In scenari avanzati di rete, può essere utile separare il traffico in uscita in base al tipo di connessione fisica, pur mantenendo una rete locale unificata. Questo è particolarmente utile per:
- Proteggere la privacy dei dispositivi mobili (WiFi) usando una VPN
- Lasciare i dispositivi cablati (LAN) liberi da VPN per prestazioni o compatibilità
- Evitare configurazioni complesse con subnet separate o VLAN
In questa guida, configureremo OpenWrt per ottenere:
- WiFi → instradato attraverso WireGuard VPN
- LAN → instradato direttamente su WAN
- Tutti i dispositivi nella stessa rete (
192.168.1.0/24) e bridge (br-lan)
Cos’è una VPN?
Una VPN (Virtual Private Network, o Rete Privata Virtuale) è uno strumento tecnologico che consente di creare una connessione sicura e criptata tra il dispositivo dell’utente (come un computer, smartphone o tablet) e un server remoto gestito dal provider della VPN. Questa connessione crittografata protegge i dati trasmessi attraverso Internet, garantendo privacy, sicurezza e anonimato durante la navigazione.
Requisiti:
- Router con OpenWrt installato
- VPN WireGuard già configurata e funzionante (
wg0) (oppure OpenVPN)
- Accesso a LuCI (interfaccia web) e/o SSH
- Almeno un dispositivo WiFi con MAC address noto
Installazione:
Vai su System → Software. Clicca su Update lists per aggiornare l’elenco dei pacchetti.
Cerca su <<Filter>> e installa:
luci-app-pbr
Clicca su <<Logout e poi di nuovo Login>> a questo punto appare l’opzione <<Service>> con il pacchetto <<Policy>>. Attendi il completamento e verifica che compaia la voce Policy-Based Routing nel menu Services.
Andiamo ora in <<Network>> e selezioniamo in <<DHCP and DNS>> e selezioniamo <<Static Leases>> clicchiamo su <<Add>>.
Nel mio caso, ho compilato i campi corrispondenti al mio dispositivo portatile connesso via LAN. Per la vostra configurazione, gli stessi campi vanno impostati come indicato di seguito, utilizzando ovviamente i dati specifici del vostro dispositivo. Una volta completato premere su <<Save>>.
| Campo | Cosa inserire | Spiegazione |
|---|---|---|
| Hostname | PC-HUAWEI-LAN | Nome descrittivo del dispositivo. Non è obbligatorio, ma aiuta a riconoscerlo. |
| MAC Address | 00:00:0:00:00:00 | Identificativo univoco della scheda di rete del dispositivo. Deve essere corretto. |
| IPv4 Address | 192.168.1.199 | L’indirizzo IP che vuoi assegnare sempre a questo MAC. Deve essere fuori dal range DHCP dinamico per evitare conflitti. |
| Lease Time | infinite | Significa che il lease non scade mai. Perfetto per dispositivi fissi. |
| DUID | (lascia vuoto) | Serve solo per IPv6. Puoi ignorarlo se non usi IPv6. |
| Tags | (opzionale) | Puoi aggiungere etichette personalizzate, ma non è necessario. |
A questo punto, cliccate su Services, poi selezionate Policy Routing. Nella sezione Policies, premete su <<Add>> per aggiungere una nuova regola. Compilate i campi come segue: in Name inserite un nome a piacere, oppure il nome del dispositivo (come ho fatto io); in Local Address scrivete l’indirizzo IP del vostro dispositivo collegato alla rete LAN; in Chain selezionate prerouting; e in Interface scegliete WAN. Infine, cliccate su Save per salvare la configurazione. Poi premere in basso <<Save & Apply>>.
Ora premete su <<Enable>>, poi su <<Start>>. A questo punto, ricaricate la pagina web premendo F5 oppure utilizzando il pulsante di aggiornamento del vostro browser.
Come potete notare, dopo il caricamento della pagina web, accanto alla versione compare la scritta <<Running>>. Inoltre, nella sezione <<Service Gateways>>, potete verificare che WireGuard è correttamente indicato tra le configurazioni.
Ora, se accediamo al sito ilmioip dal dispositivo collegato tramite LAN, noteremo che viene mostrato l’indirizzo IP pubblico assegnato dal nostro ISP (Internet Service Provider), e non quello della VPN. Questo significa che il traffico di rete del dispositivo non sta passando attraverso il tunnel VPN, ma sta uscendo direttamente sulla rete pubblica.
Nel mio caso, ad esempio, ho verificato che l’IP visualizzato corrispondeva a quello del provider locale, confermando che la VPN non era attiva o non era correttamente instradata per quel dispositivo.
Se il vostro obiettivo è far passare tutto il traffico attraverso la VPN, sarà necessario configurare correttamente le regole di Policy Routing o impostare il default gateway del dispositivo in modo che punti verso l’interfaccia VPN.
Spero che questa guida può essere utile a parecchi di voi. Aspettatemi con i prossimi articoli!