In questa guida, vi mostro come configurare una VPN Server e Client con protocollo Wireguard all’interno di un firmware Openwrt con Wireguard. Utilizzando questo metodo possiamo usare due router uno all’interno del nostro appartamento come server, e l’altro router come Client in giro per il mondo, in modo tale da avere accesso nella lan a i nostri dispositivi. Inoltre wireguard permette di bypassare le restrittive imposte da netflix in Itali con la condivisione degli account senza dover pagare i 4,99 euro aggiuntivi.
Cos’è Wireguard?
Wireguard è un protocollo VPN in grado di farvi accedere con maggiore velocità di connessione alla rete internet. Wireguard è molto utile se si vuole sostituire il protocollo OPENVPN che a livello di velocità è meno performante. Inoltre come lo configuriamo noi in questa guida riusciamo a utilizzare anche fuori dal nostro appartamento i dispositivi di casa.
Cos’è OpenWrt?
OpenWrt è un firmware completamente OpenSource basato su Linux, questo firmware (sistema operativo per router), è in grado di darci molte funzionalità aggiuntive per i router compatibili.
Preparazione configurazione:
Se avete OpenWrt impostato di Default, bisogna accedere alla pagina del router OPENWRT all’indirizzo: 192.168.1.1. Io nel mio caso avendo già la classe ip 1.1 ho messo il mio router secondario in modalità bridge solo connessione via LAN senza WAN. Questa operazione lo eseguita solo sul Router Wireguard Server. Nel mio caso l’ip è 192.168.1.117 in (bridge). Nel caso del router Wireguard Client ho lasciato la wan attiva ottenendo comunque i risultati che volevo, ovvero accedere a i miei dispositivi nella LAN da remoto. L’indirizzo IP del router Wireguard Client è il seguente: 192.168.60.1.
Per utilizzare questa tecnica fuori dalla rete LAN ovvero in WAN, occorre aprire la porta 51820 sul router principale che nel mio caso è un Router 5G con sim DENAT cioè Sim con IP Pubblico. Potete fare la stessa cosa anche con una rete di casa FFTC o FFTH. Basta entrare nelle impostazioni del router e aprire la porta descritta all’indirizzo LAN del router Wireguard Server che nel mio caso è 192.168.1.117, il vostro potrebbe essere 192.168.2.1 o quello che scegliete.
<<ATTENZIONE QUESTO FIRMWARE NON è COMPATBILE PER TUTTI I ROUTER IN COMMERCIO, SE VOLETE VERIFICARE IL VOSTRO ROUTER OCCORRE SEGUIRE IL LINK QUI>> NEL CASO IL VOSTRO ROUTER NON È ADATTO OCCORRE UTILIZZARE DDWRT, ALTRO FIRMWARE DISPONIBILE PER ROUTER>>.Configurazione Router Server:
Come primo obbiettivo, abbiamo bisogno di recarci sull’ip di appartenenza del router OpenWrt e accedere a 192.168.1.117, (nel vostro caso nel vostro ip della WAN). Appena entrati bisogna installare sul router il pacchetto luci-app-wireguard, per farlo occorre andare su <<System>> poi su <<Software>> infine premere su <<Update List>>.
Attendere l’aggiornamento del repository, e infine vedrete scritto <<Signature check passed>>, se per caso vi mostra error 6: occorre andare in <<Interface>> poi sull’interfaccia <<LAN>> premere EDIT, successivamente premere su <<Advance Setting>> e infine impostare i DNS vi consiglio quelli di Google ovvero 8.8.8.8 e 8.8.4.4 premete poi <<Save>> poi <<Save & Apply>>, se vi mostra ancora l’errore basta cliccare sull’interfaccia <<LAN>> il tasto <<Restart>> e riprovare.
Ora cerchiamo nel campo di ricerca <<luci-app-wireguard>> e premiamo sul tasto Install per installare i pacchetti che servono. A questo punto riavviate il router per fare installare correttamente l’installazione.
Rechiamoci ora in <<Network>> —> <<Interface>> e premiamo su <<Add interface>>.
Scriviamo ora nel campo nella nuova interfaccia quello che vogliamo io la chiamo con il nome Wireguard e protocollo mi raccomando impostate <<Wireguard VPN>>. Premete su <<Create interface>>.
I campi che sono evidenziati sono quelli da modificare, quindi, in Protocol impostate <<Wireguard VPN>>. Successivamente dobbiamo generare delle chiavi di crittografia per farlo, occorre premere su <<Generate new key pair>> così vedrete le chiavi generate con successo. Su <<Listen Port>> impostate 51820 che è la stessa porta aperta sul router principale. In IP Address potete mettere gli stessi identici <<IP Address>> che ho messo io, tanto questi servono solamente per il tunnel VPN 192.168.100.1/24. Prima di salvare andate nel campo richiesto sotto.
Recatevi in <<Firewall Setting>> nella voce <<Create/Assign firewall-zone, scrivete <<FIREWALLVPN>> o quello che volete. (Non scrivete come ho scritto io FIREWALLVPNWIREGUARD in quanto successivamente non viene accetta per caratteri troppo lunghi). Anche qui non Salvate la procedura ma aspettate di configurare tutto fino alla fine.
Recatevi su <<Peers>> e cliccate su <<Add peer>>.
In <<Description>> scrivete Wireguard, poi premete su <<Generate new key pair>> per creare una crittografia utente. In <<Allowed IPs>> impostate 192.168.100.2/32 e premete su aggiunti tasto + affiancato. Ora selezionate <<Route Allowed IPs>>. In <<Persistent Keep Alive>> impostate valore di <<25>>. Dopo premete su <<Save>> per apportare le modifiche.
Adesso spostiamoci in <<Network>> poi clicchiamo su <<Firewall>>. Nel mio caso io ho impostato il Firewall VPN sotto la lan, nel caso vostro dovete impostarlo sotto la WAN. Quindi su <<Allow forward to destination zone>> mettete <<FirewallVPN>>. Non salvate ancora.
Sempre nel <<Firewall>> cliccate su <<Port Forwards>> e impostate i valori come nella foto successiva evidenziati.
Cliccate su <<Add>> per aggiungere il port mapping della porta 51820 sul relativo dispositivo ovvero 192.168.1.117.
Premete su <<Save & Apply>> per apportare le modifiche.
Al salvataggio vi trovate di fronte a questa schermata, vi avviso rispetto la mia cambia in quanto io ho impostato il bridge sulla LAN, mentre voi avete la WAN. Voi vi troverete 3 voci LAN,WAN e FIREWALL VPN.
Configurazione Router Client:
Ora non ci resta che configurare il client, per configurare il client io alla fine lo collegato come Wifi-Extender alla mia rete FastwebMobile in modo tale da avere una certezza del funzionamento di Wireguard per i dispositivi in LAN. Rechiamoci all’indirizzo del nostro secondo router che nel mio caso ho voluto impostare <<192.168.60.1>>.
Appena entrati bisogna installare sul router il pacchetto luci-app-wireguard, per farlo occorre andare di nuovo su <<System>> poi su <<Software>> infine premere su <<Update List>>.
Attendere l’aggiornamento del repository, e infine vedrete scritto <<Signature check passed>>, se per caso vi mostra error 6: occorre andare in <<Interface>> poi sull’interfaccia <<LAN>> premere EDIT, successivamente premere su <<Advance Setting>> e infine impostare i DNS vi consiglio quelli di Google ovvero 8.8.8.8 e 8.8.4.4 premete poi <<Save>> poi <<Save & Apply>>, se vi mostra ancora l’errore basta cliccare sull’interfaccia <<LAN>> il tasto <<Restart>> e riprovare.
Ora cerchiamo nel campo di ricerca <<luci-app-wireguard>> e premiamo sul tasto Install per installare i pacchetti che servono. A questo punto riavviate il router per fare installare correttamente l’installazione.
Rechiamoci ora in <<Network>> —> <<Interface>> e premiamo su <<Add interface>>.
La foto è stata presa dall’immagine di sopra in realtà nelle foto successive, vedete anche l’interfaccia WAN sul client e vi dimostro che funziona.
Scriviamo ora nel campo nella nuova interfaccia quello che vogliamo io la chiamo con il nome Wireguard e protocollo mi raccomando impostate <<Wireguard VPN>>. Premete su <<Create interface>>.
I campi che sono evidenziati sono quelli da modificare, quindi, in Protocol impostate <<Wireguard VPN>>. Successivamente dobbiamo generare delle chiavi di crittografia per farlo, occorre premere su <<Generate new key pair>> così vedrete le chiavi generate con successo. Su <<Listen Port>> impostate 51820 che è la stessa porta aperta sul router principale. In IP Address potete mettere gli stessi identici <<IP Address>> che ho messo io, tanto questi servono solamente per il tunnel VPN 192.168.100.2/32.
Selezionate ora l’END POINT che nel nostro caso è l’ip pubblico della rete server ovvero la rete primaria, quindi inseriamo IP pubblico in <<Endpoint Host>> in <<Endpoing Port>> impostate 51820. Non salvate ora la configurazione ma seguite il passaggio successivo.
Recatevi in <<Firewall Setting>> nella voce <<Create/Assign firewall-zone, scrivete <<FIREWALLVPN>> o quello che volete. (Non scrivete come ho scritto io FIREWALLVPNWIREGUARD in quanto successivamente non viene accetta per caratteri troppo lunghi). Anche qui non Salvate la procedura ma aspettate di configurare tutto fino alla fine.
Recatevi su <<Peers>> e cliccate su <<Add peer>>.
In <<Description>> scrivete Wireguard_Client, poi inserite la <<Public Key del router Server>> per creare una crittografia scambiata tra i router. In <<Allowed IPs>> impostate 192.168.100.0/24 e premete su aggiunti tasto + affiancato, inserite anche la classe IP del router Server nel mio caso <<192.168.1.0/24>>. Ora selezionate <<Route Allowed IPs>>. Inserite <<l’ENDPOINT HOST>> ovvero l’indirizzo pubblico del vostro server router. In <<ENDPOINT PORT>> 51820. Dopo premete su <<Save>> per apportare le modifiche.
Adesso spostiamoci in <<Network>> poi clicchiamo su <<Firewall>>. Nel mio caso io ho impostato il Firewall VPN sotto la lan, nel caso vostro dovete impostarlo sotto la WAN come nell’esempio che faccio ora, e non come la prima impostazione del server router. Voi dovete seguire diciamo le impostazioni server e client del Firewall uguali a quelle del Client. Quindi su <<Allow forward to destination zone>> mettete <<FirewallVPN>>. Non salvate ancora.
Cliccate su <<Edit>> della Zona <<LAN>> in Allow forward to destination mettete FIREWALL E WAN insieme, nel mio caso c’è il wifi-extender già connesso con fastweb mobile dallo smartphone. Poi premete su <<Save>>.
In questo passaggio andiamo a impostare il FirewallVPN nella WAN, per farlo occorre andare su <<EDIT>>, e impostare in <<Allow forward to destination zones>>: <<WAN>>.
Sempre nel <<Firewall>> cliccate su <<Port Forwards>> e impostate i valori come nella foto successiva evidenziati.
Cliccate su <<Add>> per aggiungere il port mapping della porta 51820 sul relativo dispositivo ovvero <<Internal IP address>> 192.168.100.2/32, questo indirizzo è relativo all’ip corrispondente della classe del server router. In <<Name>> scrivete Wireguard, come protocollo metttere UDP, <<Source Zone>> mettete <<WAN>> in <<Destination Zones>> impostate <<FIREWALL VPN>> e infine in <<Internal Port>> mettere: 51820 la stessa della rotta di Wireguard. Premete su <<Save & Apply>>.
Configurazione Public Key Client Wireguard Server e Client:
Ora per configurare correttamente la chiave Pubblica del Client Wireguard, occorre andare su <<Status>> poi su <<Wireguard>> e copiare la Public Key del client. Se non riuscite a copiare la chiave pubblica seguite il passaggio successivo.
In caso la chiave pubblica la vostra versione di OpenWrt non ve la fa copiare nello status, basta andare in <<Network>>, <<Interface>> poi su <<Wireguard>> e in <<General>> copiate la Public Key del client Wireguard, stessa cosa vale per la Public Key da Wireguard Server a Client. Le due chiavi vanno scambiate, quella del Router Server nel Peers del Router Client, e quella pubblica del Router Client in Peers del Router Wireguard Server.
Public key del Client inserita in Peers di Wireguard_Server ovvero router principale. E Chiave Public Key del Server inserita nel Peers di Wireguard Client.
Public key del Server inserita in Peers di Wireguard_Client ovvero router secondario. E Chiave Public Key del Client inserita nel Peers di Wireguard Server.
Ulteriori informazioni:
Spero che questa guida sia utile per tantissimi di voi, vi informo che se seguite queste indicazioni usando tutti e due i router in WAN e non come ho fatto io uno in Bridge e uno in WAN, potete sfruttare netflix studiandoci un po sopra senza pagare le 4,99 euro aggiuntive di costo per la condivisione degli account, in sostanza basta che ognuno di voi possiede un Router OpenWrt Server e tutti gli altri Router con Wireguard Client per avere un unico IP disponibile ovunque voi andate, se ognuno di acquista un router ad esempio Xiaomi 4A 100Mbps adatto a OpenWrt con meno di 20 euro a testa non pagate la soluzione dei 4,99 euro al mese per sempre di netflix. Spero di essere stato chiaro.
PS: Vi faccio un altro esempio se andate in un territorio estero e volete magari vedere in streming i vostri canali tv esempio Rai Play o Mediaset Play basta che a casa lasciate il Router Server e in giro vi portate il Router Client e una volta connessi al Wi-Fi del client potete godervi lo stesso anche se all’estero i vostri canali tv preferiti in quanto l’IP sotto VPN risulta quello del vostro appartamento in Italia. Grazie a tutti per la lettura! #staytuned.