WireGuard-VPN-Client auf einem OpenWRT-Router einrichten
Schritt-für-Schritt-Anleitung zum Schutz Ihres gesamten Heimnetzwerks mithilfe eines VPN-Tunnels.
WireGuard ist ein modernes VPN-Protokoll, das für seine hohe Leistung, einfache Konfiguration und robuste Verschlüsselung bekannt ist. Wenn Sie WireGuard direkt auf Ihrem OpenWRT-Router einrichten, schützen Sie den gesamten Datenverkehr Ihres Heimnetzwerks über ein VPN – ohne jedes Gerät einzeln konfigurieren zu müssen. In dieser Anleitung zeigen wir Ihnen Schritt für Schritt, wie Sie Ihren Router mit einem VPN-Server verbinden.
Router verbinden und erforderliche Pakete installieren
Verbinden Sie sich per SSH mit Ihrem Router:
ssh root@192.168.1.1
Note
Ersetzen Sie die IP-Adresse durch die Adresse Ihres Routers
Aktualisieren Sie die Paketliste und installieren Sie WireGuard:
opkg update
opkg install wireguard-tools
Konfigurationsdatei herunterladen
Laden Sie die WireGuard-Konfigurationsdatei aus Ihrem Kundenbereich herunter.
Die Datei trägt einen Namen wie fnx-wg-79224.conf und enthält folgende Parameter:
Netzwerkschnittstelle konfigurieren
Öffnen Sie die Netzwerkkonfigurationsdatei:
vi /etc/config/network
Fügen Sie am Ende der Datei die folgenden Zeilen hinzu und ersetzen Sie dabei die Werte in den geschweiften Klammern durch die Daten aus Ihrer Konfigurationsdatei:
config interface 'wg0'
option proto 'wireguard'
option private_key '{PrivateKey}'
list addresses '{Address}'
list dns '{DNS_1}'
list dns '{DNS_2}'
config wireguard_wg0
option public_key '{PublicKey}'
option endpoint_host '{Endpoint_host}'
option endpoint_port '{Endpoint_port}'
list allowed_ips '{AllowedIPs}'
option preshared_key '{PresharedKey}'
option persistent_keepalive '{PersistentKeepalive}'
Speichern Sie die Änderungen und schließen Sie die Datei.
Note
Drücken Sie in vi die Taste Esc, geben Sie dann :wq ein und bestätigen Sie mit Enter.
Firewall-Regeln konfigurieren
Öffnen Sie die Firewall-Konfigurationsdatei:
vi /etc/config/firewall
Fügen Sie am Ende der Datei die folgenden Regeln hinzu:
config zone
option name 'wg'
option masq '1'
option output 'ACCEPT'
option forward 'REJECT'
option input 'REJECT'
option mtu_fix '1'
option network 'wg0'
config forwarding
option src 'lan'
option dest 'wg'
Diese Regeln erstellen eine separate Sicherheitszone für WireGuard und erlauben die Weiterleitung des Datenverkehrs aus Ihrem lokalen Netzwerk (LAN) in den VPN-Tunnel.
Speichern und schließen Sie die Datei.
Netzwerkdienste neu starten
Übernehmen Sie die Änderungen, indem Sie Netzwerk und Firewall neu starten:
/etc/init.d/network restart
/etc/init.d/firewall restart
Warten Sie 10–15 Sekunden, bis die Dienste vollständig neu gestartet sind.
Routing konfigurieren
Fügen Sie Routing-Regeln hinzu, um den gesamten Internetverkehr über WireGuard umzuleiten:
ip route add 0.0.0.0/1 dev wg0
ip route add 128.0.0.0/1 dev wg0
Diese beiden Befehle decken zusammen den gesamten IPv4-Adressraum ab und leiten den gesamten Datenverkehr über die Schnittstelle wg0 um. Die Verwendung von zwei /1-Routen anstelle einer einzelnen /0-Route erhält die ursprüngliche Standard-Route und verbessert so die Verbindungsstabilität.
Note
Diese Regeln bleiben nach einem Router-Neustart nicht erhalten. Damit die Routen nach dem Neustart automatisch angewendet werden, fügen Sie diese Befehle in /etc/rc.local vor der Zeile exit 0 ein.
Verbindung überprüfen
Öffnen Sie auf einem beliebigen mit Ihrem Router verbundenen Gerät eine IP-Prüfseite im Browser:
https://2ip.io
oder führen Sie diesen Befehl auf dem Router aus:
curl who.fornex.host/ip
Die angezeigte IP-Adresse sollte der IP-Adresse Ihres VPN-Servers entsprechen – nicht der von Ihrem Internetanbieter zugewiesenen IP.
Einrichtung abgeschlossen! Der gesamte Datenverkehr der mit Ihrem Router verbundenen Geräte wird nun durch den verschlüsselten WireGuard-VPN-Tunnel geleitet.
Hilfe
Bei Fragen oder wenn Sie Unterstützung brauchen, erreichen Sie uns jederzeit über das Ticketsystem — wir helfen Ihnen gern weiter!