局域网内设备->网关(需要改网关为依据做了科学上网的设备)->路由器->vpn服务器->应用服务器
- 局域网内某台设备已经做了科学上网的配置,例如ss,ssr,trojan,wireguard,ikev2,trojan等。并且在这台设备上面访问https://google.com 时可以通过对端的服务器发出去请求。
- 在这台设备上配置转发,一般就是linux配置iptables,window配置netsh,macos配置pfctl,下面以linux举例做转发:
// 下面的网卡名字根据自己实际情况改变
// 从eth0网卡接管流量
iptables -A FORWARD -i eth0 -j ACCEPT;
iptables -A FORWARD -o eth0 -j ACCEPT;
// 把接管的流量通过wg0网卡发出去
iptables -t nat -A POSTROUTING -o wg0 -j MASQUERADE
- 局域网内的其他设备的网关改成1里面的这台机器的ip。(dns想设置成它也可以,根据自己需求)
- 局域网内设备dns可以改成网关地址(前提是网关需要把53开开)
- 那台已经可以科学上网的局域网设备,可以做策略控制,比如某些ip走代理出去,某些ip直接发出去,不同的vpn实现不同,比如wireguard借助虚拟网卡,用户可以在allowedips上做配置; 比如shadowsocks,trojan借助本地启socks5代理做规则控制
- 我测试的在ubuntu机器上面做转发配置,vpn服务器也是ubuntu,然后在服务端和客户端安装了wireguard来测试的。
- 现在市面上有很多做好的工具,比如surge,可以更方便的帮我们做这件事,但是收费的。