tavimori

Wireguard 在系统路由表建立路由其实有两个阶段。

第一个阶段是在系统加载虚拟网卡并设置网卡地址时。这时会读取 [Interface] 下的 Address ，设立相应的 IP 地址，如果是/24 的话，系统会自动对/24 增加一个路由，使得相关流量从该虚拟网卡走。

第二个阶段是使用类似 wg-quick 等工具时，这些工具会在基本操作之外读取你 [Peer] 下各个 peer 的 AllowedIPs 字段，并且将对应的段加到路由表，使得相关流量从该虚拟网卡走。


所以如果你是用 wg-quick （通常也包括 iPhone 客户端这类功能完整的 wireguard 前端），只要相应的 peer 下面的 AllowedIPs 包含需要的段的话，[Interface] 下面的地址设置成 /32 应该也是没有关系的。

与此相对的，在一些路由器上配置的 wireguard 并不会自动加载 AllowedIPs 路由（例如 RouterOS 就是这样），这种时候就需要通过设置虚拟网卡的 IP 地址和正确的前缀，或者手动增加路由条目来确保相应地址会走虚拟网卡。

这种不是去向丢包，是 icmp 反馈没有很积极，或者 icmp 包回程被丢了一部分。你的第七跳丢包率低就意味着你发过去的包在之前的几跳都是正常没有丢，只是前面几跳的路由器懒得搭理你给你反馈。
这是使用 mtr 或 traceroute 检查路由时的常见现象。

@journalist 要使设备 A 使用 B 的地址作为源地址向服务器建立连接，那么目标 C 返回的包的目的地址就是 B 的地址。

如果设备 A 使用 socks5 ，tproxy 等代理技术，那么设备 A 必须能够拦截到目标 C 返回的发给 B 的包，并重新以代理响应的方式返回给 B ，这就要求目标 C 发给 B 的包在网络中一定得经过设备 A 。此外在 A 上实现这个功能也比较怪异，例如 socket 要绑定非本机 IP ，并且可能要注入一个特定的 ebpf 程序来劫持目标 C 返回的特定包。

也有一些特殊的做法可以满足你的要求，例如一个叫做 dae 的代理软件使用 ebpf 来过滤直连的流量，只要确保不启用 SNAT ，就可以实现你需要的功能。这类代理软件在处理直连的流量时行为完全与路由器是一致的。https://github.com/daeuniverse/dae/blob/main/docs/zh/how-it-works.md

云服务器是一种特殊的商品，他的特点是当机房有余量时，不管是否销售出去成本都是固定的。幻兽帕鲁游戏服务器几乎没有什么带宽开销，机房的算力又普遍冗余，所以云厂商提供短期的特别套餐，本质上是区分市场，赚取额外收益。

@jsq2627 上行流量会在用户接入侧就因爲带宽限制而丢包，不会给骨干网造成压力。但是这种丢包可能会严重影响使用，用户没有明确感知可能还是要归功于日常上传需求就比较小。

@Fucter @ambition117 @MossFox

其实咱也只是想用于一些低带宽、低延时的场景的。专线一般都是这种应用场景。

@lcy630409 @huluhulu @huaseky

不是觉得他们技术不行，主要是考虑到不少游戏是基于 P2P 联机，所以并不能建立一个白名单把所有潜在游戏玩家的 IP 都包括进来吧？只要用类似的方式进行 P2P 连接，应该很难区分是否是游戏流量吧？

Wireguard 套传输层代理的确不是建议的做法。在这一问题上现在市面上没有广泛知晓的好的解决方案。

我不太了解 gost 对 UDP 转发的处理，但是任何在 UDP 转发层面做的数据缓冲、多个包合并、套到 TCP 上之类的做法，都会导致利用该 UDP 建立的 wireguard 虚拟网里的传输层协议速率控制算法无法正常工作，在很多情况下会大幅劣化网络质量。

总的来讲，个人理解上 Wireguard 下面不要套东西才能比较良好的工作，起码是不能套 TCP 的东西。

是不是客户端上的 Wireguard 在改路由表时只会自动排除 Wireguard 服务器 B ？

这个取决于你在客户端上对“Wireguard 服务器 B”这一 peer 的 AllowedIP 字段的设置和是否有其他路由规则。

如果是 IPv4 的话，一个简单的 debug 方式是将服务器这一 peer 的 AllowedIP 字段设置成只有他虚拟网的 IP 地址，并以/32 结尾，这样的话在一般的配置情况下，不会带起全局的路由（如果设置成 0.0.0.0/0 ，就会带起全局路由），只会带起到服务虚拟网单一 IP 地址的路由。

在这样建立连接后可以看下 ping 服务测的虚拟网 IP 通不通。