通过Wireguard连回内网ShellCrash的问题

[Jefffish09]

你好！最近在用wireguard连回家里内网时出现一个问题，想咨询一下。

我的内网结构大致如下：

1. 主路由IP是10.50.50.1
2. 它下面有个旁路由（IP为10.50.50.2，系统是debian）装有shellcrash 1.9.4 realease（Mihomo 1.19.20，用Tproxy+fake-ip模式），负责翻墙和提供dns服务
3. 内网的其他设备IP分配为10.50.50.xx，如果这些内网设备想翻墙，只需将该设备的网关和dns设为10.50.50.2，即可通过旁路由进行翻墙，这样使用一切正常。

我现在内网有一台主机A（IP是10.50.50.3，系统是alpine），上面安装docker版的wg-easy，对外提供wireguard服务，wireguard网段为10.8.0.0/24。

现况：

1. 如果主机A的网关和dns设为主路由10.50.50.1，一切正常，外网设备可以通过wireguard连回家里内网，也能正常访问外网（如百度），但外网设备无法同时翻墙。
2. 但将主机A的网关和dns设为旁路由10.50.50.2，这时主机A本身能翻墙，但外网设备就无法连回内网，也无法访问外网（如百度），也无法通过家里旁路由翻墙。

请问，这问题是在于shellcrash设置还是wireguard或者docker设置呢？该如何解决？

[juewuy]

需要在流量过滤里自定义两个ipv4网段

[Jefffish09]

需要在流量过滤里自定义两个ipv4网段

是指，一个本身内网网段（即上面的10.50.50.0/24），另一个是wg的网段（即上面的10.8.0.0/24）吗？那我docker默认的网段（即172.17.0.0/16）需要加进去吗？

[juewuy]

@Jefffish09 docker可以单独启用容器代理

[Jefffish09]

@Jefffish09 docker可以单独启用容器代理

我的wireguard-docker服务是在内网别的机器上，不是和shellcrash同一台机器，这样启用容器代理，也能生效吗？

[juewuy]

@Jefffish09 那应该不需要额外设置就能生效吧，实际应该是走宿主机的IP

[Jefffish09]

@Jefffish09 那应该不需要额外设置就能生效吧，实际应该是走宿主机的IP

不行。shellcrash没特殊设置过。我内网设备把网关和dns指向shellcrash的机器就能正常用了。但wireguard-docker所在机器的网关和dns指向shellcrash所在机器，外网设备就连不上wireguard。将网关和dns改回主路由，就又能连上wireguard。

[juewuy]

@Jefffish09 旁路由太复杂了我也不知道怎么设置

[klax2021]

我尝试过主路由shellcrash+easytier的方案，后来将easytier迁移到Nas，都是正常运行的，互不影响，shellcrash资源占用少，能主路由就主路由，双栈代理去广都不需要单独设置网关了，很方便

[Jefffish09]

我尝试过主路由shellcrash+easytier的方案，后来将easytier迁移到Nas，都是正常运行的，互不影响，shellcrash资源占用少，能主路由就主路由，双栈代理去广都不需要单独设置网关了，很方便

能具体一点说下你的方案吗？