内网穿透：通过 WireGuard 与 IPv6 异地组网实现远程访问局域网

创作时间:

作者:

@小白创作中心

内网穿透：通过 WireGuard 与 IPv6 异地组网实现远程访问局域网

引用

CSDN

https://blog.csdn.net/zc_mk/article/details/138156337

本文将介绍如何使用WireGuard和IPv6实现内网穿透，通过在局域网中部署WireGuard，用户可以远程访问内网服务。文章详细介绍了具体的部署步骤和配置方法，适合有一定技术基础的读者参考学习。

前言

之前有介绍过 Tailscale 与 ZeroTier 组网的方案，但这两者都属于第三方提供的服务，在部分地区的网络环境下，容易打洞失败，无法直连。

当你有公网 IPv6 时，可以直接使用 WireGuard 连接到局域网，而无需通过第三方的服务器进行打洞，延迟低，并且可以跑满本地的带宽。在使用 WireGuard 前，需要确保 IPv6 可以正常的访问，并且已经配置好DDNS。

WireGuard 配置完成后，设备连接到 WireGuard，就相当于连接到家庭局域网中，可以直接使用内网 IP 访问内网部署的服务。

局域网部署

安装 WireGuard

在局域网的任意一台设备上部署 WireGuard，由于直接部署 WireGuard 较为复杂，本文使用wg-easy这个 Docker 镜像进行部署，以下是 README 中的 Docker 启动命令，我们需要对其中的几项进行修改：

LANG: 语言，默认为英语
WG_HOST: IP 地址，填写 DDNS 的域名
PASSWORD: Web UI 界面的密码
WG_PORT: WireGuard 端口，默认为 51820
PORT: Web UI 端口，默认为 51821
sysctl: 由于我们使用的是 IPv6，还需要添加
net.ipv6.conf.all.forwarding=1

docker run -d \
--name=wg-easy \
-e LANG=de \
-e WG_HOST=<🚨YOUR_SERVER_IP> \
-e PASSWORD=<🚨YOUR_ADMIN_PASSWORD> \
-e PORT=51821 \
-e WG_PORT=51820 \
-v ~/.wg-easy:/etc/wireguard \
-p 51820:51820/udp \
-p 51821:51821/tcp \
--cap-add=NET_ADMIN \
--cap-add=SYS_MODULE \
--sysctl="net.ipv4.conf.all.src_valid_mark=1" \
--sysctl="net.ipv4.ip_forward=1" \
--restart unless-stopped \
ghcr.io/wg-easy/wg-easy

修改后的配置如下 (更多配置项，可以参考 Github 中的 README)：

docker run -d \
--name=wg-easy \
-e WG_HOST=<🚨YOUR_SERVER_IP> \
-e PASSWORD=<🚨YOUR_ADMIN_PASSWORD> \
-v ~/.wg-easy:/etc/wireguard \
-p 51820:51820/udp \
-p 51821:51821/tcp \
--cap-add=NET_ADMIN \
--cap-add=SYS_MODULE \
--sysctl="net.ipv4.conf.all.src_valid_mark=1" \
--sysctl="net.ipv4.ip_forward=1" \
--sysctl="net.ipv6.conf.all.forwarding=1" \
--restart unless-stopped \
ghcr.io/wg-easy/wg-easy