Configurer un client VPN WireGuard sur un routeur OpenWRT
Instructions pas à pas pour protéger l'intégralité de votre réseau domestique à l'aide d'un tunnel VPN.
WireGuard est un protocole VPN moderne reconnu pour ses hautes performances, sa configuration simplifiée et son chiffrement robuste. Configurer WireGuard directement sur votre routeur OpenWRT vous permet de protéger l'intégralité du trafic de votre réseau domestique via un VPN, sans avoir à configurer chaque appareil individuellement. Dans ce guide, nous vous expliquons étape par étape comment connecter votre routeur à un serveur VPN.
Connexion au routeur et installation des paquets requis
Connectez-vous à votre routeur via SSH :
ssh root@192.168.1.1
Note
Remplacez l'adresse IP par celle de votre routeur
Mettez à jour la liste des paquets et installez WireGuard :
opkg update
opkg install wireguard-tools
Récupération du fichier de configuration
Téléchargez le fichier de configuration WireGuard depuis votre espace client.
Le fichier portera un nom de type fnx-wg-79224.conf et contiendra les paramètres suivants :
Configuration de l'interface réseau
Ouvrez le fichier de configuration réseau :
vi /etc/config/network
Ajoutez les lignes suivantes à la fin du fichier, en remplaçant les valeurs entre accolades par les données de votre fichier de configuration :
config interface 'wg0'
option proto 'wireguard'
option private_key '{PrivateKey}'
list addresses '{Address}'
list dns '{DNS_1}'
list dns '{DNS_2}'
config wireguard_wg0
option public_key '{PublicKey}'
option endpoint_host '{Endpoint_host}'
option endpoint_port '{Endpoint_port}'
list allowed_ips '{AllowedIPs}'
option preshared_key '{PresharedKey}'
option persistent_keepalive '{PersistentKeepalive}'
Enregistrez vos modifications et fermez le fichier.
Note
Dans vi, appuyez sur Esc, puis tapez :wq et appuyez sur Enter.
Configuration des règles de pare-feu
Ouvrez le fichier de configuration du pare-feu :
vi /etc/config/firewall
Ajoutez les règles suivantes à la fin du fichier :
config zone
option name 'wg'
option masq '1'
option output 'ACCEPT'
option forward 'REJECT'
option input 'REJECT'
option mtu_fix '1'
option network 'wg0'
config forwarding
option src 'lan'
option dest 'wg'
Ces règles créent une zone de sécurité dédiée à WireGuard et autorisent le transfert du trafic depuis votre réseau local (LAN) vers le tunnel VPN.
Enregistrez et fermez le fichier.
Redémarrage des services réseau
Appliquez les modifications en redémarrant le réseau et le pare-feu :
/etc/init.d/network restart
/etc/init.d/firewall restart
Attendez 10 à 15 secondes que les services redémarrent complètement.
Configuration du routage
Ajoutez des règles de routage pour rediriger tout le trafic internet via WireGuard :
ip route add 0.0.0.0/1 dev wg0
ip route add 128.0.0.0/1 dev wg0
Ces deux commandes couvrent ensemble l'intégralité de l'espace d'adressage IPv4 et redirigent tout le trafic via l'interface wg0. L'utilisation de deux routes /1 plutôt qu'une seule route /0 préserve la route par défaut d'origine, ce qui améliore la stabilité de la connexion.
Note
Ces règles ne sont pas conservées après un redémarrage du routeur. Pour appliquer automatiquement les routes après le redémarrage, ajoutez ces commandes dans /etc/rc.local avant la ligne exit 0.
Vérification de la connexion
Depuis n'importe quel appareil connecté à votre routeur, ouvrez un site de vérification d'adresse IP dans votre navigateur :
https://2ip.io
ou exécutez cette commande depuis le routeur :
curl who.fornex.host/ip
L'adresse IP affichée doit correspondre à celle de votre serveur VPN, et non à votre adresse IP réelle attribuée par votre fournisseur d'accès.
Configuration terminée ! Tout le trafic des appareils connectés à votre routeur transite désormais par le tunnel VPN WireGuard chiffré.
Aide
Une question ou besoin d'un coup de main ? Écrivez-nous via le système de tickets — nous sommes toujours là pour vous aider !