Configurare il client VPN WireGuard su un router OpenWRT
Istruzioni passo dopo passo per proteggere l'intera rete domestica tramite un tunnel VPN.
WireGuard è un moderno protocollo VPN noto per le sue alte prestazioni, la configurazione semplice e la crittografia robusta. Configurare WireGuard direttamente sul tuo router OpenWRT ti consente di proteggere tutto il traffico della rete domestica tramite VPN, senza dover configurare ogni dispositivo singolarmente. In questa guida ti mostreremo passo dopo passo come connettere il tuo router a un server VPN.
Connessione al router e installazione dei pacchetti necessari
Connettiti al router tramite SSH:
ssh root@192.168.1.1
Note
Sostituisci l'indirizzo IP con quello del tuo router
Aggiorna l'elenco dei pacchetti e installa WireGuard:
opkg update
opkg install wireguard-tools
Download del file di configurazione
Scarica il file di configurazione WireGuard dalla tua area clienti.
Il file avrà un nome simile a fnx-wg-79224.conf e conterrà i seguenti parametri:
Configurazione dell'interfaccia di rete
Apri il file di configurazione della rete:
vi /etc/config/network
Aggiungi le seguenti righe alla fine del file, sostituendo i valori tra parentesi graffe con i dati del tuo file di configurazione:
config interface 'wg0'
option proto 'wireguard'
option private_key '{PrivateKey}'
list addresses '{Address}'
list dns '{DNS_1}'
list dns '{DNS_2}'
config wireguard_wg0
option public_key '{PublicKey}'
option endpoint_host '{Endpoint_host}'
option endpoint_port '{Endpoint_port}'
list allowed_ips '{AllowedIPs}'
option preshared_key '{PresharedKey}'
option persistent_keepalive '{PersistentKeepalive}'
Salva le modifiche e chiudi il file.
Note
In vi, premi Esc, poi digita :wq e premi Enter.
Configurazione delle regole del firewall
Apri il file di configurazione del firewall:
vi /etc/config/firewall
Aggiungi le seguenti regole alla fine del file:
config zone
option name 'wg'
option masq '1'
option output 'ACCEPT'
option forward 'REJECT'
option input 'REJECT'
option mtu_fix '1'
option network 'wg0'
config forwarding
option src 'lan'
option dest 'wg'
Queste regole creano una zona di sicurezza dedicata a WireGuard e consentono l'inoltro del traffico dalla rete locale (LAN) al tunnel VPN.
Salva e chiudi il file.
Riavvio dei servizi di rete
Applica le modifiche riavviando la rete e il firewall:
/etc/init.d/network restart
/etc/init.d/firewall restart
Attendi 10–15 secondi affinché i servizi si riavviino completamente.
Configurazione del routing
Aggiungi regole di routing per reindirizzare tutto il traffico internet attraverso WireGuard:
ip route add 0.0.0.0/1 dev wg0
ip route add 128.0.0.0/1 dev wg0
Questi due comandi coprono insieme l'intero spazio di indirizzamento IPv4 e reindirizzano tutto il traffico attraverso l'interfaccia wg0. L'utilizzo di due route /1 anziché una singola route /0 preserva il percorso predefinito originale, migliorando la stabilità della connessione.
Note
Queste regole non vengono mantenute dopo il riavvio del router. Per applicarle automaticamente al riavvio, aggiungi questi comandi in /etc/rc.local prima della riga exit 0.
Verifica della connessione
Da qualsiasi dispositivo connesso al tuo router, apri un sito di verifica dell'indirizzo IP nel browser:
https://2ip.io
oppure esegui questo comando dal router:
curl who.fornex.host/ip
L'indirizzo IP visualizzato deve corrispondere a quello del tuo server VPN, non all'IP reale assegnato dal tuo provider.
Configurazione completata! Tutto il traffico dei dispositivi connessi al tuo router passerà ora attraverso il tunnel VPN WireGuard cifrato.
Aiuto
Hai domande o ti serve una mano? Scrivici tramite il sistema di ticket — siamo sempre qui per aiutarti!