本帖最後由 张无忌 於 2026-6-9 00:37 編輯

香港家用 GL.iNet WireGuard 可能需要改 port

一般香港人家里用 GL.iNet WireGuard standard port=51820/UDP,在香港用手机测试都没有问题,在大陆一般都没有问题,而有问题的通常都是机房的 VPS,可能用它的是大陆人,所以 GFW 对它特别检查,例如 WireGuard 用 standard port=51820/UDP 就可能会被封掉。如果家用的 WireGuard server 被多用户 access 都会 block port,只有改 port。如果 IP 被 block,就要用 Tailscale exit node。

下面是 GL.iNet GL-MT6000 进行更改:

1. GL.iNet WireGuard, vi /etc/firewall.user
  1. iptables -t nat -A PREROUTING -p udp --dport 2000:2999 -j REDIRECT --to-ports 51820
  2. iptables -t nat -A OUTPUT -p udp -d 127.0.0.1 --dport 2000:2999 -j REDIRECT --to-ports 51820
複製代碼
..

2. Restart firewall
  1. /etc/init.d/firewall restart
複製代碼
..

测试:
1. 假如 port=51820/UDP;
2. 从 2000~2999 中,选一个,例如 port=2345;
3. 用手机 WireGuard,把 port=51820 改成 port=2345,再测试,如果再失败,再选另外一个测试。


目录 GL.iNet with OpenWrt* on GL-MT6000 et al.

TOP

本帖最後由 张无忌 於 2026-6-30 12:07 編輯

GL.iNet 又进入 4.9.x 年代

AmniziaWG 最近发现 GLiNet 已经进入 4.9.0  年代了!!!

有些在 VPS Linux 才有,如 "中转",可能 GL.iNet 是从 OpenWrt,而 OpenWrt 从 Linux(Linux 是从 Unix 而来)。TP-Link 或 ASUS 都没有的功能 GL.iNet 都有,在 GL-MT5000 4.8.x 都有部分,在 GL-MT6000 op24 4.9.x 有,在 stable 版有 GL-BE9300 4.9.0。

新增 ACL 功能,基于协议、源 IP 地址、目标 IP 地址和端口号等规则控制网络流量。
支持将路由器设为 Tailscale 出口节点,并新增 IP 伪装功能。(Tailscale 出口节点 = Tailscale exit node)
WireGuard + Obfuscation(AmniziaWG) [1]

下面是 GL 发出来的 change log:

V4.9.0
警告
由于 V4.9.0 版本对家长控制功能进行了全面重构,本次升级将无法保留该功能原有配置。升级完成后,您需要重新进行相关设置。必要时请先备份您的配置。

新增功能
新增对深度数据包检测 (DPI) 功能的支持,提供数据统计、内容过滤和智能QoS (服务质量) 。
新增 SQM 功能,智能优化网络队列,降低延迟与抖动。
支持为 IoT 设备创建专属网络。
新增 Cellular Profile 管理与在线更新 APN 数据库功能。
新增 ACL 功能,基于协议、源 IP 地址、目标 IP 地址和端口号等规则控制网络流量。
支持将路由器设为 Tailscale 出口节点,并新增 IP 伪装功能。
固件在线升级页面新增关闭自动检测与取消固件下载选项。
Client 页面新增自动清除离线客户端功能。
地址预留支持自定义主机名 (Hostname)。

优化
重构 Wireless 界面,通过简化布局、统一视觉层级,使其更简洁直观。
优化 Cellular 界面,整合蜂窝功能,提高用户使用体验。
优化加密 DNS 功能,支持 DoH、DoT、DoQ 加密方式和更多 DNS 服务商选择,并新增手动配置加密 DNS 服务器的能力。
优化家长控制功能,简化配置流程,支持基础的设备管理、上网时间管控、上网内容过滤功能。
升级 Tailscale 到 1.92.5。
优化端口转发功能,自动对外部、内部端口范围进行一对一映射。
启用 IPv6 时,自动开启 Multi-WAN 对 IPv6 的联网状态跟踪。


在海外的 GL-MT6000 4.9.0

Release Notes
V4.9.0
Cautions
Due to a comprehensive redesign of the Parental Control feature in V4.9.0, existing configurations for this feature will not be preserved during the upgrade. You will need to reconfigure your settings after the update. Please back up your settings first.
With the introduction of multi-select configuration and intra-tunnel failover for VPN tunnels in V4.9.0, the inter-tunnel failover feature has been removed. When upgrading with configuration retention, the Kill Switch will be enabled by default in all tunnels. Please back up your settings first.

Overview
This version introduces several new features and enhancements that improve the interface interaction for the overall user experience.

New Features
Added support for DPI (Deep Packet Inspection), providing data statistics, content filtering, and intelligent QoS (Quality of Service).
Added SQM (Smart Queue Management) to intelligently optimize network queues, reduce latency and jitter.
Added multi-node selection for VPN tunnels, with automatic failover in case of node failure.
Added support for PureVPN and Windscribe services under the WireGuard protocol.
Added an option to enable or disable specific profile configurations in WireGuard Server.
Added support for creating dedicated networks for IoT devices.
Added Cellular Profile management and online APN database updates.
Added ACL (Access Control List) functionality to control network traffic based on rules such as protocol, source IP address, destination IP address, and port number.
Added support for running the router as a Tailscale exit node and an IP masquerade option.
Added an option to disable automatic detection and cancel in-progress firmware download.
Added an automatic cleanup function for offline clients on the Client page.
Added support for the AmneziaWG 2.0 obfuscation protocol.
Address Reservation now supports setting a custom Hostname.

Optimization
Redesigned the VPN functionality, optimizing core interaction flows and visual design for a more intuitive interface and smoother operation.
Redesigned the Wireless interface by simplifying the layout and unifying the visual hierarchy, making it cleaner and more intuitive.
Optimized the Cellular interface by integrating cellular features, improving the user experience.
Optimized encrypted DNS functionality, supporting DoH, DoT, and DoQ encryption methods, along with more DNS provider options, and added the ability to manually configure encrypted DNS servers.
Improved the Parental Control feature by streamlining the setup process, supporting basic device management, internet time control, and content filtering.
Upgraded Tailscale to version 1.92.5.
Upgraded AdGuard Home to version 0.107.73.
VPN Client now supports batch selection and deletion of configurations.
Improved the Port Forwarding feature to automatically perform one-to-one mapping for external and internal port ranges.
When IPv6 is enabled, IPv6 connection status tracking in Multi-WAN is activated automatically.
Update the dnsmasq component to version 2.92, incorporating upstream CVE fixes.
Merge the AdGuardHome CVE-2026-47703 fix patch.



Reference:
[1]  How to set up VPN Obfuscation on GL.iNet routers

目录 GL.iNet with OpenWrt* on GL-MT6000 et al.

TOP

本帖最後由 张无忌 於 2026-6-30 07:29 編輯

GL.iNet WireGuard Obfuscation

本身大陆 GL.iNet 本身没有 WireGuard,其他大陆品牌都有 WireGuard 的;在大陆以外 GL 卖的就有 WireGuard,大陆买回来的 GL routers 都要改成美国版的 GL.iNet,在大陆卖的 firmware 与 美国卖的 firmware 一样,所以把 CN 去掉,变为 US,(US 不显示的)。

美国版 GL.iNet routers 4.9.0 version 里的 WireGuard 包含 Obfuscation(就是 AmneziaWG)[1, 2]。

Table 1: GL.iNet WireGuard Obfuscation 4.9.0, Y=4.9.0
ModelStable BETA SNAPSHOT OP24
GL-BE9300 Flint 3YNo 4.9.1No
GL-MT6000 Flint 2Y No Y Y
GL-AXT1800 Slate AX 4.8.4 Y No
GL-MT3000 Beryl AX Y 4.8.3 Y
GL-MT5000 Brume 3 Y No No
GL-MT2500/GL-MT2500A Brume 2 YNo No
GL-BE3600 Slate 7Y Y Y No
GL-MT3600BE Beryl 7 Y No No
GL-X3000 Spitz AX Y 4.8.4 No
GL-XE3000 Puli AX Y 4.8.4 No



References:
[1] AmneziaWG Obfuscation
[2] How to set up VPN Obfuscation on GL.iNet routers

目录 GL.iNet with OpenWrt* on GL-MT6000 et al.

TOP

GL.iNet GL-MT6000 4.9.0 port forwarding to external site

可能自己没有测试清楚,其实 4.9.0 之前就有这个功能,即 4.8.4,一般如果全用 OpenWrt / Linux VPS 就有这个功能 —— 中转,但是我自己最近(五月十五日 Gemini)才知道,external (src=IP1:Port1,dst=IP2:Port2) --> WAN --> router (Port2 --> IP3:Port3) --> WAN (src=routerIP:routerPort, dst=IP3:Port3)。

图1:GL.iNet port forwarding to external site 中转(建设)


图2:GL.iNet port forwarding to external site 中转(成果)


图1 是我们一般 set port forwarding to INTERNAL port,但是它允许 to EXTERNAL port。图2 就形象化就简单多,input=WAN 5000,output=WAN 47.245.58.244:9004。

Remarks:
1、在图1 中 "Internal" 好像不对,在英语好像有另外一个词;应该用 EXTERNAL=source (src) and INTERNAL=destination (dst) 比较适合。
2、在香港听说朋友可以连大陆网好,你可以 WireGuard 到他的 router,就可以跟他一般上大陆网好!!!这里香港全靠 HKIX,就是 PCCW、HKBN、HGC、CMHK 都可以全速连通。


目录 GL.iNet with OpenWrt* on GL-MT6000 et al.
附件: 您需要登錄才可以下載或查看附件。沒有帳號?註冊

TOP

本帖最後由 张无忌 於 2026-6-26 01:12 編輯

GL.iNet WireGuard Obfuscation 4.9.0 Problem

在朋友里有 GL.iNet GL-MT6000 4.9.0 (简称 MT6000)测试 GL.iNet WireGuard Obfuscation (AmneziaWG 2.0),如下:

大陆直航连香港——data 有流动,但是 YouTube 没有,fast.com 是 0 Kbps。
大陆中转连香港——data 有少少,约 40 Kbps,YouTube 看到一点点,但是非常非常不流畅。
大陆中转、香港中转、到香港朋友——fast.com 200 Mbps, YouTube 非常流畅!!!

估计大陆的 MT6000 4.9.0 要经过 GFW 是就不能行,香港连香港的就没有问题,估计 GL 需要作修改一下 4.9.1 再看看。

AmneziaWG 2.0 的 Russian 作品在大陆连日本 VPS、美国 VPS 就非常好!!!

TOP