请问大家 wireguard 怎么 debug

nmap 检测端口通不通，通就是自己的问题

看 wg 的收/发流量

你如果不提供你的配置文件，别人没办法帮你。

你 macbook 上的配置，公钥什么的，放在机房还是家里的配置文件里了？

wg 要么看日志，要么只有开内核 debug 。不然就抓包看看。

@Ipsum 不需要。wg 的算法不需要去 debug 。不通无非是：

1 、私钥、公钥、密码三个字符串没写对，比如少了末尾的=号
2 、endpoint 的 IP 和端口号没写对
3 、防火墙上的端口没打开
4 、wg 接口本身的 IP 没写对

基本就是几个文本字符串比对一下的事情。

找到原因了，第一个 peer 的掩码写太大了，网上教程误导人啊

@ursash 你写成了什么？

“服务器”那一侧，peer 的 AllowedIPs 里写 peer 的 IP/32
“客户机”这一侧，interface 里 address 写 peer 的 IP/24

@dalaoshu25 你这样是对的，我服务器测的 peer 写了/24 ，所有有问题

sudo wg

说实话别看一群人天天吹 wg ，如果对计网没有深入了解我根本不推荐这玩意

我也想知道如何排查问题，不知道有没有哪里可以看报错信息

echo 'module wireguard +p' | sudo tee /sys/kernel/debug/dynamic_debug/control

我大概总结了以下，相对来说确实复杂一点，有几个原因
1. 因为有公私钥对，如果是 A-B 两个设备就有 4 个公私钥，很容易填错
2. Address 的概念，Address 需要自己手动分，设备间不能冲突，也不能和内网冲突
3. AllowedIPs 的概念，这个会涉及到子网掩码，关键是决定了包路由到哪个 peer ，如果没搞清楚的话很容易莫名其妙的问题，我就是这里出了问题
4. Endpoint 的问题，比如说有没有公网 IP ，是不是固定 IP 之类的，都会带来一定的困扰，如果是内网设备还涉及到端口转发
5. 很难 debug ，原因是没有很好的日志，并且是 UDP ，有点烦
但是如果都弄明白了，就还行，异地组网很方便

nftable 捕捉 wg 的端口流量