Kennisbank - Hulp & Ondersteuning

Knowledge Base /Handmatige VPN-installaties/Hoe Wireguard VPN instellen op OpenWRT: Een stapsgewijze handleiding

Hoe Wireguard VPN instellen op OpenWRT: Een stapsgewijze handleiding

Last updated: 6 februari 2025
  • Update januari 2025: Aangepast aan de nieuwe gebruikersinterface van het klantenportaal
  • Update april 2023: Het is nu mogelijk om het installatieproces iets te verkorten en een configuratiebestand te downloaden vanuit het Shellfire-klantenportaal.


Wireguard VPN wordt steeds populairder onder VPN-gebruikers. Wireguard maakt VPN-downloadsnelheden mogelijk die voorheen ongekend waren. Dit geldt vooral voor apparaten die niet veel rekenkracht hebben, zoals je thuisrouter. Terwijl VPN-routers vroeger vaak vastzaten op snelheden in de enkele cijfers Mbps, kunnen krachtige routers nu zelfs drievoudige waarden bereiken! Wireguard doet geen concessies als het gaat om beveiliging en gebruikt sterke, geavanceerde encryptie.


Waarschuwing: De installatie van OpenWRT en Wireguard is mogelijk niet geschikt voor beginners. Sommige commando's moeten mogelijk via de Linux-opdrachtregel worden ingevoerd. Lees deze instructies eerst zorgvuldig door en beslis dan of je het aankunt. Voor alle gebruikers die willen genieten van een Wireguard VPN-verbinding zonder handmatige configuratie, raden we de Shellfire Box aan. Hier is alles vooraf geconfigureerd en je kunt zelfs op elk moment de VPN-server wijzigen met slechts een paar klikken.


Belangrijke Punten

  • Leer hoe je WireGuard op je OpenWRT-router installeert, de benodigde software configureert en cryptografische sleutels genereert voor een veilige VPN-verbinding.
  • Verken geavanceerde configuratie-opties om de VPN-snelheid te optimaliseren, meerdere peers te beheren, MTU-instellingen aan te passen en de beveiliging te versterken via firewallregels.
  • Los veelvoorkomende verbindingsproblemen op en overweeg het gebruik van een vooraf geconfigureerde VPN-oplossing zoals de Shellfire Box voor een probleemloze ervaring.


Wat heb je nodig om Wireguard op je router te installeren?


Allereerst heb je een thuisrouter nodig die draait op het gratis OpenWRT-besturingssysteem met de LuCI-interface geïnstalleerd. OpenWRT kan op veel routers worden geïnstalleerd, maar je kunt je garantie ongeldig maken door het te installeren. Waarschuwing: Een fout tijdens de installatie van de OpenWRT-firmware kan je router permanent "bricken"! Daarom kan het de moeite waard zijn om te zoeken naar een router die al met OpenWRT is voorgeïnstalleerd. Het is belangrijk om een relatief recente OpenWRT-versie te hebben die al Wireguard ondersteunt. We gebruiken een Shellfire box in deze handleiding voor de eenvoud, hoewel we hier natuurlijk geen handmatige Wireguard-installatie nodig hebben.


Je hebt ook een VPN-server nodig die Wireguard-toegang biedt. Je VPN-provider zal je voorzien van de benodigde inloggegevens. We zullen hier Shellfire VPN gebruiken.


Ten slotte heb je een pc nodig met een internetbrowser en de mogelijkheid om een SSH-verbinding tot stand te brengen (optioneel sinds april 2023). Mac OS en Linux bieden deze mogelijkheid via de ingebouwde terminal, onder Microsoft Windows gebruiken we PuTTY voor de SSH-verbinding.


Wireguard installeren op de router


Eerst installeren we de Wireguard-softwarepakketten op de OpenWRT-router. Log hiervoor in op de LuCi-webinterface. Deze is meestal te vinden op http://192.168.1.1/, maar sommige routers gebruiken een ander adres. Afhankelijk van de geïnstalleerde OpenWRT-versie kunnen de weergegeven vensters er iets anders uitzien, maar de procedure is voor alle versies hetzelfde. Navigeer eerst naar System -> Software.


Screenshot-from-2023-04-21-15-35-11.png


Klik nu op "Update lists". OpenWRT zal nu zoeken naar de nieuwste beschikbare softwarepakketten.


Screenshot-from-2023-04-21-16-13-10.png


Zodra dit proces is voltooid, zoek je naar de term "wireguard" en installeer je de pakketten "kmod-wireguard", "luci-proto-wireguard" of "luci-app-wireguard" en "wireguard-tools".


Screenshot-from-2023-04-21-15-39-05.png


Zodra de installatie is voltooid, is de volgende stap het aanmaken van de sleutels.


Wireguard VPN-sleutelgeneratie


Update april 2023: In het klantenportaal op shellfire.net kun je nu een configuratiebestand downloaden. Dit bestand bevat al alle sleutels, dus je hoeft je eigen sleutels niet te genereren. Het genereren van je eigen sleutels heeft echter bepaalde voordelen met betrekking tot de beveiliging van de encryptie.


Wireguard gebruikt zogenaamde openbare sleutelversleuteling. Zowel de VPN-server als de client genereren hun eigen sleutelpaar. Een van deze sleutels is openbaar (openbare sleutel), terwijl de andere geheim blijft (privésleutel). Om de encryptie te laten werken, moeten beide partners hun eigen privésleutels kennen en de openbare sleutel van de andere partij. De eerste stap is het aanmaken van het sleutelpaar. Hiervoor loggen we in op de router via SSH, zoals hierboven vermeld, ofwel via Terminal (mac OS / Linux) of via PuTTY (Windows). Om in te loggen via SSH hebben we het IP-adres van de router en het routerwachtwoord nodig. De gebruikersnaam is "root". In sommige gevallen moet je mogelijk eerst SSH-toegang inschakelen in de webinterface van de router. Dus meestal zou je via SSH verbinden met 192.168.1.1.


Zodra je succesvol bent ingelogd, maken we eerst de map /etc/wireguard aan en gaan we naar die map.


mkdir /etc/wireguard
cd /etc/wireguard


Nu genereren we het sleutelpaar.


wg genkey | tee privkey | wg pubkey > pubkey


Ten slotte tonen we beide sleutels.


cat privkey
cat pubkey


BELANGRIJK: De privésleutel mag nooit in verkeerde handen vallen! Zodra een aanvaller je privésleutel kent, kan hij alle gegevens ontsleutelen die ermee zijn versleuteld.


Met onze sleutels kunnen we nu de Wireguard-verbinding configureren.


Wireguard VPN-client configureren


We schakelen nu terug naar de LuCI-webinterface en navigeren naar Network -> Interfaces. Klik op "Add new interface".


Screenshot-from-2023-04-21-15-44-49.png


Kies vervolgens een naam voor je verbinding zoals weergegeven in de screenshot (we gebruiken hier "wg0") en specificeer "Wireguard VPN" als het protocol.


Screenshot-from-2023-04-21-15-47-04.png


We moeten nu de instellingen van de nieuwe interface bewerken. Voer de verbindingsparameters in die we van onze VPN-provider krijgen. In het geval van Shellfire VPN vind je deze na inloggen in het klantenportaal op shellfire.net en vervolgens je VPN selecteren in de grijze QuickAccess-balk bovenaan het scherm. Eerst hebben we het interne VPN IP-adres, het serveradres en de openbare sleutel van de VPN-server nodig. Breng deze gegevens over naar de OpenWRT-webinterface zoals weergegeven in de screenshot.


Screenshot From 2025-01-07 14-31-16.png

Vervolgens breng je de privésleutel die je via de SSH-verbinding hebt gegenereerd (of de privésleutel uit je gedownloade VPN-configuratiebestand) over naar het veld "Private Key" (gemarkeerd als 1. in de screenshot).


De volgende stap kan worden overgeslagen als het configuratiebestand is gebruikt:


Klik op het "Bewerk"-symbool in het klantenportaal (gemarkeerd met 2.) en voer daar je via SSH gegenereerde openbare sleutel in.


Screenshot From 2025-01-24 11-09-54.png


Voer 25 in als Persistent Keep-Alive.


Waarschuwing: We willen nogmaals benadrukken dat je je privésleutel nooit mag weggeven.


Als alle waarden correct zijn, klik je op "Save & Apply". De Wireguard-interface is nu bijna volledig geconfigureerd.


Een firewallzone maken


Je router heeft nu een firewallconfiguratie nodig. Op deze manier weet hij hoe hij moet omgaan met de gegevens die door de Wireguard-interface stromen. Klik in de OpenWRT LuCI-interface op Network -> Firewall en vervolgens op "Add". Je kunt de benodigde instellingen vinden in de volgende screenshot. Wanneer je klaar bent, klik je hier ook op "Save & Apply".


Screenshot-from-2023-04-21-15-58-39.png


DNS-instellingen


Je router heeft nu een of meer DNS-servers nodig zodat queries zoals shellfire.de kunnen worden vertaald naar het bijbehorende IP-adres. Je kunt deze instelling maken onder Network -> DHCP and DNS. We voeren de IP-adressen 8.8.8.8 (Google DNS) en 208.67.222.222 (OpenDNS) in onder DNS-doorsturen. Andere DNS-diensten zijn ook mogelijk, je kunt hier een overzicht vinden. Klik opnieuw op "Save & Apply"


Screenshot-from-2023-04-21-16-01-16.png


De Wireguard-verbinding tot stand brengen


Alles zou nu geconfigureerd moeten zijn. Om Wireguard te laten werken, is het meestal nodig om de router opnieuw op te starten. Om dit te doen, kun je de router opnieuw opstarten onder System -> Reboot. Als alternatief kun je je router een paar seconden loskoppelen van de stroomvoorziening en vervolgens weer aansluiten.


Screenshot-from-2023-04-21-16-02-29.png


Na de herstart kun je op "Connect" klikken onder Network -> Interfaces naast je wg0-interface. De VPN-verbinding is nu tot stand gebracht!


De Wireguard VPN-verbinding verifiëren


Zodra je de VPN-verbinding hebt tot stand gebracht, zou alle data automatisch via de VPN moeten stromen. Je kunt je beschermingsstatus controleren op https://www.shellfire.nl/status/. Als je een andere VPN-provider gebruikt, kun je websites zoals https://www.whatismyip.com/ gebruiken.


Screenshot-from-2023-04-21-16-08-36.png


Problemen oplossen bij het instellen van WireGuard op OpenWRT


Hoewel het instellen van WireGuard op OpenWRT meestal eenvoudig is, kunnen sommige gebruikers problemen tegenkomen die de goede werking van hun VPN belemmeren. Hier zijn oplossingen voor de meest voorkomende problemen die je kunt tegenkomen:


Verbindingsfout: WireGuard kan geen verbinding maken


Als WireGuard geen verbinding maakt, controleer dan het volgende:


  • Firewallconfiguratie: Zorg ervoor dat de benodigde poorten open zijn. WireGuard gebruikt standaard UDP-poort 51820, dus het is essentieel om verkeer op die poort toe te staan.
  • Onjuiste IP-adressen: Controleer of de IP-adressen die aan beide uiteinden zijn toegewezen overeenkomen met de peerconfiguratie. Verkeerd geconfigureerde IP's zijn een van de belangrijkste oorzaken van verbindingsfouten.
  • Niet-overeenkomende openbare/privésleutels: Controleer de cryptografische sleutels. Als de openbare en privésleutels van de peers niet overeenkomen, kan WireGuard geen veilige verbinding tot stand brengen.

Prestatieproblemen: Trage verbinding


Sommige gebruikers ervaren lagere snelheden dan verwacht met WireGuard. Om dit op te lossen:


  • Locatie van de VPN-server: Probeer over te schakelen naar een VPN-server dichter bij je fysieke locatie om de latentie te verminderen.
  • Beperkte bandbreedte: Oudere OpenWRT-routers kunnen bandbreedtebeperkingen hebben. Overweeg indien nodig je hardware te upgraden.

Verbindingsonderbrekingen


Frequent verbroken verbindingen kunnen wijzen op een probleem met de keep-alive-instellingen van WireGuard:


  • Keep-Alive: Configureer de PersistentKeepalive-parameter in je peers om ervoor te zorgen dat de verbinding actief blijft, zelfs wanneer er geen constant verkeer is.


Door deze veelvoorkomende problemen aan te pakken, zorg je ervoor dat je VPN-verbinding stabiel en veilig blijft, waardoor je privacy wordt beschermd tijdens het browsen op zowel openbare als privé-netwerken.


Geavanceerde configuratie: WireGuard-prestaties optimaliseren op OpenWRT


Voor gevorderde gebruikers kan het optimaliseren van de prestaties van WireGuard op OpenWRT een aanzienlijk verschil maken in zowel snelheid als beveiliging. Hier zijn enkele geavanceerde configuraties om je VPN-potentieel te maximaliseren:


Latentie verminderen met MTU (Maximum Transmission Unit)


Het aanpassen van de MTU kan helpen om de latentie te verminderen en de stabiliteit van de verbinding te verbeteren. De standaardinstelling is meestal voldoende, maar in sommige gevallen kan handmatige aanpassing voordelen bieden:


  • Hoe de MTU aan te passen: Probeer in de WireGuard-interface op OpenWRT de MTU te verlagen als je netwerkprestatievertragingen opmerkt, meestal aanpassen naar waarden tussen 1280 en 1420.


Deze geavanceerde configuraties stellen WireGuard in staat om op zijn maximale prestaties te werken op je OpenWRT-router, zowel qua snelheid als beveiliging te optimaliseren.


Conclusie


Het instellen van WireGuard op OpenWRT lijkt misschien complex, maar met de juiste tools en configuratie kun je hoge snelheden en veilige VPN-prestaties ontgrendelen, zelfs op routers met weinig vermogen. Door deze stappen en best practices te volgen, zorg je ervoor dat je online privacy en beveiliging worden beschermd op al je apparaten.


Als je op zoek bent naar een eenvoudigere oplossing of het handmatige installatieproces wilt vermijden, is de Shellfire Box de perfecte keuze. Vooraf geconfigureerd en eenvoudig te gebruiken, biedt het eersteklas beveiliging en kun je met slechts een paar klikken van VPN-server wisselen.