Cloudflare WARP configuration script

Quickly configure and use Cloudflare WARP on your Linux Server, which works with the latest major Linux distributions.

Features

• Automatically install CloudFlare WARP Official Linux Client
• Quickly enable WARP Proxy Mode, access WARP network with SOCKS5
• Automatically install WireGuard related components
• Configuration WARP IPv4 Network interface (with WireGuard)
• Configuration WARP IPv6 Network interface (with WireGuard)
• Configuration WARP Dual Stack Network interface (with WireGuard)
• ...

Usage

bash <(curl -fsSL git.io/warp.sh) [SUBCOMMAND]

Subcommands

install         Install Cloudflare WARP Official Linux Client
uninstall       uninstall Cloudflare WARP Official Linux Client
proxy           Enable WARP Client Proxy Mode (default SOCKS5 port: 40000)
unproxy         Disable WARP Client Proxy Mode
wg4             Configuration WARP IPv4 Network interface (with WireGuard)
wg6             Configuration WARP IPv6 Network interface (with WireGuard)
wgd             Configuration WARP Dual Stack Network interface (with WireGuard)
rewg            Restart WARP WireGuard service
unwg            Disable WARP WireGuard service
status          Prints status information
version         Prints version information
help            Prints this message or the help of the given subcommand(s)
menu            Chinese special features menu

Credits

• Cloudflare WARP
• WireGuard
• ViRb3/wgcf

from https://github.com/P3TERX/warp.sh

-----

Cross-platform, unofficial CLI for Cloudflare Warp.

wgcf

wgcf is an unofficial, cross-platform CLI for Cloudflare Warp

   

Features

• Register new account
• Change license key to use existing Warp+ subscription
• Generate WireGuard profile
• Check account status
• Print trace information to debug Warp/Warp+ status

Download

You can find pre-compiled binaries on the releases page.

Usage

Run wgcf in a terminal without any arguments to display the help screen. All commands and parameters are documented.

Register new account

Run the following command in a terminal:

wgcf register

The new account will be saved under wgcf-account.toml

Generate WireGuard profile

Run the following command in a terminal:

wgcf generate

The WireGuard profile will be saved under wgcf-profile.conf. For more information on how to use it, please check the official WireGuard Quick Start.

Maximum transmission unit (MTU)

To ensure maximum compatibility, the generated profile will have a MTU of 1280, just like the official Android app. If you are experiencing performance issues, you may be able to improve your speed by increasing this value. For more information, please check #40.

Change license key

If you have an existing Warp+ subscription, for an example on your phone, you can bind the account generated by this tool to your phone's account, sharing its Warp+ status. Please note that there is a current limit of maximum 5 linked devices active at a time.

This device's private key will be changed!

First, get your Warp+ account license key. To view it on Android:

1. Open the 1.1.1.1 app
2. Click on the hamburger menu button on the top-right corner
3. Navigate to: Account > Key

Edit wgcf-account.toml directly with the new license key and run:

wgcf update

or, using an environment variable:

WGCF_LICENSE_KEY="123412341234" wgcf update

The license will be applied, and a new private key will be created for your account. Regenerate your WireGuard configuration and use the new private key.

Check device status

Run the following command in a terminal:

wgcf status

Verify Warp/Warp+ works

Connect to the WireGuard profile generated by this tool, then run:

wgcf trace

If you look at the last line, it should say warp=on or warp=plus, depending on whether you have Warp or Warp+ respectively.

Development

Sub-packages

• api_tests - Tests for API documentation generation
• spec_format - OpenAPI3 specification formatter to post-process the spec generated by Optic

API

This project uses Optic to automatically generate API documentation using the tests defined in api_tests. These tests cover all endpoints used by wgcf. The documentation is exported as an OpenAPI3 specification, which is then used with openapi-generator to generate the Go client API code under wgcf/openapi.

To update the API documentation, install Optic, then run:

api start

Resolve and save all the differences in the Web UI.

To regenerate the Go client API code, install openapi-generator, then run:

bash generate-api.sh

This script supports both Linux and WSL.

from https://github.com/ViRb3/wgcf

-----

Cloudflare WARP一键配置脚本使用教程

前言

Cloudflare WARP 一键配置脚本是一个简化在 Linux VPS 上安装和配置 Cloud­flare WARP 的脚本，它支持 WARP 官方客户端和 Wire­Guard 两种主流 WARP 使用方式，适用于 IPv4/​IPv6 单双栈各类的网络环境，操作系统、 CPU 架构和虚拟化平台支持全面。本篇是介绍说明及简单使用教程。

Cloud­flare WARP 是什么？能干什么？好不好用？

项目地址

https://github.com/P3TERX/warp.sh

支持本项目欢迎随手点个 star，可以让更多的人发现、使用并受益。你的支持是持续开发维护的动力。

脚本特点

• CPU 架构支持：x86(i386)、x86_64(amd64)、ARMv8(aarch64)、ARMv7 等
• 虚拟化平台支持：KVM、Xen、OpenVZ、LXC 等
• 操作系统支持：Debian、Ubuntu、CentOS 等
• 智能识别网络方案并自动匹配最佳配置方案进行部署
• 独家优化配置方案，获得更好的 WARP 网络体验
• 无需更换 Linux 内核，更稳定、更安全、更自由
• 直观的进程状态、网络状态和 WARP 状态显示
• Cloudflare WARP 官方 Linux 客户端支持
• “一把梭”式极致体验

使用方法

SSH 连上 VPS .

• 无论 VPS 是 IPv4 还是 IPv6 又或都有，添加 WARP Wire­Guard 双栈全局网络，直接使用以下命令一把梭：

  # 自动配置 WARP WireGuard 双栈全局网络
  bash <(curl -fsSL git.io/warp.sh) d

• 添加或置换 IPv4/​IPv6 网络中的一个为 WARP Wire­Guard 网络，使用以下命令一把梭：

  # 自动配置 WARP WireGuard IPv4 网络
  bash <(curl -fsSL git.io/warp.sh) 4
  # 自动配置 WARP WireGuard IPv6 网络
  bash <(curl -fsSL git.io/warp.sh) 6

• Cloud­flare 官方于近期发布了 WARP Linux 客户端，同时也带来了全新的 Proxy Mode 功能，它使得我们可以让应用通过本地的 SOCKS5 代理端口去直接使用 WARP 网络。对于想尝鲜官方客户端的小伙伴，可以使用以下命令一把梭自动安装 WARP 官方客户端并开启 SOCKS5 本机代理端口 (127.0.0.1:40000)：

  # 自动配置 WARP 官方客户端 SOCKS5 代理
  bash <(curl -fsSL git.io/warp.sh) s5

• 给喜欢功能菜单的小伙伴特别准备的功能，执行以下命令显示功能菜单和贴心的状态显示：

  # Cloudflare WARP 一键配置脚本 功能菜单
  bash <(curl -fsSL git.io/warp.sh) menu

注意事项和其它说明

• 脚本目前处于公测阶段，可能还存在少量未知的 bug ，虽然不会导致毁灭性的问题，但不建议在生产环境中使用。
• 自动配置 WARP WireGuard 双栈全局网络已做到适配目前大多数主流的系统和 IDC 网络方案，但不排除极个别的差异没考虑到，因此可能会因为路由规则不适用而导致 SSH 失联。若失联可以使用网页 VNC 登录到 VPS 然后执行systemctl stop wg-quick@wgcf命令停止 WARP WireGuard 进程即可恢复。
• 因 WireGuard 的 bug 与 WARP 网络偶发性连接故障，可能会出现网络状态显示均为未连接且网络访问异常的情况，使用systemctl restart wg-quick@wgcf命令重启 WARP WireGuard 进程即可。这个问题在 Linux 内核 5.6 以上更新频繁且激进的版本很大概率会遇到。
• 功能菜单中的手动选择 WARP WireGuard 双栈配置方案最初设计为自动配置失联后的备用方案，一般来说几乎不会用到。当然你喜欢也可以直接用，如果需要使用可根据实际情况与需求选择，遵循“无则添加、有则置换”原则。注意确认 IP 地址是否需要修改，如需修改可以手动输入 IP。
• 脚本使用 wgcf 生成通用 WireGuard 配置文件，配置完成后会原样备份至~/.wgcf目录，以便下次脚本自动调用，避免重复申请 WARP 账号导致 IP 被 Cloudflare 拉黑。
• 若之前自行生成过 WireGuard 配置文件，在文件名为wgcf-profile.conf的情况下在此配置文件所在目录执行脚本会优先调用并截取关键信息生成符合所选方案的新配置文件。这个功能对已生成过有 WARP+ 流量配置文件的小伙伴应该会很有用。
• WARP WireGuard 双栈全局网络可能会导致 Docker 应用在 Bridge 网络模式下无法通过 IP 直接访问。可以使用 Host 网络模式，或者用 nginx 反代的方式去使用。暂时还没有完美解决方案。
• WARP 官方 Linux 客户端由于才上线不久，还处在待完善阶段，且系统支持不全，目前只建议在 x86_64(amd64) 架构的 Debian 10+、Ubuntu 20.04、CentOS 8 系统中安装和使用。
• WARP 官方客户端与 WARP WireGuard 网络可以同时使用，但 WARP 客户端的网络数据可能会走在 WARP WireGuard 隧道中，属于套娃行为，减速效果非常明显。
• WARP 官方客户端可能无法在部分 IPv6 Only VPS 上使用，可以先添加 WARP WireGuard IPv4 网络，但正如前面所说套娃减速。

遇到问题如何处理

• 脚本运行失败或错误请在 GitHub issues 页面进行留言，提供虚拟化平台、系统版本、内核版本以及从脚本运行到末尾的详细日志，以便分析问题原因改进脚本。
• 重启、重装、重买是解决问题的三大法宝。

最后

这个脚本从方案设计到代码编写全部都是由博主个人原创，且花费了大量时间和精力打磨而成，最初只是自己使用，觉得达到了近乎完美的状态也就开源分享了出来。如果觉得这个脚本对你有帮助，可以去 WARP 脚本的 Github 项目页面,点下 Star 点亮小星星支持一下，也欢迎小伙伴们分享出去让更多的人看到、使用并受益。

from https://p3terx.com/archives/cloudflare-warp-configuration-script.html

--------------------------------------------------------------

Cloudflare WARP给VPS服务器额外添加IPv4网络,获得“原生”IP

前言

WARP 是 Cloud­flare 提供的一项基于 Wire­Guard 的网络流量安全及加速服务，能够让你通过连接到 Cloud­flare 的边缘节点实现隐私保护及链路优化。之前有很多小伙伴拿来当做某科学的上网工具来使用，应该很熟悉了。不过由于 Wire­Guard 数据传输使用的 UDP 协议，中国大陆运营商会对其进行 QoS ，加上多数 IP 被封锁，现在可以说几乎处于不可用的状态了。而对于自由网络的地区来说没有这些限制，加上有国外开发者制作的工具可以生成通用的 Wire­Guard 配置文件，这使得我们可以在海外 VPS 上部署并获得如下效果加成：

• WARP 网络出入口均为双栈 (IPv4/​IPv6)，因此单栈服务器可以连接到 WARP 来获取额外的网络连通性支持：

  • IPv6 Only VPS 可获得 IPv4 网络的访问能，不再局限于 DNS64 的束缚，能自定义任意 DNS 解析服务器。对使用某科学的上网工具有奇效。
  • IPv4 Only VPS 可获得 IPv6 网络的访问能力，可作为 IPv6 Only VPS 的 SSH 跳板。此外 WARP 的 IPv6 网络的质量比 HE IPv6 Tunnel Broker 甚至自带的都要好，很少绕路。

• WARP 对外访问网络的 IP 被很多网站视为真实用户，即所谓的 “原生” IP，可以解除某些网站基于 IP 的封锁限制：

  • 解锁 Netflix的非自制电影
  • 跳过 Google 验证码
  • 解除 Google 学术访问限制
  • 解除 YouTube Premium 定位漂移和地区限制

当然这只是冰山一角，其它作用小伙伴们可以在部署后慢慢发掘。

本篇是相关知识科普和纯手动部署教程，小伙伴们可边学习边折腾。如果想直接部署可以使用 Cloudflare WARP一键配置脚本。

TIPS: 需要注意的是 WARP 并不提供公网 IP 地址，它是以 NAT 的方式去访问外部网络，即只能用于对外网络访问，不能用于对 VPS 本机访问。如果你的需求是要一个可供访问VPS的公网 IPv6 地址，那么可以使用 HE IPv6 Tunnel Broker 。

安装 WireGuard

既然 WARP 基于 Wire­Guard ，那么我们首先就需要安装 Wire­Guard 。

使用 wgcf 生成 WireGuard 配置文件

wgcf（https://github.com/ViRb3/wgcf） 是 Cloud­flare WARP 的非官方 CLI 工具，它可以模拟 WARP 客户端注册账号，并生成通用的 Wire­Guard 配置文件。

• 安装 wgcf

  curl -fsSL git.io/wgcf.sh | sudo bash

• 注册 WARP 账户 (将生成 wgcf-account.toml 文件保存账户信息)

  wgcf register

• 生成 Wire­Guard 配置文件 (wgcf-profile.conf)

  wgcf generate

生成的两个文件记得备份好，尤其是 wgcf-profile.conf，万一未来工具失效、重装系统后可能还用得着。

编辑WireGuard的配置文件

将配置文件中的节点域名 engage.cloudflareclient.com 解析成 IP。不过一般都是以下两个结果：

162.159.192.1
2606:4700:d0::a29f:c001

这样做是因为后面的操作要根据 VPS 所配备的网络协议的不同去选择要连接 WARP 的节点是 IPv4 或 IPv6 协议。

IPv4 Only 服务器添加 WARP IPv6 网络支持

将配置文件中的 engage.cloudflareclient.com 替换为 162.159.192.1，并删除 AllowedIPs = 0.0.0.0/0。即配置文件中 [Peer] 部分为：

[Peer]
PublicKey = bmXOC+F1FxEMF9dyiK2H5/1SUtzH0JuVo51h2wPfgyo=
AllowedIPs = ::/0
Endpoint = 162.159.192.1:2408

原理：AllowedIPs = ::/0参数使得 IPv6 的流量均被 Wire­Guard 接管，让 IPv6 的流量通过 WARP IPv4 节点以 NAT 的方式访问外部 IPv6 网络。

此外配置文件中默认的 DNS 是 1.1.1.1，博主实测其延迟虽然很低，但解析结果并不理想。由于它将替换掉系统中的 DNS 设置 (/etc/resolv.conf)，建议小伙伴们请根据实际情况来进行替换，或者直接删除 DNS 这行。以下配置供参考：

DNS = 8.8.8.8,8.8.4.4,2001:4860:4860::8888,2001:4860:4860::8844

IPv6 Only 服务器添加 WARP IPv4 网络支持

将配置文件中的 engage.cloudflareclient.com 替换为 [2606:4700:d0::a29f:c001]，并删除 AllowedIPs = ::/0。即配置文件中 [Peer] 部分为：

[Peer]
PublicKey = bmXOC+F1FxEMF9dyiK2H5/1SUtzH0JuVo51h2wPfgyo=
AllowedIPs = 0.0.0.0/0
Endpoint = [2606:4700:d0::a29f:c001]:2408

原理：AllowedIPs = 0.0.0.0/0参数使得 IPv4 的流量均被 Wire­Guard 接管，让 IPv4 的流量通过 WARP IPv6 节点以 NAT 的方式访问外部 IPv4 网络。

此外配置文件中默认的 DNS 是 1.1.1.1，由于是 IPv4 地址，故查询请求会经由 WARP 节点发出。由于它将替换掉系统中的 DNS 设置 (/etc/resolv.conf)，为了防止当节点发生故障时 DNS 请求无法发出，建议替换为 IPv6 地址的 DNS 优先，或者直接删除 DNS 这行。以下配置供参考：

DNS = 2001:4860:4860::8888,2001:4860:4860::8844,8.8.8.8,8.8.4.4

双栈 WARP 全局网络置换

双栈 WARP 全局网络是指 IPv4 和 IPv6 都通过 WARP 网络对外进行网络访问，实际上默认生成的 Wire­Guard 配置文件就是这个效果。由于默认的配置文件没有外部对 VPS 本机 IP 网络访问的相关路由规则，一旦直接使用 VPS 就会直接失联，所以我们还需要对配置文件进行修改。路由规则需要添加在配置文件的 [Interface] 和 [Peer] 之间的位置，以下是路由规则示例：

[Interface]
...
PostUp = ip -4 rule add from <替换IPv4地址> lookup main
PostDown = ip -4 rule delete from <替换IPv4地址> lookup main
PostUp = ip -6 rule add from <替换IPv6地址> lookup main
PostDown = ip -6 rule delete from <替换IPv6地址> lookup main
[Peer]
...

TIPS: 包含<>(尖括号)的部分一起替换掉，这只是为了看起来明显。

替换配置中的 IP 地址部分为 VPS 的公网 IP 地址，如果 IDC 提供的是 VPC 内网方案则需要替换为内网 IP 。很多大厂都是 VPC 内网方案，比如 GCP 、AWS 等，内网地址一般会在网页面板有提供。如果不确定是哪种网络方案，输入 ip a | grep <公网IP地址> 看是否有显示，没有那么就说明是 VPC 内网方案。

启用 WireGuard 网络接口

• 将 Wire­Guard 配置文件复制到 /etc/wireguard/ 并命名为 wgcf.conf。

  sudo cp wgcf-profile.conf /etc/wireguard/wgcf.conf

• 开启网络接口（命令中的 wgcf 对应的是配置文件 wgcf.conf 的文件名前缀）。

  sudo wg-quick up wgcf

  

  
  
  

• 执行执行ip a命令，此时能看到名为wgcf的网络接口，类似于下面这张图：

  

  
  
  

• 执行以下命令检查是否连通。同时也能看到正在使用的是 Cloud­flare 的网络。

  # IPv4 Only VPS
  curl -6 ip.p3terx.com
  # IPv6 Only VPS
  curl -4 ip.p3terx.com

  

  
  
  

• 测试完成后关闭相关接口，因为这样配置只是临时性的。

  sudo wg-quick down wgcf

• 正式启用 Wire­Guard 网络接口

  # 启用守护进程
  sudo systemctl start wg-quick@wgcf
  # 设置开机启动
  sudo systemctl enable wg-quick@wgcf

IPv4 与 IPv6 网络优先级设置

TIPS: 优先级不是一定要设置的，这仅限于 VPS 本身对外发起的网络请求。使用某科学的上网工具不一定有效，建议使用工具内置的路由分流功能。

当访问的网站是双栈且服务器也是双栈，默认情况下 IPv6 优先级高于 IPv4，应用程序优先使用 IPv6 地址。

理论上应该是如下情况：

• IPv4 Only 服务器优先通过新增的 WARP IPv6 网络去访问外部网络。
• IPv6 Only 服务器优先通过原来的 IPv6 网络去访问外部网络。

然而 WARP 的情况有点特殊，现实的情况有可能是：

• IPv4 Only 服务器优先通过原来的 IPv4 网络去访问外部网络。
• IPv6 Only 服务器优先通过原来的 IPv6 网络去访问外部网络。

所以根据实际的需求就要手动去设置优先级。

IPv4 优先

编辑 /etc/gai.conf 文件，在末尾添加下面这行配置：

precedence ::ffff:0:0/96  100

一键添加命令如下：

# IPv4 优先
grep -qE '^[ ]*precedence[ ]*::ffff:0:0/96[ ]*100' /etc/gai.conf || echo 'precedence ::ffff:0:0/96  100' | sudo tee -a /etc/gai.conf

IPv6 优先

编辑 /etc/gai.conf 文件，在末尾添加下面这行配置：

label 2002::/16   2

一键添加命令如下：

# IPv6 优先
grep -qE '^[ ]*label[ ]*2002::/16[ ]*2' /etc/gai.conf || echo 'label 2002::/16   2' | sudo tee -a /etc/gai.conf

验证优先级

执行 curl ip.p3terx.com 命令，显示 IPv4 地址则代表 IPv4 优先，否则为 IPv6 优先。

优先级设置在特殊场景中的局限性

在 VPS 上使用某科学的上网工具，则还取决于科学工具的 DNS 策略和分流路由策略。

最需要注意的是某些路由器上的某科学的上网工具客户端不会发送域名给服务端，而是在本地直接将域名解析为 IP 并通过服务端直接向 IP 发起连接，那么可能因为屏蔽了 AAAA 记录，就只会去访问 IPv4 网络。这个问题解决方法是开启某科学的上网工具服务端的流量探测 (sniff­ing) 功能，并添加相关路由进行 IP 分流处理，它会从数据中嗅探出域名并进行二次 DNS 解析后对网络流量进行重定向，就比如可以将本身发往网站 IPv4 服务器的流量重定向到 IPv6 服务器。

某科学上网工具的IP 分流方法

有关某科学的上网工具的 DNS 和路由分流设置有很多资料，小伙伴们可自行咕鸽。每个人的需求不一样，不可能以偏概全，最好是看相关工具的文档，所以博主在这里就不多赘述了。这里推荐一篇博主个人认为写得最好的教程：《v2ray白话文手册 - 指定出站 IP》: https://toutyrater.github.io/app/netflix.html#%E6%8C%87%E5%AE%9A%E5%87%BA%E7%AB%99-ip，结合相关文档食用效果更佳。

Cloudflare WARP 网速测试

使用 speedtest.net 提供的 CLI 工具测试通过 WARP 访问外部网络的极限网速，不过仅限测试 IPv4 的速度。

• 安装 Ookla Speedtest CLI: https://www.speedtest.net/apps/cli

  curl -fsSL git.io/speedtest-cli.sh | sudo bash

• 执行speedtest命令测速。

博主随便拿一个吃灰的 LXC 小鸡进行了测试，发现即使用的是 wireguard-go 其网速依然很猛，几轮测试下来速度都在 500M 上下。可以预见的是这个速度应该远未达到 WARP 的极限，不过随着这篇教程的发布，之后是否还是这么理想就不得而知了。

尾巴

Cloud­flare 一直以来为广大人民群众免费提供优秀的网络服务，希望大家善待它，不要肆意滥用。

from  https://p3terx.com/archives/use-cloudflare-warp-to-add-extra-ipv4-or-ipv6-network-support-to-vps-servers-for-free.html

---------

连接CF WARP为服务器添加IPv4/IPv6网络

WARP是CloudFlare提供的一项基于WireGuard的网络流量安全及加速服务，能够让你通过连接到CloudFlare的边缘节点实现隐私保护及链路优化。

其连接入口为双栈（IPv4/IPv6均可），且连接后能够获取到由CF提供基于NAT的IPv4和IPv6地址，因此我们的单栈服务器可以尝试连接到WARP来获取额外的网络连通性支持。这样我们就可以让仅具有IPv6的服务器访问IPv4，也能让仅具有IPv4的服务器获得IPv6的访问能力。

题图来源微博@Ratto，本站仅做引用，如果喜欢请务必关注画师太太啊≧ ﹏ ≦！

---

零、前言

在这之前我就写过利用WARP为流量计费教育网节省流量开销的文章，后来听有人说可以安装在服务器上来为服务器增加连通性支持。想了一下也确实是这个道理，毕竟双栈任选入口、连接后可提供双栈网络，而且CF本身接驳有主流的上游，不论是从打通v4还是打通v6的角度，其各方面稳定性都是其他方案无法比拟的。

作为测试，这一次为IPv4实例打通IPv6网络选择的是腾讯云香港区域的轻量应用服务器，为IPv6服务器打通IPv4网络则使用的是Scaleway的Stardust实例。

---

一、WGCF配置

首先我们需要通过WGCF（点击前往）注册WARP账户并提取为WG配置文件。在这之前我写过一次有关教育网利用其IPv6连接以减少计费流量开销的文章。

【WGCF】提取WARP配置为CERNET提供IPv6流量转发

校园网的IPv4收费不少高校都比较贵，而IPv6是不限速不限量的。经过2020年9月10日教育网的路由变动后，CERNET在HKIX与HE以Peer via IX的形式进行了互联。因 ...

https://luotianyi.vc/4500.html

文中第【一】、【二】两节即为此步骤的详细操作，最终目标是获取到如图所示的wgcf-profile.conf。最近不知道什么原因经常出现429报错，在wgcf register执行之后看到目录里生成wgcf-account.toml即可，然后多次执行wgcf generate直至正常生成即可。

---

二、处理配置文件

WG连接后是内核层级的软件，会建立自己的虚拟网卡，且WARP客户端均为内网NAT地址，当双栈流量均被WG接管后我们就无法再从原有的IP连接到服务器了。因此在IPv4与IPv6之间我们必须做一个取舍，以防这样的情况发生。所以这个应用场景也就被限制到了在原有基础上提供另一种协议的连通性支持，后文会以配图以解释。

修改配置文件就两种情况：

①上文图中11行Endpoint修改为162.159.192.1:2408，删除掉第9行接管本地IPv4路由的配置
②上文图中11行Endpoint修改为[2606:4700:d0::a29f:c001]:2408，删除掉第10行接管本地IPv6路由的配置

为仅IPv4服务器添加IPv6

原理如图，由于AllowedIPs = ::/0的参数使得IPv6的流量均被WARP网卡接管，实现了让IPv6的流量通过WARP访问外部网络。这样的需求请参考情况①对配置文件进行修改。

为仅IPv6服务器添加IPv4

原理如图，由于AllowedIPs = 0.0.0.0/0的参数使得IPv4的流量均被WARP网卡接管，实现了让IPv4的流量通过WARP访问外部网络。这样的需求请参考情况②对配置文件进行修改。

双栈服务器置换网络

有时我们的服务器本身就是双栈的，但是由于种种原因我们可能并不想使用其中的某一种网络，这时也可以通过WARP接管其中的一部分网络连接隐藏自己的IP地址。至于这样做的目的，最大的意义是减少一些滥用严重机房出现验证码的概率；同时部分内容提供商将WARP的落地IP视为真实用户的原生IP对待，能够解除一些基于IP识别的封锁。

---

三、安装客户端

WireGuard是内核级别的工具，来自官方的包需要加载内核模块，所以在安装前请保证你的服务器是KVM/HyperV/XEN HVM这样完全虚拟化的服务器。

OpenVZ和LXC因为不具有内核权限，如果确有需要自己装WireGuard-Go作为内核模块的替代，其提供的文档要求自己配置go环境进行编译，并没有现成的二进制预编译包。当然安装后的配置操作都是相差无几的，在这因为并不推荐就补充在最后面好了。

博主在这些”玩具”机器上使用的均是Debian系统，所以作为一篇记录我就只考虑Ubuntu和Debian系统了~

安装前先确定kernel-header已安装，并且检查下resolv是正确安装上的：

安装依赖

Shell

1	apt-get install sudo net-tools openresolv -y

安装主程序，Debian需要添加unstable源，Ubuntu则只需要添加库即可：

1 2 3 4 5 6 7 8 9 10 11 12

#Debian添加unstable源 echo "deb http://deb.debian.org/debian/ unstable main" > /etc/apt/sources.list.d/unstable-wireguard.list printf 'Package: *\nPin: release a=unstable\nPin-Priority: 150\n' > /etc/apt/preferences.d/limit-unstable #更新源并安装 apt-get update apt-get install wireguard-dkms wireguard-tools   #Ubuntu添加库 add-apt-repository ppa:wireguard/wireguard #更新源并安装 apt-get update apt-get install wireguard

经过群友的补充，CentOS 7因为内核比较老不能支持，需要安装添加elrepo源并更换kernel-ml内核。个人不推荐使用CentOS进行安装，7得换内核，8还成了弃子，有点麻烦。

Shell

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24

#安装elrepo源 rpm -import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org rpm -Uvh https://www.elrepo.org/elrepo-release-7.0-4.el7.elrepo.noarch.rpm #安装额外包组件 yum install -y epel-release elrepo-release yum-plugin-elrepo #安装内核 yum --enablerepo=elrepo-kernel -y install kernel-ml kernel-ml-headers  kernel-ml-devel #查看启动顺序 cat /boot/grub2/grub.cfg | grep menuentry #设置启动顺序 grub2-set-default 0 #查看设置成功 grub2-editenv list #更新grub grub2-mkconfig -o /boot/grub2/grub.cfg #重启 reboot #查看已安装内核 rpm -qa | grep kernel #卸载无用的 yum remove 或 rpm -e   #安装WireGuard组件 yum install kmod-wireguard wireguard-tools

DKMS会将WG的内核模块编译并加载上去，出现DKMS: install completed.并且无错误即可。如果出现内核模块未加载成功，可以尝试reinstall一下wireguard-dkms，最终以如下命令检查：

1 2 3 4

#加载内核模块 modprobe wireguard #检查WG模块加载是否正常 lsmod | grep wireguard

确认模块有返回后，就可以把上文【二】中你需要的配置文件拿出来，配置文件目录放在/etc/wireguard下。比如我选择命名为wgcf.conf，则开启与关闭命令与配置文件对应：

1 2 3 4

#开启隧道 sudo wg-quick up wgcf #关闭隧道 sudo wg-quick down wgcf

开启后可通过ifconfig看到名称为你配置文件的WARP虚拟网卡，此时便可以通过WARP进行外部访问了。

---

安装Go版本模块

OpenVZ和LXC因为不具有内核权限，如果确有需要自己装WireGuard-Go作为内核模块的替代，WG主程序在检测不到内核的模块时会fallback到go的模块启动程序；同时这个也可以解决部分人不想给内核加载模块的问题，只是效率略低。

在这之前我们要检查一下你的服务器是否开启了TUN支持，如果未开启的话需要联系你的服务商开启：

检查TUN模块

Shell

1 2 3 4

#尝试加载内核模块 modprobe tun #检查TUN模块加载是否正常 lsmod | grep tun

既然是go语言写的，自己编译和用现成别人编译好的都可以，自己编译的话需要go语言版本高于1.13才可以。

编译安装

Shell

1 2 3 4 5 6 7 8 9 10 11 12

#下载代码 git clone https://git.zx2c4.com/wireguard-go #进入源码目录 cd wireguard-go #编译 make #将编译好文件移到执行目录 mv ./wireguard-go /usr/bin/wireguard-go #添加执行权限 chmod +x /usr/bin/wireguard-go #检查运行是否有返回 wireguard-go

直接用别人编译好的包也是可以的，loc上的@52mfzy提供了一个预编译64位的项目的地址。

预编译包安装

Shell

1 2 3 4 5 6

#下载二进制文件（64位Linux） wget -P /usr/bin https://github.com/bernardkkt/wg-go-builder/releases/latest/download/wireguard-go #添加执行权限 chmod +x /usr/bin/wireguard-go #检查执行是否正常 wireguard-go

其他的架构我找到一个比较老的20181222版本，如有需要可以按自己需求选择（点击前往），tar.xz包用tar -xf命令解压。注意这里提供的旧版本软件包因为是测试版本，需要添加确认运行的系统变量（新版本就没问题了）；你可以在启动隧道前执行一次，也可以添加到/etc/profile永久生效。

系统变量

1 2	#每次开机后执行 或 添加到/etc/profile export WG_I_PREFER_BUGGY_USERSPACE_TO_POLISHED_KMOD=1

go模块安装正确后，请参考前文添加源并安装主程序，Debian仅安装wireguard-tools即可，Ubuntu安装wireguard，CentOS仅安装wireguard-tools，内核模块无需安装。其余的写配置文件和使用也与前文一致。

---

开机自启

我不建议把WARP设置为开机自启，不过也没什么问题，官方提供的文档是通过systemctl管理的，所以比较老的系统就不用考虑了。

开机自启

Shell

1 2 3 4 5 6

#允许配置文件为wg0的开机自启 systemctl enable wg-quick@wg0.service #重载deamon配置 systemctl daemon-reload #启动wg0配置文件的进程 systemctl start wg-quick@wg0

---

四、结语

本文最初的目的就是因为买了Scaleway的Stardust纯IPv6实例，实测效果是非常不错的。相比于DNS64等方案，CloudFlare提供的网络非常优秀。

腾讯云轻量这边，服务器到CF的Endpoint才0.4ms，添加IPv6后到本地谷歌的CDN节点仅仅3ms，基本可以当作本地具备的IPv6使用了。鹅厂的服务器最近用的也蛮舒服的，别具一格的升配活动连学生机都可以参与，有需要的话也可以考虑一下~

经过实际测试，与WARP建立的隧道在5天的时间中均未出现明显的波动，其连通性及稳定性相较于HE.NET的TunnelBroker好很多；并且作为商业化的应用，其速度得到了很好的保证。

至于前文AllowIPs讲的非常简单，只用了仅保留IPv4/IPv6其一，其实可以不必如此，它是以路由表的形式接管流量，你可以自己通过修改参数自己指定路由表的内容。这里就不展开讲了，附一个从loc大佬那里拿来的IP库（点击下载）。

最后还是那句话，且用且珍惜，不要将公共的资源肆意加以滥用~

---

*转载请注明原文档出处
*文章部分参考自Linode官方文档

# CloudFlare



• 浏览23459
 
• 喜欢1

 

• 
• 
• 

转载原创文章请注明，转载自： Luminous' Home » 【WGCF】连接CF WARP为服务器添加IPv4/IPv6网络