【小白教程】在飞牛 fnOS 上使用 WireGuard,实现外网安全访问家里 NAS / 局域网 / 全局代理
大家好,最近重新折腾了一下适合 fnOS 使用的 WireGuard2.0 管理工具,目标就是:不用手写配置、不用懂 iptables/nftables、不用自己算 AllowedIPs,点几下就能让手机/电脑在外面安全访问家里的飞牛 NAS。
这篇教程主要面向小白用户,尽量用人话讲清楚怎么用。
支持架构:
软件下载地址:https://wwbsm.lanzoub.com/b035ozhtyj 密码:bc3m
一、这个工具能干什么?
简单说,它可以让你在外面通过 WireGuard 安全连回家里网络。
支持三种使用场景:
1. 仅访问这台 fnOS
适合只想在外面访问飞牛管理页、Docker 服务、NAS 文件服务的人。
客户端只会访问飞牛这台机器,不会访问整个家庭局域网。
2. 访问家庭局域网
适合想在外面访问:
- 飞牛 fnOS
- 家里路由器后台
- 家里电脑
- 家里其他 NAS
- 摄像头、打印机、软路由等设备
这个模式最常用。
3. 所有流量通过家庭网络
适合想让手机/电脑在外面也走家里公网出口的人。
比如连接后,访问 ip138 看到的是家里的公网 IP。
二、使用前需要准备什么?
你需要有:
- 一台已经安装好 fnOS 的设备
- fnOS 可以运行 Docker 应用
- 路由器可以做端口转发
- 手机或电脑安装 WireGuard 客户端
WireGuard 客户端下载:
- iPhone / iPad:App Store 搜索 WireGuard
- Android:应用商店或官网下载 WireGuard
- Windows / macOS:WireGuard 官网下载客户端
三、安装应用
在 fnOS 里安装 WireGuard 管理工具后,打开应用。
第一次打开会进入管理页面。
首次使用时会要求设置一个管理密码。
注意:这个密码是管理页面密码,请妥善保存。
四、第一次使用向导
进入应用后,建议直接点击:
打开向导
向导会自动检查当前环境,包括:
- WireGuard 工具是否正常
- TUN 设备是否正常
- 网络权限是否正常
- IPv4 转发是否开启
- 防火墙后端是否可用
- 出口网卡是否识别成功
- 家庭局域网网段是否识别成功
如果看到大部分是“正常”,就可以继续。
五、选择使用场景
向导里会让你选择使用场景。
一般推荐:
只想访问飞牛
选择:
仅访问这台 fnOS
想访问家里其他设备
选择:
访问家庭局域网
例如你想在外面访问:
http://192.168.100.1
http://192.168.100.219
就选这个。
想让所有流量都走家里
选择:
所有流量通过家庭网络
连接成功后,可以打开 ip138,看显示的公网 IP 是否是家里的公网 IP。
六、填写基础信息
向导里一般需要填写:
设备名称
比如:
我的手机
老婆手机
公司笔记本
iPad
建议写清楚一点,后续管理方便。
WireGuard 端口
默认一般是:
51820
如果你已经改成别的端口,就填写你自己的端口。
公网地址
这里填写你家里的公网 IP 或 DDNS 域名。
例如:
xxx.example.com
或者:
123.123.123.123
注意:这里不要填内网 IP,比如 192.168.x.x,否则你在外面连不上。
VPN 地址池
默认一般使用:
10.66.66.0/24
普通用户保持默认即可。
七、路由器端口转发
这是最容易漏的一步。
你需要进入家里路由器后台,添加端口转发。
假设你的飞牛内网 IP 是:
192.168.100.219
WireGuard 端口是:
51820
那路由器里大概这样设置:
外部端口:51820
内部 IP:192.168.100.219
内部端口:51820
协议:UDP
重点:协议一定要选 UDP,不是 TCP。
如果你用的是 51821 或其他端口,也要对应改成自己的端口。
八、创建服务端和设备
填写完成后,点击:
创建服务端和设备
程序会自动完成这些事情:
- 创建 WireGuard 服务端配置
- 创建第一个客户端节点
- 自动生成客户端私钥、公钥、预共享密钥
- 自动分配客户端地址
- 自动配置 AllowedIPs
- 自动应用 WireGuard 运行时
- 自动配置 IPv4 转发、防火墙、NAT
- 自动生成二维码
如果成功,会出现二维码。
手机打开 WireGuard App,扫码导入即可。
九、手机端连接测试
手机扫码导入后,先关闭 Wi-Fi,使用 4G/5G 测试。
打开 WireGuard 开关。
然后测试下面几个地址。
测试 WireGuard 服务端地址
http://10.66.66.1
能打开或有响应,说明 VPN 隧道基本通了。
测试飞牛内网地址
例如:
http://192.168.100.219
能打开,说明已经可以访问 fnOS。
测试路由器后台
例如:
http://192.168.100.1
如果能打开,说明家庭局域网访问也正常。
测试全局模式
如果你选择的是“所有流量通过家庭网络”,可以打开:
ip138.com
如果显示的是家里的公网 IP,说明全局模式正常。
十、三种模式对应的效果
仅访问这台 fnOS
客户端路由类似:
10.66.66.1/32
192.168.100.219/32
意思是:只访问 WireGuard 服务端和飞牛本机。
访问家庭局域网
客户端路由类似:
10.66.66.1/32
192.168.100.0/24
意思是:可以访问整个家庭局域网。
所有流量通过家庭网络
客户端路由类似:
0.0.0.0/0
意思是:客户端所有流量都走家里网络出口。
十一、添加更多设备
如果以后想给家人手机、平板、电脑添加配置:
进入:
节点管理
填写设备名称,选择访问模式,然后创建节点。
创建后可以:
- 下载客户端配置
- 复制配置
- 显示二维码
- 查看连接诊断
- 禁用 / 启用节点
- 删除节点
建议每个设备单独创建一个节点,不要多个设备共用同一个配置。
十二、配置导入和导出说明
这个工具里有两种导出,需要区分一下。
1. 客户端导出
这是给手机、电脑 WireGuard App 用的。
里面包含客户端私钥,扫码后可以直接连接。
2. 服务端配置导出
这是服务端 wg 配置,主要用于迁移、备份、排查。
注意:服务端配置里的 Peer 不一定包含客户端私钥,所以重新导入服务端配置后,有些节点会显示为:
仅服务端 Peer,无法导出客户端配置
这是正常的。
如果你想完整备份和恢复,建议使用 JSON 完整备份。
十三、备份和恢复
强烈建议配置完成后,马上做一次备份。
进入:
工具与安全
找到:
配置备份与恢复
点击:
导出 JSON 备份
备份文件里包含服务端私钥、客户端私钥和预共享密钥,请一定妥善保存,不要公开分享。
如果以后重装应用,可以选择备份文件恢复。
恢复后程序会自动重新应用配置和防火墙规则。
十四、常见问题
1. 手机显示已连接,但打不开家里的 IP
先检查路由器端口转发是否正确。
重点看:
协议是不是 UDP
端口是不是 WireGuard 端口
内网 IP 是不是飞牛的 IP
2. 可以访问飞牛,但不能访问路由器后台
这可能不是 WireGuard 问题。
有些路由器后台限制只允许本地 Wi-Fi / 有线设备访问,不允许 VPN 或 NAT 来源访问。
可以试试:
http://192.168.100.1
https://192.168.100.1
http://192.168.100.1:8080
https://192.168.100.1:8443
如果其他内网设备能访问,只有路由器后台不能访问,大概率是路由器限制。
3. 访问家庭局域网失败
进入工具里的:
工具与安全
运行环境检查
重新检测
如果有防火墙、IPv4 转发、NAT 异常,可以尝试自动修复。
4. 扫码后不能访问,AllowedIPs 看起来不对
确认你选择的模式:
- 只访问 fnOS:只会包含飞牛本机地址
- 访问家庭局域网:应该包含家庭网段,例如
192.168.100.0/24
- 全局模式:应该是
0.0.0.0/0
如果修改过访问模式,建议重新导出配置,手机端删除旧隧道后重新扫码。
5. 管理页面能不能暴露到公网?
不建议。
管理页面建议只在局域网或 VPN 内访问。
也就是说:先连 WireGuard,再打开管理页面。
不要直接把管理页面端**露到公网。
十五、卸载或重置
如果只是想重新配置,可以在页面里使用:
重置并重新开始
它会清理当前应用内的接口配置、Peer、网络规则和运行时配置,但会保留管理密码和登录状态。
如果要彻底卸载,建议先导出 JSON 备份。
十六、推荐测试流程
配置完成后,可以按这个顺序测试:
1. 手机关闭 Wi-Fi,使用 4G/5G
2. 打开 WireGuard
3. 访问飞牛内网 IP
4. 访问路由器后台
5. 访问家里其他设备
6. 如果是全局模式,打开 ip138 看公网 IP
7. 重启容器后再次测试
8. 导出 JSON 备份并妥善保存
十七、最后说明
这个工具的目标是让普通 fnOS 用户更容易使用 WireGuard。
不用手写配置,不用自己处理防火墙和 NAT,也不用自己研究 AllowedIPs。
如果你只是想在外面安全访问家里的飞牛 NAS,按照向导一步步来就可以。
如果遇到问题,可以先看工具里的“运行环境检查”和“连接诊断”,里面会尽量告诉你问题出在哪一步。
如有使用中有任何问题,欢迎加群反馈:
群号:996013652
