Inhaltsübersicht
Konfiguration via CLI (Kommandozeile)
Für die Konfiguration via Kommandozeile setzen wir folgende Dinge voraus:
- Sie haben sich per ssh mit dem Router verbunden
- Die Pakete kmod-wireguard und wireguard-tools sind installiert (überprüfbar mit dem Befehl opkg list-installed | grep wireguard )
- Sie nutzen eine aktuelle Version von OpenWrt (z.B. aktuellstes Stable Release 24.10.2 (Stand August 2025) oder vom vorigen Branch 23.05.5 (Stand Januar 2025) bzw. 23.05.6 (für August/September 2025 angekündigt)
- Sie haben Wireguard-Keys erhalten/generiert
- Der Wireguard-Server ist konfiguriert und online
Konfiguration des Netzwerks
Geben Sie folgende Befehle nacheinander ein oder kopieren Sie diese in ein Skript, das Sie auf dem Router ausführen.
Ales erstes die Konfiguration des Client-Interface in /etc/config/network
- uci set network.wg=interface
- uci set network.@interface[-1].proto=wireguard
- uci set network.@interface[-1].private_key=“Ihr generierter private key für das Interface“
- uci set network.@interface[-1].mtu=1420 (dieser Befehl ist optional, Sie können den Wert anpassen, falls es Konnektivitätsprobleme gibt)
- uci add_list network.@interface[-1].addresses=“Die IP-Adresse für den Client, z.B. 10.20.0.20″
- uci add_list network.@interface[-1].addresses=“Die IPv6-Adresse für den Client, falls vorhanden“
Anschließend die Konfiguration des Endpunkts in derselben Datei
- uci set network.wgserver=“wireguard_wg“
- uci set network.@interface[-1].public_key=“Der generierte public key für den Wireguard-Server“
- uci set network.@interface[-1].preshared_key=“Der zugehörige preshared key, falls vorhanden, ansonsten Befehl weglassen“
- uci set network.@interface[-1].endpoint_host=“Die Domain oder IP-Adresse des Wireguard-Servers“
- uci set network.@interface[-1].endpoint_port=“Der zugehörige Port“
- uci set network.@interface[-1].persistent_keepalive=“25″
- uci set network.@interface[-1].route_allowed_ips=“1″
- uci add_list network.@interface[-1].allowed_ips=“0.0.0.0/0″
- uci add_list network.@interface[-1].allowed_ips=“::/0″
- uci commit network
Konfiguration der Firewall
Nun konfigurieren wir die Firewallregeln für das neue Interface, zu finden in der Datei /etc/config/firewall
- uci set firewall.wg_zone=zone
- uci set firewall.@zone[-1].name=wg_vpn
- uci add_list firewall.@zone[-1].network=wg
- uci set firewall.@zone[-1].input=ACCEPT
- uci set firewall.@zone[-1].forward=REJECT
- uci set firewall.@zone[-1].output=ACCEPT
- uci set firewall.@zone[-1].masq=1
- uci set firewall.@zone[-1].mtu_fix=1
- uci delete firewall.@forwarding[0]
- uci set firewall.wg_forward=forwarding
- uci set firewall.@forwarding[-1].src=lan (anpassen, falls Sie das Netzwerk umbenannt/ein anderes für den VPN vorgesehen haben)
- uci set firewall.@forwarding[-1].dest=wg_vpn
- uci commit firewall
Neustarten der Dienste und Tests
- service network restart
- service firewall restart
- Wenn der Endpunkt online ist und erreicht werden konnte, haben Sie einen entsprechenden Ouput mit dem Befehl wg show
- Auf einem mit dem Router verbunden Endgerät sollte dann die IP-Adresse des Wireguard-Servers auftauchen, wenn Sie Ihre öffentliche IP-Adresse prüfen (z.B. auf https://wieistmeineip.de)
- Auf dem Router selbst können Sie die Verbindung wie folgt testen: ping -I 192.168.0.1 www.heise.de (falls Sie LAN-seitig eine andere IP-Adresse als Gateway eingestellt haben, nehmen Sie diese)
Konfiguration via LuCI (graphische Oberfläche)
Coming soon
