填公网ip）

端点端口（就填放行的那个）

持续保持连接（用建议的25）