摘要

本文介绍如何在 Debian 12.9 的 VPS(DMIT LAX.EB.INTRO 1C/1G/10GB/500GB@1Gbps)上,利用 Xray 1.6.5+ 的 WireGuard 出站特性,将回国流量导入 Cloudflare Warp,实现对回国流量的安全“黑洞”替代方案,同时兼顾流媒体解锁与稳定体验。

一、为什么要使用 WireGuard 出站

  1. 回国流量安全隐患
    直接让回国流量走代理容易被运营商或中间节点劫持、监听。传统做法是将国内流量丢入“黑洞”,但需要频繁更新 geosite.dat/geoip.dat,新手易误伤正常站点,导致访问受阻。

  2. Warp 的优势

    • Cloudflare Warp 免费、稳定,自动选择就近出口节点
    • IP“干净”且与 Google Cloudflare 互联,访问 Reddit、Disney+、Netflix 等常见被屏蔽流媒体体验更佳
    • 无需额外购买专门解锁 IP 的 VPS,成本更低

二、Warp 账号与配置文件生成

1. 下载并安装 wgcf

# 下载 wgcf 并放到 /usr/local/bin
curl -Lo /usr/local/bin/wgcf \
  https://github.com/ViRb3/wgcf/releases/download/v2.2.26/wgcf_2.2.26_linux_amd64
chmod +x /usr/local/bin/wgcf

2. 注册与生成配置

# 注册 Warp 账号
wgcf register

# 生成 WireGuard 配置
wgcf generate

执行后会得到两个文件:

  • wgcf-account.toml

  • wgcf-profile.conf

示例 wgcf-profile.conf

[Interface]
PrivateKey = <你的私钥>
Address = 172.16.0.2/32
Address = 2606:4700:110:8949:fed8:2642:a640:c8e1/128
DNS = 1.1.1.1
MTU = 1280

[Peer]
PublicKey = <Warp 公钥>
AllowedIPs = 0.0.0.0/0
AllowedIPs = ::/0
Endpoint = engage.cloudflareclient.com:2408

三、在 Xray 服务端添加 WireGuard 出站

在 Xray 配置 JSON 中,新增一个出站节点:

{
  "protocol": "wireguard",
  "settings": {
    "secretKey": "<你的私钥>",
    "address": [
      "172.16.0.2/32",
      "2606:4700:110:8949:fed8:2642:a640:c8e1/128"
    ],
    "peers": [
      {
        "publicKey": "<Warp 公钥>",
        "endpoint": "engage.cloudflareclient.com:2408"
      }
    ],
    "reserved": [0, 0, 0]
  },
  "tag": "wireguard-warp"
}

四、路由规则配置

建议使用 IPIfNonMatch 策略,将特定域名/IP 的流量强制走 Warp 出站:


{
  "type": "field",
  "domain": [
    "reddit.com",
    "geosite:cn",
    "geosite:disney",
    "geosite:netflix",
    "geosite:cloudflare"
  ],
  "outboundTag": "wireguard-warp"
},

{
  "type": "field",
  "ip": [
    "geoip:cn",
    "geoip:cloudflare",
    "geoip:cloudfront",
    "geoip:netflix"
  ],
  "outboundTag": "wireguard-warp"
}

小贴士:确保 geosite.datgeoip.dat 始终为最新,可在 /etc/xray 目录下添加定时任务

0 0 * * * curl -Lo /etc/xray/geosite.dat \
    https://github.com/Loyalsoldier/v2ray-rules-dat/releases/latest/download/geosite.dat
0 0 * * * curl -Lo /etc/xray/geoip.dat \
    https://github.com/Loyalsoldier/v2ray-rules-dat/releases/latest/download/geoip.dat

五、部署与验证

  1. 重启 Xray 服务:
systemctl restart xray

  1. 客户端连接后,访问 Netflix/Disney+/Reddit 是否正常,检查出口 IP 是否为 Warp 分配的 IP。

  2. 在 Xray 日志(/var/log/xray/access.log)中,确认相应流量走向 "outboundTag":"wireguard-warp"