A 设置好 DDNS ，具体怎样看你的路由器是什么了，把自己的公网 IPv4 和 v6 都设给 ddns 的动态域名，比如我用 dynv6

B 和 C 的设置文件里，A 的 Endpoint 写动态域名和端口。

B 和 C 如果是个服务器，可以写脚本定时去 ping 节点 A 的 wg 地址，如果 Ping 不通就重新建立 wg 连接。因为 wg 仅仅在建立连接的时候查询域名，之后在内核里就只有 IP 地址了。

有现成的例子可供参考 /usr/share/doc/wireguard-tools/examples/reresolve-dns

两地各自的 LAN 不要用同一个网段（ 比如不要都是 192.168.1.x ），然后用 wireguard 连接即可，超简单的。都是境内机器，也不需要都有公网 IPv4 地址，用 IPv6 也可。两头都是 RouterOS 路由器的话更好。
随便找几篇 wireguard 的扫盲文章看看就好，没什么难的。

超简单。

A 就做中心节点，配置好 DDNS 即可。
B 和 C 都是 peer ，连接到 A 。当然这样做 BC 之间访问要经过 A ，无所谓了。

需要确认的是，B 的路由器是什么，有没有运行脚本检测 wg 链接是否接通的能力，否则 A 一旦断线换新 IP 后 B 和 C 都会断线，需要重新建立 wg 链接。

建议关闭国内各种视频网站，没有买卖就没有伤害。

这是最最基本的安全常识，几十年来无论什么发行版，我们都是主动禁止 root 通过 ssh 登录，你居然还要反其道而行？做一个 ed25519 的证书那么简单的事情，安全性提高了几万倍，为什么不去做？