как настроить wireguard на openwrt

как настроить wireguard на openwrt

Как настроить WireGuard на OpenWRT: пошаговая инструкция для начинающих и профессионалов

Если вы ищете современное и безопасное решение для VPN, то WireGuard — один из лучших вариантов. Он легкий, быстрый и прост в настройке. В этой статье я расскажу, как настроить WireGuard на OpenWRT — популярной прошивке для маршрутизаторов, которая позволяет превратить обычное устройство в мощный VPN-сервер или клиент.

Почему именно WireGuard?

За последние годы WireGuard стал популярнее традиционных решений вроде OpenVPN или IPSec. Он использует современную криптографию, минималистичный код и обеспечивает высокую скорость соединения. А благодаря интеграции в ядро Linux, он работает практически без задержек.

Что потребуется перед началом

• Маршрутизатор с установленной прошивкой OpenWRT (рекомендуется версия не ниже 19.07).
• Доступ к веб-интерфейсу LuCI или SSH.
• Права администратора.
• Основные знания о работе с командной строкой.

Шаг 1: Установка необходимых пакетов

Для начала нужно установить пакеты WireGuard и его зависимости. Это делается через SSH или через LuCI.

В SSH выполните команду:

opkg update
opkg install luci-app-wireguard wireguard-tools luci-proto-wireguard

Эти пакеты добавят в интерфейс настройку WireGuard и необходимые инструменты.

Шаг 2: Генерация ключей

Для безопасного соединения создадим пару ключей — публичный и приватный.

На маршрутизаторе выполните:

umask 077
wg genkey | tee /etc/wireguard/privatekey | wg pubkey > /etc/wireguard/publickey

Запомните или запишите содержимое файлов /etc/wireguard/privatekey и /etc/wireguard/publickey. Они понадобятся для настройки.

Шаг 3: Настройка интерфейса WireGuard

Через веб-интерфейс или командную строку создадим новый интерфейс.

Через LuCI:
1. Перейдите в раздел Network → Interfaces.
2. Нажмите Add new interface.
3. Назовите его, например, wg0.
4. В типе интерфейса выберите WireGuard VPN.
5. В настройках укажите:
- Private key — содержимое файла /etc/wireguard/privatekey.
- Listen port — например, 51820.

Через командную строку:
Добавьте конфигурацию в /etc/config/network:

config interface 'wg0'
    option proto 'wireguard'
    list addresses '10.0.0.1/24'
    option private_key '<ваш приватный ключ>'
    list listen_port '51820'

Шаг 4: Создание peer (партнера)

Для подключения к другим серверам или клиентам нужно добавить peer.

Пример конфигурации для сервера:

config wireguard_wg0
    option public_key '<публичный ключ клиента>'
    list allowed_ips '10.0.0.2/32'
    option endpoint '<ip_или домен>:<порт>'

Для клиента — аналогично, только с его публичным ключом и IP.

Шаг 5: Настройка правил NAT и маршрутизации

Чтобы трафик шел через VPN, добавьте правила iptables.

В OpenWRT это делается так:

uci add firewall zone
uci set firewall.@zone[-1].name='vpn'
uci set firewall.@zone[-1].network='wg0'
uci set firewall.@zone[-1].input='ACCEPT'
uci set firewall.@zone[-1].forward='ACCEPT'
uci set firewall.@zone[-1].output='ACCEPT'

Разрешить маршрутизацию
uci add firewall forwarding
uci set firewall.@forwarding[-1].src='lan'
uci set firewall.@forwarding[-1].dest='vpn'

Включить NAT для VPN
uci add firewall nat
uci set firewall.@nat[-1].src='vpn'
uci set firewall.@nat[-1].target='MASQUERADE'
uci set firewall.@nat[-1].name='VPN_NAT'

uci commit firewall
/etc/init.d/firewall restart

Шаг 6: Запуск и проверка

Перезапустите интерфейс:

/etc/init.d/network restart

Проверьте статус:

wg show

Если все настроено правильно, вы увидите активное VPN-соединение.

Итог

Настройка WireGuard на OpenWRT — это несложно, если следовать пошаговой инструкции. Это решение обеспечивает быструю и надежную защиту интернет-трафика и позволяет легко подключаться к домашней сети или корпоративным ресурсам из любой точки мира.

Если возникнут вопросы — не стесняйтесь искать помощь в сообществе или обращаться к документации. Удачи в настройке!

Если нужно, я могу подготовить более короткий гид или добавить разделы по настройке клиента или интеграции с другими сервисами.