关于linux:自建-wireguard-加速游戏并实现NAT1fullcone

1. 前言

参考本文能够实现以下几点需要：

1. 通过wireguard建设隧道以及给linux内核增加FULLCONE模块，实现一条NAT1的虚伪IPLC。
2. 因为wireguard自身会减速所有的流量，所以通过netch配合虚伪IPLC局域网中转折的socks5代理服务达到在pc只减速游戏的成果。
3. @#￥%……&*（

本文实现的形式次要是通过打隧道的形式实现一个虚伪的iplc，也就是说，如果您齐全依照我的教程走的话，您须要具备以下的前提：

1. 一台提早尚可且具备公网ip的落地vps，毕竟是用于打游戏，提早绝对比拟重要，同时FULLCONE须要公网IP反对。
2. 一台直达的服务器，倡议是局域网内的一台虚拟机或者一个树莓派。我这边是本人组了一台pve服务器，而后开了个lxc。须要留神的是，当服务开启之后，该中转折的所有流量都会走wireguard。
3. 当然还有肯定的linux常识，因为本教程在一些细节方面可能讲的并不是那么全面。

本文会依据不同的需要拆开老本体以及DLC两局部，实现本体就能够实现本文所述性能，然而DLC则提供了一些非凡的性能。比方udp2raw能够帮忙wireguard规避运营商给你时不时的一个断流打击。

2. 本体

2.1 装置wireguard

本文次要介绍ubuntu的装置形式，其余linux发行版敬请请参考官网教程或者google。

您须要在落地和直达机器上都装置wireguard，落地机器作为server而直达机器作为client。

su - root
apt update
# ubuntu 18.04 及以上版本
apt install wireguard resolvconf -y
# ubuntu 16.04 及以下版本
add-apt-repository ppa:wireguard/wireguard
apt update
apt install wireguard resolvconf -y
# 在装置实现之后倡议重启一下
# reboot

2.2 配置wireguard

在落地机器顺次输出下列命令:

# 开启ipv4流量转发
echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
sysctl -p

# 创立并进入WireGuard文件夹
mkdir -p /etc/wireguard && chmod 0777 /etc/wireguard
cd /etc/wireguard
umask 077

# 生成服务器和客户端密钥对
wg genkey | tee server_privatekey | wg pubkey > server_publickey
wg genkey | tee client_privatekey | wg pubkey > client_publickey

通过ifconfig查看主网卡名称，个别会为eth0或者ens3。

生成server配置文件/etc/wireguard/wg0.conf：

# 重要！如果名字不是eth0, 以下PostUp和PostDown处外面的eth0替换成本人服务器显示的名字
# ListenPort为端口号，能够本人设置想应用的数字
# 以下内容一次性粘贴执行，不要分行执行
echo "
[Interface]
  PrivateKey = $(cat server_privatekey)
  Address = 10.0.0.1/24
  PostUp   = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -A FORWARD -o wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
  PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -D FORWARD -o wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
  ListenPort = 52540
  DNS = 8.8.8.8
  MTU = 1200

[Peer]
  PublicKey = $(cat client_publickey)
  AllowedIPs = 10.0.0.2/32 " > wg0.conf

生成client配置文件/etc/wireguard/client.conf:

# Endpoint是本人服务器ip和服务端配置文件中设置的端口号，本人在本地编辑好再粘贴到SSH里
# 以下内容一次性粘贴执行，不要分行执行
echo "
[Interface]
  PrivateKey = $(cat client_privatekey)
  Address = 10.0.0.2/24
  DNS = 8.8.8.8
  MTU = 1200

[Peer]
  PublicKey = $(cat server_publickey)
  Endpoint = 1.2.3.4:52540
  AllowedIPs = 0.0.0.0/0, ::0/0
  PersistentKeepalive = 25 " > client.conf

此时须要将clinet.conf的内容复制到直达机器的/etc/wireguard/wg0.conf外面。

而后在两台机器上别离启动wireguard，wireguard的局部命令如下：

# 启动WireGuard
wg-quick up wg0

# 进行WireGuard
wg-quick down wg0

# 查看WireGuard运行状态
wg

到此时，一个虚伪的IPLC了。

能够在直达机器执行如下命令进行测试：

curl ifconfig.me
> 1.2.3.4 # 留神此处显示的应该是你的落地机器ip
ping 10.0.0.1
# 失常应该是能够ping通的

2.3 开启FULLCONE NAT

尽管此时IPLC曾经买通，然而此时的NAT类型并不是NAT1，而是NAT4：Symmetric NAT。

（能够通过pystun验证，非必须步骤)

这个起因是因为

TLDR: Linux内核树上未实现真正意义上的Full Cone NAT，Linux的 SNAT/MASQUERADE（以iptables的配置为例）均是Symmetric NAT。

所以，此时咱们要从linux的内核下手，实现FULLCONE。

装置残缺的内核：

apt install linux-image-$(uname -r)

装置一些依赖：（个别须要的都装好了，不通的发行版可能需要不一样 ，缺什么装什么就好了）

apt install gcc autoconf autogen libtool pkg-config libgmp3-dev -y

下载一些软件的源码:

cd ~
mkdir fullcone
cd fullcone
git clone git://git.netfilter.org/libmnl
git clone git://git.netfilter.org/libnftnl.git
git clone  git://git.netfilter.org/iptables.git
git clone https://github.com/Chion82/netfilter-full-cone-nat.git

2.3.1 编译libmnl

cd ~/fullcone/libmbl
sh autogen.sh
./configure
make
make install

而后:

whereis libmnl

> libmnl: /usr/local/lib/libmnl.so /usr/local/lib/libmnl.la /usr/include/libmnl

ldd /usr/local/lib/libmnl.so

2.3.2 编译libnftnl

cd ~/fullcone/libnftnl
sh autogen.sh
./configure
make
make install

2.3.3 编译和长期启用netfilter-full-cone-nat

cd ~/fullcone/netfilter-full-cone-nat
make
insmod xt_FULLCONENAT.ko
#如果编译模块报错，请装置kernel-devel,载入模块报错Unknown symbol in module ，先modprobe nf_nat 再载入模块。

2.3.4 编译和替换iptables

cp ~/fullcone/netfilter-full-cone-nat/libipt_FULLCONENAT.c ~/fullcone/iptables/extensions/
ln -sfv /usr/sbin/xtables-multi /usr/bin/iptables-xml
./autogen.sh
PKG_CONFIG_PATH=/usr/local/lib/pkgconfig
export PKG_CONFIG_PATH
./configure
make
make install

#先敞开iptables
systemctl  stop iptables
#进入相应目录，并笼罩相干文件
cd /usr/local/sbin
cp /usr/local/sbin/iptables /sbin/   
cp /usr/local/sbin/iptables-restore /sbin/
cp /usr/local/sbin/iptables-save /sbin/

2.3.5 测验fullcone

iptables -t nat -A POSTROUTING -o eth0 -j FULLCONENAT # 没有谬误
lsmod | grep xt_FULLCONENAT # 有后果

2.3.6 开启主动加载

mv ~/fullcone/netfilter-full-cone-nat/xt_FULLCONENAT.ko  /lib/modules/$(uname -r)/
depmod

新建编辑/etc/modules-load.d/fullconenat.conf:

xt_FULLCONENAT

验证:

reboot
lsmod | grep xt_FULLCONENAT

ps:

此处如果没有后果，可能是内核更新了，请从新执行

cd ~/fullcone/netfilter-full-cone-nat
make
mv ~/fullcone/netfilter-full-cone-nat/xt_FULLCONENAT.ko  /lib/modules/$(uname -r)/
depmod

而后重启即可

2.4 批改wireguard配置

在落地机器批改/etc/wireguard/wg0.conf:

将postup 尾部的iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE批改为iptables -t nat -A POSTROUTING -o eth0 -j FULLCONENAT

将postdown尾部的iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE批改为iptables -t nat -D POSTROUTING -o eth0 -j FULLCONENAT

重启落地机器的wireguard网卡:

wg-quick down wg0
wg-quick up wg0

此时咱们曾经实现了一个具备NAT1的虚伪的IPLC。

2.5 减速游戏

本文用到的游戏减速软件为netch，netch反对常见的的近程代理协定，具体在其github有提供。

至于那些@#￥%……&……的■■■的■■■■，本文暂且不表，各位自由发挥。

咱们只须要将这些服务搭载在局域网的直达机器上， 而后通过PC的netch软件连贯，就能够实现nat1的游戏减速了。

惟一须要留神的一点是：搭建的这个服务须要反对残缺的udp，否则之前的所有致力都徒劳了。

当然搭建单纯的socks5服务(比方:dante-server)也是能够的，然而因为自己遇到一些奇怪的问题，所以此处也就不贴教程了。

3. DLC

3.1 pystun

pystun是一个能够检测linux服务器nat类型的工具。

要装置pystun须要借助于python的包管理工具pip。

执行上面命令装置pip:

curl https://bootstrap.pypa.io/get-pip.py -o get-pip.py
python get-pip.py

通过pip装置pystun:

pip install pystun3

执行pystun3应该会失去如下后果:

NAT Type: Full Cone
External IP: your ip
External Port: Random Port

其中NAT Type对应了你的机器NAT类型。具体NAT类型的别离敬请google。在本文中想要的到最终后果为NAT1，即FULLCONE。

3.2 udp2raw

因为wireguard应用udp传输，电信常常在我玩的热气腾腾的时候给我断流，所以我须要在wireguard里面套上一层udp2raw。

具体实现步骤如下：

首先返回下载地址下载udp2raw，而后在落地机器开启server：

#记得更改udp2raw的门路以及password
nohup path/to/udp2raw -s -l0.0.0.0:9898 -r 127.0.0.1:52540 --raw-mode faketcp -a -k password >/root/app/logs/udp2raw.log 2>&1 &

而后在直达机器开启client:

# 因为后续要更改wireguard的endpoint到直达机器的udp2raw,所以要先增加转发规定
ip route add 1.2.3.4 via $(ip route | awk '$1=="default" {print $3}')
# 记得批改udp2raw的门路、ip和password
nohup path/to/udp2raw -c -r 1.2.3.4:9898 -l 127.0.0.1:52540 --raw-mode faketcp -k password >/root/udp2raw.log 2>&1 &

批改直达机器的wireguard设置/etc/wireguard/wg0.conf

将Endpoint批改为127.0.0.1:52540

重启wireguard

wg-quick down wg0
wg-quick up wg0

至此实现了将wg假装为tcp的过程，对于丢包重大的敌人，还能够应用udp2raw作者开发的udpspeeder，具体应用办法请参考其github，对于udp2raw的一些具体用法也有介绍。

鸣谢

从DNAT到netfilter内核子系统，浅谈Linux的Full Cone NAT实现

Centos 7当网关启用Fullcone nat

Installing nftables from sources on Debian

netch

udp2raw-tunnel

WireGuard 搭建和应用折腾小记