之前在路由器上使用 Zerotier 組網(wǎng)，效果還是不錯的。但是兩臺路由器都是通過打洞連接的，效果可能并不是特別穩(wěn)定。恰好我的兩臺路由器都是有 IPv6 地址的，那么何不試試使用 IPv6 地址直連的方式來進行組網(wǎng)呢？

安裝 WireGuard 依賴
在兩臺路由器上均安裝相關的依賴，只需要安裝 luci-i18n-wireguard-zh-cn 系統(tǒng)即可自動將所有依賴安裝完畢，完成之后必須要重啟路由器。

opkg update
opkg install luci-i18n-wireguard-zh-cn
重新登錄路由器管理頁面，就可以在 狀態(tài) – WireGuard 中看到 WireGuard 連接的狀態(tài)。

配置 WireGuard 接口
若使用 N 臺路由器互相連接，則需要在每臺路由器上設置 N-1 個對端，這樣可以確保任意兩臺路由器之間能互相連接。此處假設使用兩臺路由器來配置互相連接，每臺路由器上均需要設置一個對端。

路由器 A 的網(wǎng)段為 192.168.1.0/24，路由器 B 的網(wǎng)段為 192.168.2.0/24，我們選擇為 WireGuard 網(wǎng)絡設置網(wǎng)段 172.16.0.0/16，路由器 A 在 WireGuard 網(wǎng)絡中的地址為 172.16.1.1，路由器 B 在 WireGuard 網(wǎng)絡中的地址為 172.16.2.1。

路由器 A
進入 網(wǎng)絡 – 接口 頁面中，添加新的接口，接口名稱填入 wg，協(xié)議需要選擇 WireGuard VPN。

在 常規(guī)設置 中，點擊生成密鑰按鈕，私鑰欄中會自動生成內(nèi)容，監(jiān)聽端口填寫 12000，IP 地址填入 172.16.1.1/16，注意此處最好是帶上網(wǎng)段。

在 高級設置 中，MTU 填入 1280，此處如果填大了會讓兩端連接速度變慢。

在 防火墻設置 中，新建一個 vpn 區(qū)域。

保存并應用，創(chuàng)建端口。

在 狀態(tài) – WireGuard 中可以看到路由器 A 的公鑰，復制下來，等下要填入路由器 B 的對端設置中。

回到 網(wǎng)絡 – 接口 中，編輯 wg 接口，在 對端 中，添加一個對端，描述可以寫 OpenWrt2，公鑰中填入路由器 B 的公鑰（參考本文后面路由器 B 的設置獲得公鑰），允許的 IP 中填入 172.16.2.1/32 和 192.168.2.0/24，勾選路由允許的 IP，端點主機填入對端路由器的公網(wǎng)地址，端點端口填入對端路由器的端口 12000，持續(xù) Keep-Alive 中可以填入自己喜歡的大小，如 15，保存并應用所有設置。

進入 網(wǎng)絡 – 防火墻 – 常規(guī)設置 – 區(qū)域 中，編輯 lan 區(qū)域，將允許轉(zhuǎn)發(fā)到目標區(qū)域勾選上 vpn 區(qū)域，將允許來自源區(qū)域的轉(zhuǎn)發(fā)也勾選上 vpn 區(qū)域，保存；將 vpn 區(qū)域的轉(zhuǎn)發(fā)改為接受，保存并應用設置。

在 網(wǎng)絡 – 防火墻 – 通信規(guī)則 頁面中，新增一項規(guī)則。
在 常規(guī)設置 中，名稱填寫 Allow-WireGuard，協(xié)議保持默認 TCP+UDP 即可，源區(qū)域選擇 wan，目標區(qū)域選擇 設備（輸入），目標端口調(diào)入 WireGuard 監(jiān)聽端口 12000，操作選擇接受，保存防火墻設置。

回到 網(wǎng)絡 – 接口 頁面中，重啟 wg 接口。

路由器 B
進入 網(wǎng)絡 – 接口 頁面中，添加新的接口，接口名稱填入 wg，協(xié)議需要選擇 WireGuard VPN。

在 常規(guī)設置 中，點擊生成密鑰按鈕，私鑰欄中會自動生成內(nèi)容，監(jiān)聽端口填寫 12000，IP 地址填入 172.16.2.1/16，注意此處最好是帶上網(wǎng)段。

在 高級設置 中，MTU 填入 1280，此處如果填大了會讓兩端連接速度變慢。

在 防火墻設置 中，新建一個 vpn 區(qū)域。

保存并應用，創(chuàng)建端口。

在 狀態(tài) – WireGuard 中可以看到路由器 B 的公鑰，復制下來，等下要填入路由器 A 的對端設置中。

回到 網(wǎng)絡 – 接口 中，編輯 wg 接口，在 對端 中，添加一個對端，描述可以寫 OpenWrt1，公鑰中填入路由器 A 的公鑰（參考本文前面路由器 A 的設置獲得公鑰），允許的 IP 中填入 172.16.1.1/32 和 192.168.1.0/24，勾選路由允許的 IP，端點主機填入對端路由器的公網(wǎng)地址，端點端口填入對端路由器的端口 12000，持續(xù) Keep-Alive 中可以填入自己喜歡的大小，如 15，保存并應用所有設置。

進入 網(wǎng)絡 – 防火墻 – 常規(guī)設置 – 區(qū)域 中，編輯 lan 區(qū)域，將允許轉(zhuǎn)發(fā)到目標區(qū)域勾選上 vpn 區(qū)域，將允許來自源區(qū)域的轉(zhuǎn)發(fā)也勾選上 vpn 區(qū)域，保存；將 vpn 區(qū)域的轉(zhuǎn)發(fā)改為接受，保存并應用設置。

在 網(wǎng)絡 – 防火墻 – 通信規(guī)則 頁面中，新增一項規(guī)則。
在 常規(guī)設置 中，名稱填寫 Allow-WireGuard，協(xié)議保持默認 TCP+UDP 即可，源區(qū)域選擇 wan，目標區(qū)域選擇 設備（輸入），目標端口調(diào)入 WireGuard 監(jiān)聽端口 12000，操作選擇接受，保存防火墻設置。

回到 網(wǎng)絡 – 接口 頁面中，重啟 wg 接口。

完成
此時，稍等片刻，在兩臺路由器的 狀態(tài) – WireGuard 中即可看到另外一臺路由器的連接信息。

此時兩端路由器下的設備就都可以訪問另一端路由器下的設備了，就像是在同一個局域網(wǎng)中。

如果需要更省心的操作，可以選擇參考以下內(nèi)容。

配合 DDNS 使用
當其中一個路由器重新連接網(wǎng)絡之后，公網(wǎng)地址可能會發(fā)生變化，此時可能會無法連接 WireGuard，不過我們可以配合 DDNS 使用。
兩臺路由器均配置好 DDNS 之后，可以在 WireGuard 的對端配置中將端點主機的地址由 IP 地址更換為域名。
DDNS 配置好之后，這樣即使路由器更換了 IP 地址也可以重新連接上。

配合 IPv6 使用
WireGuard 可完美兼容 IPv6 使用，只需要 DDNS 的域名只有 IPv6 地址記錄即可，在這種情況下，WireGuard 就使用 IPv6 與其他路由器連接。只需將上文圖中 172.27.0.0/16 的地址替換為 DDNS 域名即可。

IPv6 DDNS 的配置可以參考另一篇文章：OpenWrt IPv6 DDNS

配合 WatchCat 使用
當出現(xiàn)問題無法連通對端路由器的時候，如果有自動化的操作可以直接重啟接口，就很方便了，省去手動重啟操作。

opkg update
opkg install watchcat luci-app-watchcat luci-i18n-watchcat-zh-cn
在 服務 – WatchCat 頁面中，增加一項配置，模式選擇“重啟接口”（有些固件可能會翻譯為“重啟實例”），周期可以設置為 1m，在路由器 A 上安裝的 WatchCat 就填寫路由器 B 的地址 192.168.2.1，在路由器 B 上安裝的 WatchCat 就填寫路由器 A 的地址 192.168.1.1，檢查間隔填寫 10s，接口的話就選擇 wg，其余保持不動，保存應用所有設置。

這樣，在路由器發(fā)現(xiàn)無法 ping 通對端路由器 1 分鐘之后將會自動重啟 wg 接口，保證兩臺路由器之間持續(xù)連接。