在 docker 中創建 WireProxy 代理伺服器

上一篇手動創建的可以參考這裡的做法
CHG: 在 Ubuntu 中創建 WireProxy 代理伺服器

重複的如何生成設定檔等等這篇不再重複贅述，會集中在如何部署在 docker 上。會需要部署在 docker 上是因為如果有不只一個 WireProxy 通道要在 host 上跑會變得很難管理。

每次更改設定檔得重啟服務，甚至有時候只是想單獨只要關閉其中一個通道也是相當麻煩，上 docker 就很省事以上都同輕鬆管理。

在 Windows 上可以直接安裝 docker 就可以有圖形管理介面了，如果是在 linux 上可以用 portainer 這個管理套件。都不安裝也沒差純指令管理也行。

下面讓我們開始吧，記得先準備好能用的 wireporxy.conf 檔案

步驟 1：建立 Docker 映像檔

建立 Dockerfile

mkdir -p ~/docker/wireproxy
nano ~/docker/wireproxy/Dockerfile

內容如下

# 使用精簡版 Debian 作為基底
FROM debian:bullseye-slim

# 宣告版本號與目標架構
ARG WIREPROXY_VERSION=1.0.9
ARG TARGETARCH

# 安裝必要工具
RUN apt-get update && apt-get install -y --no-install-recommends \
      wget ca-certificates tar && \
    rm -rf /var/lib/apt/lists/*

# 建立工作目錄
WORKDIR /opt/wireproxy

# 根據架構選擇對應 release
RUN set -eux; \
    case "${TARGETARCH}" in \
      amd64)   PKG_ARCH=amd64 ;; \
      arm64)   PKG_ARCH=arm64 ;; \
      arm)     PKG_ARCH=arm ;; \
      386)     PKG_ARCH=386 ;; \
      mips)    PKG_ARCH=mips ;; \
      mipsle)  PKG_ARCH=mipsle ;; \
      riscv64) PKG_ARCH=riscv64 ;; \
      s390x)   PKG_ARCH=s390x ;; \
      *) echo "Unsupported arch: ${TARGETARCH}" >&2; exit 1 ;; \
    esac; \
    URL="https://github.com/whyvl/wireproxy/releases/download/v${WIREPROXY_VERSION}/wireproxy_linux_${PKG_ARCH}.tar.gz"; \
    echo "Downloading $URL"; \
    wget -O /tmp/wireproxy.tgz "$URL"; \
    tar -xzf /tmp/wireproxy.tgz -C /opt/wireproxy && \
    chmod +x /opt/wireproxy/wireproxy && \
    ln -s /opt/wireproxy/wireproxy /usr/local/bin/wireproxy && \
    rm /tmp/wireproxy.tgz

# 設定預設啟動命令
ENTRYPOINT ["wireproxy", "-c", "/etc/wireproxy.conf"]

建立 Docker 映像檔

cd ~/docker/wireproxy
docker build -t wireproxy .

這個映像檔可以重複使用，並且會自動儲存在docker中

步驟 2：執行 container

# 0. 刪除就有的docker
docker stop wireproxy
docker rm -f wireproxy

# 1. 建立 docker
docker run -d \
  --name wireproxy \
  --cap-add=NET_ADMIN \
  -p 1080:1080 \
  -v /etc/wireproxy.conf:/etc/wireproxy.conf \
  wireproxy

# 2. 設置開機自動啟動 (no|always)
docker update --restart=always wireproxy

跑完就已經啟動服務了，用下面的指令確定一下IP有無跳轉

myip() {
    echo -e "🌐 Direct  IPv4 : \033[1;33m$(curl -4 -s ifconfig.me)\033[0m"
    echo -e "🌐 Direct  IPv6 : \033[1;33m$(curl -6 -s ifconfig.me)\033[0m"
    echo -e "🧦 SOCKS5  IPv4 : \033[1;36m$(curl -4 -s --socks5 localhost:1080 ifconfig.me)\033[0m"
    echo -e "🧦 SOCKS5  IPv6 : \033[1;36m$(curl -6 -s --socks5 localhost:1080 ifconfig.me)\033[0m"
}; myip

執行多個不同代理的 container

如果要跑多個服務就是步驟2重複執行就可以，只需要更改 port 與 設定檔 即可

例如要讓 1081 對應到本機 /etc/wireproxy/wp0.conf 的話可以像以下這樣設置

docker run -d \
  --name wp0 \
  --cap-add=NET_ADMIN \
  -p 1081:1080 \
  -v /etc/wireproxy/wp0.conf:/etc/wireproxy.conf \
  wireproxy

如此一來就可以輕鬆建立對應各個伺服器的代理了，要關哪個改哪個都是獨立的，隨意輕鬆來互相不影響。

快速部署多個不同代理的 wp 容器

一個容器對應一個設定檔案，所以這邊寫了兩個快速產出設定檔與執行docker容器的函式

快速產出設定檔案

wp_conf_init() {
    local name="${1:-wp0}"
    local dir="/etc/wireproxy"
    local file="$dir/${name}.conf"
    local msg

    # 建立設定檔目錄
    sudo install -d -m 700 -o root -g root "$dir"

    # 初始化設定檔
    if sudo test -e "$file"; then
        msg="設定檔已存在，使用以下指令檢視或修改:"
    else
        # 建立模板檔案
        sudo tee "$file" > /dev/null <<'EOF'
# WireGuard 客戶端設定
# 取代這行並貼上完整wg設定檔 (包含 [Interface] 與 [Peer] 區塊)

# SOCKS5 代理設定
[Socks5]
BindAddress = 0.0.0.0:1080
EOF
        sudo chown root:root "$file"
        sudo chmod 600 "$file"
        msg="已建立設定檔，使用以下指令編輯:"
    fi

    echo "$msg sudo nano $file"
} 

使用方式

wp_conf_init wp0

會快速幫你產好檔案，只需要再把 wirguard 設定值貼進去就好

再來處理容器的起動，這邊設定好之後執行剛剛的名稱 wp0

run_wireproxy() {
  local NAME="${1:-wireproxy}"
  local PORT="${2:-1080}"
  local CONF

  if [[ -n "$3" ]]; then
    CONF="/etc/wireproxy/$3"
  elif [[ -z "$1" ]]; then
    CONF="/etc/wireproxy.conf"
  else
    CONF="/etc/wireproxy/${NAME}.conf"
  fi

  if [[ ! -f "$CONF" ]]; then
    echo -e "\033[1;31m❌ 找不到設定檔：$CONF\033[0m"
    return 1
  fi

  docker stop "$NAME" >/dev/null 2>&1
  docker rm -f "$NAME" >/dev/null 2>&1

  echo "🚀 啟動容器：$NAME"
  echo "  🌐 主機埠 $PORT 映射至容器 1080"
  echo "  🔗 掛載設定檔 $CONF → /etc/wireproxy.conf"

  CID=$(docker run -d \
    --name "$NAME" \
    --cap-add=NET_ADMIN \
    -p "$PORT":1080 \
    -v "$CONF:/etc/wireproxy.conf" \
    wireproxy)

  if [[ $? -eq 0 && -n "$CID" ]]; then
    echo "  ✅ 成功啟動容器：$NAME"
  else
    echo "  ❌ 容器啟動失敗"
    return 1
  fi

  return 0
}

執行函式

run_wireproxy wp0

就可以把剛剛建立的設定檔跑起來了

需要開機自動啟動再自行設定: docker update --restart=always wp0

​

ASUS 路由器如何建立 TAP模式的 OpenVPN Server

這裡好像有坑搞了好一陣子，預設的狀態下建立 TAP 連接會錯誤，先說結論需要做的事情

TAP 的好處是可以等校於你把實際把網線差到路由器上一樣

兩項必要的設定

• 使用IPv4連接
• 從 Server 端推送 gateway

使用IPv6連接

預設的情況下 OpenVPN 是支援6的，而華碩的路由器也支援6，但是華碩的 OpenVPN Server 疑似不支援，解法有兩個擇1就可以

1. 把 OpenVPN 設定檔中的 ddns 域名改成 IPv4，因為如果是 domain.asusddns.com 這個是有包含 IPv6 的，然後 6 會優先於 4 導致出問題了

2. 第二個能下手的地方是 OpenVPN 會建立一個虛擬網卡，就對那個網卡右鍵內容，把 IPv6 關閉，這樣就沒事了

從 Server 端推送 gateway

我一直吃到一個錯誤是

OpenVPN ROUTE: failed to parse/resolve route for host/network: 192.168.50.1

是了很多辦法最是直接在路由器中有個可以自訂指令的地方推送 gateway

push "route-gateway 192.168.50.1"

設定完成之後會吃到另一個錯誤

ROUTE: route addition failed using service: ʫ¥Ӥw¸g¦s¦b¡C   [status=5010 if_index=17]

但這個不是那麼致命，只是推送重複路由的警告而已，是可以正常使用的，最後就解決了

​

在 Ubuntu 中創建 WireProxy 代理伺服器

以下的本篇文章是直接在系統中架設，如果不想影響當前系統可以用 docker 隔離，參考另一篇 CHG: 在 docker 中創建 WireProxy 代理伺服器

前幾天自己做了個 wireguard client + sock5 的伺服器跳轉 IP，雖然是做成了不過就是管理兩個關聯服務麻煩，以及我不希望本機被跳轉

簡單說就是連上 wg1 不跳轉 ip，但是由 sock5 進來的流量經過 wg1 要跳轉 ip 的需求，本來手動搞了一下兩個辦法

一個是用 NameSpace 隔離，另一個是打 tag 在封裝上，研究了一下沒弄成，找而問 AI 有沒有人幹過這事?

結果還真有這事google解了，並且有用go寫成函式庫，然後有人用這個庫把他寫成一個軟體了
whyvl/wireproxy: Wireguard client that exposes itself as a socks5 proxy

那就開始安裝吧，開始前記得注意 sock5 是沒加密的別公開到外網上

順帶一提這個方法可以在 Windwos WSL1 或 WSL2 中運行，手邊沒機器可以先用WSL來跑

如果需要再docker中運行參考這篇 (建議跑docker省事好管理)
CHG: 在 docker 中創建 WireProxy 代理伺服器

安裝 WireProxy

從官方下載編譯好的檔案並複製到指定位置

下載 64位元版本 (Releases · whyvl/wireproxy)

curl https://raw.githubusercontent.com/pufferffish/wireproxy/master/systemd/wireproxy.service | sudo tee /etc/systemd/system/wireproxy.service

解壓縮並安裝

sudo mkdir -p /opt/wireproxy
sudo tar -xzf /tmp/wireproxy_linux_amd64.tar.gz -C /opt/wireproxy
sudo chmod +x /opt/wireproxy/wireproxy
sudo ln -s /opt/wireproxy/wireproxy /usr/local/bin/wireproxy

檢查是否可用

wireproxy --version

有出現版本就可以了

設置檔案

新增設定檔

sudo nano /etc/wireproxy.conf

設定檔內容 (內容其實就是 wg client 的內容加上 sock5)

# WireGuard Interface 設定
[Interface]
Address = 10.6.0.2/32
PrivateKey = ${:YOUR_PRIVATE_KEY_HERE}
DNS = 8.8.8.8

# WireGuard Peer 設定
[Peer]
PublicKey = ${:YOUR_PUBLIC_KEY_HERE}
Endpoint = ${:IPv4}:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25

# SOCKS5 代理設定
[Socks5]
BindAddress = 0.0.0.0:1080

更改權限

sudo chmod 600 /etc/wireproxy.conf
sudo chown root:root /etc/wireproxy.conf

測試conf檔案設置是否正確

sudo wireproxy -c /etc/wireproxy.conf -n

前台運行測試

sudo wireproxy -c /etc/wireproxy.conf

能運行應該就沒問題了

設置開機自動啟動

創建 systemd 服務

curl raw.githubusercontent.com/pufferffish/wireproxy/master/systemd/wireproxy.service | sudo tee /etc/systemd/system/wireproxy.service 

這份檔案是原作提供的 wireproxy/systemd at master · whyvl/wireproxy 

發生一個意外這個配置在 pi5 上不能跑，姑且是找到問題了，可以參考這篇文章

啟動服務

# 重新載入 systemd
sudo systemctl daemon-reload

# 啟用服務與設置開機自動啟動
sudo systemctl enable --now wireproxy.service

# 檢查服務狀態
sudo systemctl status wireproxy.service

對於 wsl1 沒有 systemctl 的解法是，在 sudo nano /etc/wsl.conf 檔案中添加，command="wireproxy -c /etc/wireproxy.conf &" 讓他開機自動啟動。如果已經有 ssh 服務掛著用 && 連接兩個命令，或是外置一個 sh 檔案代理。

本機測試一下IP是否跳轉成功

# 測試機器本身 IP
curl ipinfo.io
# 測試 SOCKS5 代理 IP
curl --socks5 localhost:1080 ipinfo.io

上面兩個會顯示出不同的IP，只有 SOCK5 會跳轉到 wg 伺服端的 IP
成功後其他電腦應該就可以利用 IP 連到這台代理了

其他

如果不想用IP連接，裝一下這個東西可以廣播主機名稱給區網電腦

sudo apt install avahi-daemon -y
sudo systemctl enable avahi-daemon
sudo systemctl start avahi-daemon

裝好之後其他主機就可以直接輸入這台電腦的名稱就能連了

如果要改設定的話

sudo nano /etc/wireproxy.conf && sudo systemctl restart wireproxy.service

撤銷該服務

如果要改用 docker 或是移除的話，要撤除可以執行這個命令

# 停止並停用服務
sudo systemctl disable --now wireproxy.service

# 移除 service 檔案
sudo rm /etc/systemd/system/wireproxy.service

# 重新載入 systemd 設定
sudo systemctl daemon-reload

# 確認是否已經移除
systemctl status wireproxy

設定檔案在 /etc/wireproxy.conf 在自己移除即可，也可以放著不用管可能哪天要用

在 Ubuntu 架設 WireGuard Server

這東西有一點點像 SSH 伺服器端需要兩組公鑰與私鑰互相配對，彼此握手成功才能連接。

前置任務

1. 必要安裝的套件

sudo apt install wireguard iptables 

這個 resolvconf 視情況安裝，跑WG後有跳錯再說

2. 打開 IPv4 與 IPv6 的轉發

sudo sed -i 's/^#\s*\(net\.ipv4\.ip_forward\s*=\s*1\)/\1/' /etc/sysctl.conf
sudo sed -i 's/^#\s*\(net\.ipv6\.conf\.all\.forwarding\s*=\s*1\)/\1/' /etc/sysctl.conf

看一下有沒有打開

sudo sysctl -p

預期應該要看到以下的結果

net.ipv4.ip_forward = 1
net.ipv6.conf.all.forwarding = 1

3. 再來需要你在路由器中設置虛擬伺服器把這台的 51820 開放 UDP 出去外面，這個依據路由器不同設置方法不同，這裡在自行 google 做法

WireGuard 私鑰

這裡需要生成兩組私鑰來互相配對，一組當作 Sever 的一組當作 Client 端的

1. 生成私鑰

生成 wg0 與 client0 這兩組，結果保存在 /etc/wireguard/keys 裡面

# 創建資料夾
sudo mkdir -p /etc/wireguard/keys
# 伺服器端
sudo wg genkey | sudo tee /etc/wireguard/keys/wg0.key | wg pubkey | sudo tee /etc/wireguard/keys/wg0.pub >/dev/null
# 客戶端
sudo wg genkey | sudo tee /etc/wireguard/keys/client0.key | wg pubkey | sudo tee /etc/wireguard/keys/client0.pub >/dev/null

保存在keys資料夾中的私鑰不是必要的只是方便之後可以來這裡查

2. 檢視私鑰

再來檢視產生的金鑰與當前IP

# 檢視金鑰
echo "🔑 WirGard wg0 Key:"
echo "  Private Key: $(sudo cat /etc/wireguard/keys/wg0.key)"
echo "  Public  Key: $(sudo cat /etc/wireguard/keys/wg0.pub)"
echo "🔑 WirGard client0 Key:"
echo "  Private Key: $(sudo cat /etc/wireguard/keys/client0.key)"
echo "  Public  Key: $(sudo cat /etc/wireguard/keys/client0.pub)"

# 檢視當前的網卡
echo "🌐 Default Network:"
echo "    Interface: $(ip route | awk '/default/ {print $5}')"
echo "    IPv4：$(curl -4 -s ifconfig.me)"

出網的網卡自己看一下是否正確，如果預設網卡不是你出網的網卡的話。

WireGuard 設定檔案

伺服器端與客戶端個別需要一個設定檔案

1. 生成伺服端設定檔

使用下面的命令建立 wg0.conf 檔案

sudo nano /etc/wireguard/wg0.conf

檔案內容

[Interface]
Address = 10.6.0.1/24
Address = fd86:ea04:1115::1/64
SaveConfig = true
PostUp = iptables -A FORWARD -i %i -j ACCEPT
PostUp = iptables -t nat -A POSTROUTING -o ${:網卡名稱} -j MASQUERADE
PostUp = ip6tables -A FORWARD -i %i -j ACCEPT
PostUp = ip6tables -t nat -A POSTROUTING -o ${:網卡名稱} -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT
PostDown = iptables -t nat -D POSTROUTING -o ${:網卡名稱} -j MASQUERADE
PostDown = ip6tables -D FORWARD -i %i -j ACCEPT
PostDown = ip6tables -t nat -D POSTROUTING -o ${:網卡名稱} -j MASQUERADE
ListenPort = 51820
PrivateKey = ${:/etc/wireguard/keys/wg0.key}

[Peer]
PublicKey = ${:/etc/wireguard/keys/client0.pub}
AllowedIPs = 10.6.0.2/32, fd86:ea04:1115::2/128

要改的地方已經用 ${:} 標記起來了，照著修改即可

如果有要跑 casaos 的話 [Interface] 裡面多插一條 MTU = 1500 不然會導致凱薩跑不起來

2. 生成客戶端設定檔

使用下面的命令建立檔案 (這個不需要放在etc中這是要給客戶端用的)

nano ~/client0.conf

檔案內容

[Interface]
PrivateKey = ${:/etc/wireguard/keys/client0.key}
Address = 10.6.0.2/32, fd86:ea04:1115::2/128
DNS = 8.8.8.8, 2001:4860:4860::8888

[Peer]
PublicKey = ${:/etc/wireguard/keys/wg0.pub}
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = ${:IPv4}:51820
PersistentKeepalive = 25

要改的地方已經用 ${:} 標記起來了，照著修改即可

啟動 WireGuard 伺服器

再來就可以啟動伺服器了

sudo wg-quick up wg0

然後再把 client0.conf 複製外網機器中，試著連接看看有出現交握就表示成功了，可以從下面的網址測試IP有無成功跳轉

What Is My IP Address - See Your Public Address - IPv4 & IPv6

如果有交握但是無法上網，檢查一下 wg0.conf 中網卡名稱是不是有打錯

另外在預設狀態下 wg0 如果重新啟動前是啟動狀態，重啟之後也會是啟動狀態，但如果是關閉重啟就依然會是關閉

想要不管怎樣都會自動開啟可以打開下面的服務，確保開機自動啟動服務

sudo systemctl enable wg-quick@wg0

其他指令

啟動後要修改 wg0.conf 可以用這個

sudo wg-quick down wg0 && sudo nano /etc/wireguard/wg0.conf && sudo wg-quick up wg0

測試防火牆中的 51820埠 是否有被打通

sudo tcpdump -n -i any udp port 51820

從 pwsh 測試遠端 udp埠

function Send-UdpPacket {
    param (
        [string]$TargetIP,
        [int]$TargetPort,
        [string]$Message = "Hello"
    )
    $udpClient = New-Object System.Net.Sockets.UdpClient
    $remoteEP = New-Object System.Net.IPEndPoint ([System.Net.IPAddress]::Parse($TargetIP), $TargetPort)
    $bytes = [System.Text.Encoding]::UTF8.GetBytes($Message)
    $udpClient.Send($bytes, $bytes.Length, $remoteEP) | Out-Null
    $udpClient.Close()
} Send-UdpPacket -TargetIP "x.x.x.x" -TargetPort 51820

使用 SwitchyOmega 跳轉特定網址 IP

這是接續的文章最終實現的在瀏覽器上僅特定網址跳轉IP

1. 在 Ubuntu 架設 WireGuard Client 用戶端跳轉IP
2. 在 Ubuntu 用 dante 架設 sock5 代理 讓瀏覽器在特定網址跳轉IP
3. 使用 SwitchyOmega 跳轉特定網址 IP

下面正文開始

這是瀏覽器的一個插件，可以透過 sock5 跳轉特定網址的IP
Proxy SwitchyOmega 3 (ZeroOmega) - Chrome 線上應用程式商店

安裝好之後進入設定頁面，填入你本地的 sock5 代理伺服器

然後儲存設定即可

再來進入你需要跳轉的網頁，右上角點出該插件，點擊加入條件

情境模式選擇 proxy 按下加入

再來重整一下就能跳轉了

如果要測速的話，speetest的流量沒辦法走 sock5 如果要測速可以試試看這個
インターネット回線の速度テスト | Fast.com