花了一整天的时间研究 WireGuard,其实很快就通了,但最后的转发部分因为设错了(应该是 allowed-ips "0.0.0.0/0",我给设成了 ip/24)被卡了好久。最后实现了纯 bash、不需要借助 wg-quick 的全翻。
虽然从功能上说,因为设置规则不如 ss-redir + iptables + ipset 灵活(可能性能会更好些,但是作为 NAT 就不一定了),并不打算用这玩意翻墙。但要注意的是,这是 VPN、不是 tunnel,所以我以前的一个设想:低开销的 virtual LAN 把我所有机器连起来。这个就很容易实现了。
如果群晖能官方完善支持 WireGuard,我愿意再买个新的 NAS。