在mac上搭建wireguard服务，客户端连接后无法访问内网

在 Mac mini 上实现 WireGuard 流量通过 Clash Verge 代理，需结合网络转发规则与 Clash 配置，以下是具体方案（基于 macOS Ventura 系统），回答来自 Apple 支持社区 蓝湛。

一、Clash Verge 基础配置

1. 开启局域网代理权限

• • 打开 Clash Verge，进入「设置」>「系统代理」，勾选「允许来自局域网的连接」，并记录代理端口（默认 TCP/UDP 为 7890/7891）。

1. 配置全局代理模式

• • 在 Clash Verge 主界面切换到「全局」模式（确保所有流量经代理），若需分流可在规则中添加 WireGuard 客户端 IP 的专属代理规则。

二、PF 规则重定向 WireGuard 流量到 Clash

1. 定位 WireGuard 接口与 IP 段

• 查看 WireGuard 服务端接口名称及 IP：

• 确定 WireGuard 客户端 IP 段（如服务端配置为10.10.10.0/24）。

2. 修改 pf.conf 添加重定向规则

• 编辑 pf.conf（先备份原文件）：

在文件末尾添加以下规则（假设 Clash 端口为 7890，WireGuard 接口为 wg0，客户端网段 10.10.10.0/24）：

• 
  
• 说明：
  • en1为 Mac mini 连接外网的接口（可通过ifconfig确认，Wi-Fi 通常为en0，有线为en1）；
  • TCP 80/443 重定向确保 HTTP/HTTPS 流量走代理，UDP 53 重定向确保 DNS 通过 Clash（需 Clash 开启 UDP 代理）。

3. 应用 PF 规则并启用转发

• 执行以下命令：

三、WireGuard 服务端配置优化

1. 设置 DNS 指向 Clash

• 编辑 WireGuard 服务端配置文件（如/usr/local/etc/wireguard/wg0.conf），添加：

• 重启 WireGuard 服务：

1. 客户端配置确认

• 确保 WireGuard 客户端开启「允许所有流量通过隧道」（如 Windows 版勾选「Use this connection as the default gateway」），并设置 DNS 为服务端 IP（10.10.10.1）。

四、测试与排错

1. 验证流量走向

• 在 Clash Verge 的「日志」页面查看是否有 WireGuard 客户端 IP 的流量记录；
• 客户端访问https://ip.gs，若显示 Clash 代理的 IP 则配置成功。

1. 常见问题解决

① 流量未走代理

• 检查 PF 规则中的 IP 段和接口是否正确，可通过pfctl -vs nat和pfctl -vs redir查看规则生效情况；
• 确认 Clash「允许来自局域网的连接」已开启，且 Mac 防火墙未阻止 Clash 端口（系统偏好设置 > 安全性与隐私 > 防火墙）。

② DNS 解析失败

• 确保 Clash 已开启 UDP 代理（设置 > 系统代理 > 启用 UDP 转发）；
• 客户端手动设置 DNS 为 Clash 的 DNS 端口（如 10.10.10.1:53）。

五、进阶方案：Clash TUN 模式（推荐）

若需简化配置，可在 Clash Verge 中启用 TUN 模式合并流量：

1. 在 Clash Verge「设置」>「TUN」中开启「启用 TUN 模式」，设置虚拟网卡 IP 段（如 10.7.0.0/24）；
2. 修改 WireGuard 服务端配置，将客户端默认路由指向 Clash 的 TUN 接口（如PostUp = route add -net 0.0.0.0/0 gw 10.7.0.1）；
3. 此方案下 WireGuard 流量直接通过 Clash 的 TUN 接口转发，无需 PF 重定向。

回答来自 Apple 支持社区 蓝湛，配置时建议逐步测试规则，避免因网络配置错误导致连接中断。

如果我對你的需求理解的沒錯的話, 你可能需要使用route手動指定路由表.

最好是有拓撲圖來詳細描述你的需求.

wireguard有內網訪問權限嗎?