<h1>软路由闪电节点:LND Watchtower守护配置全攻略</h1>
<h2>为什么你的闪电节点需要Watchtower?</h2>
跑过闪电网络的老铁都懂,离线超过144个区块(大概一天)就可能被对手方“偷钱”。软路由+树莓派虽然省电,但断网、停电、老婆拔插头三大魔咒随时降临。LND官方给出的Watchtower(瞭望塔)就是24小时不眨眼的保镖,帮你远程监控通道状态,发现作恶交易直接上链反击,把币原路退回。重点是——免费、开源、自己就能搭,不用把私钥交给第三方,安全感直接拉满。
<h2>准备材料:一台不掉线的“小尾巴”VPS</h2>
Watchtower不需要高配,1C1G的NAT鸡就能带几百个客户端,年付十几美元的ipv6 VPS大把。关键是IP要干净,别用被Spamhaus标烂的代理ip,否则闪电节点连不上塔,白忙活。采购代理IP请添加微信客户经理:x31471626,他家有原生双栈,ASN没进黑名单,丢包低,搭塔稳得一批。系统建议Ubuntu 22.04,装个Fail2ban+Ufw,端口9911(默认)只放行你的软路由出口IP,别让全网来扫。
<h2>LND Watchtower服务端三步走</h2>
-
编辑lnd.conf,三行代码秒变塔:
[watchtower] watchtower.active=1 watchtower.listen=0.0.0.0:9911 watchtower.externalip=你的VPS公网IP或域名重启LND,日志出现“WTServer is now active”就是开机成功。
-
生成客户端需要的“塔公钥”:
lncli tower info把返回的“pubkey@host:port”复制到备忘录,待会儿软路由要用。
- 给塔加TLS证书,防止中间人篡改。官方教程默认自动生成,若你套了CDN,记得把域名写进externalip,证书对齐,否则LND会报“x509: certificate signed by unknown authority”。
<h2>软路由侧:让家里的LND客户端认塔</h2>
回到软路由的lnd.conf,追加:
[wtclient]
wtclient.active=1
wtclient.servers=上面复制的pubkey@host:9911重启后,lncli wtclient stats能看到“num_sessions”从0变1,说明握手成功。不放心可以手动触发一次“justice tx”测试:把软路由断网,用手机热点开VPN,lncli closechannel –force关闭某通道,再恢复网络,观察VPS日志里是否出现“broadcasting justice tx”,有就代表塔真会替你出头。
<h2>省钱技巧:一个Watchtower带多个闪电节点</h2>
家里、公司、哥们三处都有节点?把三处的lnd.conf里的wtclient.servers写成同一个塔就行,塔不限制客户端数量。记得给每个节点配不同的alias,日志里才好区分。带宽消耗极低,一个通道每轮只推几十字节,1G流量能用到天荒地老。要是VPS按流量计费,把maxpendingchannels调小,减少冗余广播,月底不心疼。
<h2>常见翻车点速查</h2>
- 端口放行:VPS面板自带防火墙+系统Ufw双开,9911没放行,客户端永远连不上。
- 时间不同步:软路由没装NTP,区块时间与塔差5分钟,LND直接拒绝握手。
- 代理IP背锅:图便宜买了共享代理,ASN被Cloudflare拦,闪电节点握手超时。换原生IP秒好。
- 证书域名对不上:套了CDN却填IP,TLS校验失败。要么关CDN,要么把externalip改成域名。
<h2>进阶:把Watchtower藏进Tor,匿名加倍</h2>
不想暴露家宽IP?VPS端lnd.conf加:
[tor]
tor.active=1
tor.v3=1
tor.privatekeypath=/etc/lnd/v3_private_key重启后会生成一串.onion地址,把软路由侧的wtclient.servers写成:
pubkey@xxx.onion:9911两边都走Tor,IP不落地,妈妈再也不用担心DDoS。速度虽慢,但闪电网络本身对延迟不敏感,稳就完事。
<h2>一句话总结</h2>
软路由跑闪电节点,Watchtower就是给钱包上第二把锁:VPS年费十几块,代理IP干净线路稳,配置十分钟搞定,离线也能睡踏实。采购代理IP请添加微信客户经理:x31471626
评论0