嘿，针对你这种双CGNAT环境下想靠不可信VPS中转WireGuard流量、还得保证端到端加密的需求，我给你梳理下可行的方案和实操细节：

首先得明确你的核心诉求完全合理——让VPS只做纯UDP流量转发，不运行WireGuard服务、不持有任何WireGuard私钥，全程只当个“管道”，完全碰不到你两端的加密内容，这样就能保证端到端的安全性，同时解决双CGNAT的连通问题。

可行实现思路：用iptables或socat做UDP中继 #

因为VPS有公网IP，我们可以让它作为两端UDP流量的中转点，靠NAT规则或专门的UDP转发工具实现双向转发，具体分两种方式：

方式1：用iptables配置动态NAT转发

这种方式不需要额外安装工具，纯靠系统自带的iptables实现：

1. 先开启VPS的IP转发功能：
   • 临时生效（重启后失效）：echo 1 > /proc/sys/net/ipv4/ip_forward
   • 永久生效：编辑/etc/sysctl.conf，将net.ipv4.ip_forward=1的注释去掉，然后执行sysctl -p让配置生效
2. 配置防火墙规则允许UDP流量：
   假设你用的中继端口是WireGuard默认的51820，执行：

   iptables -A INPUT -p udp --dport 51820 -j ACCEPT
   iptables -A OUTPUT -p udp --sport 51820 -j ACCEPT
   

3. 配置动态DNAT/SNAT规则：
   因为家里的节点是CGNAT，需要它先主动发起连接到VPS，VPS的连接跟踪模块会记录它的临时公网IP和端口，之后就能自动转发双向流量：

   # 把发往VPS 51820的流量转发到已建立连接的家里节点
   iptables -t nat -A PREROUTING -p udp --dport 51820 -m conntrack --ctstate RELATED,ESTABLISHED -j DNAT --to-destination [家里节点临时公网IP:WireGuard端口]
   # 把家里节点的回包源地址改成VPS的公网IP，确保能回到手机
   iptables -t nat -A POSTROUTING -p udp --sport [家里节点WireGuard端口] -j SNAT --to-source [VPS公网IP]
   

   不过这里要注意：家里节点的CGNAT IP可能会动态变化，所以最好让家里的WireGuard节点开启PersistentKeepalive = 25（每25秒发一次心跳），维持NAT映射不超时。

方式2：用socat做UDP转发（更简单灵活）

socat是一个强大的网络工具，能快速搭建UDP中继，比纯iptables更易维护：

1. 先在VPS上安装socat：比如Debian/Ubuntu用apt install socat -y，CentOS用yum install socat -y
2. 运行转发命令：

   socat UDP-LISTEN:51820,fork UDP:[家里节点当前公网IP:WireGuard端口]
   

   同样，因为家里节点的IP会变，你可以写个简单的脚本，让家里节点定期把自己的公网IP上报给VPS（比如通过curl发个请求），然后自动重启socat更新目标地址。

两端WireGuard的配置调整 #

不管用哪种中继方式，家里和手机的WireGuard配置都需要做如下修改：

• 家里的WireGuard节点：
  在Peer（手机节点）的配置里，把Endpoint设为VPS公网IP:51820，同时加上PersistentKeepalive = 25
• 手机的WireGuard节点：
  在Peer（家里节点）的配置里，同样把Endpoint设为VPS公网IP:51820，加上PersistentKeepalive = 25

这样两端都会主动向VPS的中继端口发起连接，VPS收到流量后就会互相转发，而WireGuard本身的加密机制会保证所有流量都是端到端加密的，VPS只能转发加密后的字节流，完全无法解密内容，符合你“不信任VPS”的要求。

额外注意事项 #

• 确保家里的路由器已经做了端口转发：把内网WireGuard主机的UDP端口（比如51820）转发到公网侧，否则VPS转发过来的流量会被路由器挡住
• 如果你的CGNAT是对称型的（不同目标IP会分配不同的临时端口），可能需要更频繁的心跳包（比如把PersistentKeepalive设为15），或者用专门的NAT打洞工具辅助
• 记得开放VPS防火墙的对应UDP端口（比如51820），不管是ufw、firewalld还是云服务商的安全组，都要允许该端口的UDP流量

你提到的MikroTik方案本质也是类似的NAT转发逻辑，只是把规则配置在MikroTik设备上，和我们在VPS上用iptables/socat的思路是一致的。

备注：内容来源于stack exchange，提问作者grassnoob