OpenWrt WireGuard VPN einrichten: Rechtssicheres Gäste-WLAN Anleitung

Wenn Sie mehr zu unseren Wireguard-Zugängen erfahren möchten, finden Sie hier genauere Infos: WireGuard Zugang mieten

OpenWrt ist ein Open-Source-Betriebssystem für WLAN-Router, das weltweit verwendet wird. Es bietet Nutzern die Möglichkeit, ihre Geräte umfassend selbst zu verwalten – in einem Maße, wie es über die OEM-Firmware des jeweiligen Herstellers nicht möglich ist.

Mit einem WireGuard-Zugang über Beschützerbox können Sie Ihr Gäste-WLAN rechtssicher betreiben: Der gesamte Traffic läuft über unsere Server in Deutschland, Sie sind vor Störerhaftung geschützt und arbeiten DSGVO-konform.

Im folgenden Teil zeigen wir Ihnen, wie Sie einen Wireguard-Zugang unter OpenWrt einrichten – einmal über die Kommandozeile (CLI) und einmal über die Nutzeroberfläche (LuCI).

Voraussetzungen

• Router mit OpenWrt (empfohlen: 23.05.x oder 24.10.x)
• WireGuard-Pakete installiert: kmod-wireguard und wireguard-tools
• Für LuCI zusätzlich: luci-proto-wireguard
• WireGuard-Konfigurationsdaten von Beschützerbox (Public Key des Servers, Endpoint, Tunnel-IP)

Konfiguration via CLI (Kommandozeile)

Für die Konfiguration via Kommandozeile setzen wir folgende Dinge voraus:

• Sie haben sich per SSH mit dem Router verbunden
• Die Pakete kmod-wireguard und wireguard-tools sind installiert (überprüfbar mit opkg list-installed | grep wireguard)
• Sie nutzen eine aktuelle Version von OpenWrt (z.B. Stable Release 24.10.x oder 23.05.x)
• Sie haben WireGuard-Keys erhalten/generiert
• Der WireGuard-Server ist konfiguriert und online

Konfiguration des Netzwerks

Geben Sie folgende Befehle nacheinander ein oder kopieren Sie diese in ein Skript, das Sie auf dem Router ausführen.

Als erstes die Konfiguration des Client-Interface in /etc/config/network:

1. uci set network.wg=interface
2. uci set network.@interface[-1].proto=wireguard
3. uci set network.@interface[-1].private_key="Ihr generierter private key für das Interface"
4. uci set network.@interface[-1].mtu=1420 (optional, anpassen bei Konnektivitätsproblemen)
5. uci add_list network.@interface[-1].addresses="Die IP-Adresse für den Client, z.B. 10.20.0.20"
6. uci add_list network.@interface[-1].addresses="Die IPv6-Adresse für den Client, falls vorhanden"

Anschließend die Konfiguration des Endpunkts in derselben Datei:

1. uci set network.wgserver="wireguard_wg"
2. uci set network.@interface[-1].public_key="Der public key des Beschützerbox-Servers"
3. uci set network.@interface[-1].preshared_key="Der preshared key, falls vorhanden"
4. uci set network.@interface[-1].endpoint_host="Die Domain oder IP-Adresse des Servers"
5. uci set network.@interface[-1].endpoint_port="Der zugehörige Port"
6. uci set network.@interface[-1].persistent_keepalive="25"
7. uci set network.@interface[-1].route_allowed_ips="1"
8. uci add_list network.@interface[-1].allowed_ips="0.0.0.0/0"
9. uci add_list network.@interface[-1].allowed_ips="::/0"
10. uci commit network

Konfiguration der Firewall

Nun konfigurieren wir die Firewallregeln für das neue Interface in /etc/config/firewall:

1. uci set firewall.wg_zone=zone
2. uci set firewall.@zone[-1].name=wg_vpn
3. uci add_list firewall.@zone[-1].network=wg
4. uci set firewall.@zone[-1].input=ACCEPT
5. uci set firewall.@zone[-1].forward=REJECT
6. uci set firewall.@zone[-1].output=ACCEPT
7. uci set firewall.@zone[-1].masq=1
8. uci set firewall.@zone[-1].mtu_fix=1
9. uci delete firewall.@forwarding[0]
10. uci set firewall.wg_forward=forwarding
11. uci set firewall.@forwarding[-1].src=lan (anpassen, falls anderes Netzwerk für VPN vorgesehen)
12. uci set firewall.@forwarding[-1].dest=wg_vpn
13. uci commit firewall

Neustarten der Dienste und Tests

1. service network restart
2. service firewall restart
3. Verbindung prüfen: wg show zeigt den Status
4. Auf einem verbundenen Gerät: IP prüfen auf https://wieistmeineip.de
5. Vom Router aus testen: ping -I 192.168.1.1 www.heise.de

Konfiguration via LuCI (Weboberfläche)

Wenn Sie die grafische Oberfläche bevorzugen, können Sie WireGuard auch über LuCI einrichten. Stellen Sie sicher, dass das Paket luci-proto-wireguard installiert ist.

Schritt 1: WireGuard-Paket prüfen

1. Öffnen Sie LuCI im Browser (z.B. http://192.168.1.1)
2. Gehen Sie zu System → Software
3. Klicken Sie auf "Update lists" um die Paketliste zu aktualisieren
4. Suchen Sie nach "wireguard" und installieren Sie:
   • luci-proto-wireguard (enthält automatisch die Abhängigkeiten)
5. Nach der Installation: Router neu starten oder LuCI-Seite neu laden

Schritt 2: WireGuard-Interface anlegen

1. Gehen Sie zu Network → Interfaces
2. Klicken Sie auf "Add new interface..."
3. Name: wg0 (oder beliebig)
4. Protocol: Wählen Sie "WireGuard VPN"
5. Klicken Sie auf "Create interface"

Schritt 3: Interface konfigurieren

Im Tab "General Settings":

1. Private Key: Klicken Sie auf "Generate new key pair" oder fügen Sie Ihren vorhandenen Private Key ein
2. Public Key: Wird automatisch generiert – diesen Key senden Sie uns
3. IP Addresses: Tragen Sie die Tunnel-IP ein, die Sie von uns erhalten haben (z.B. 10.20.0.20/32)

Schritt 4: Peer (Beschützerbox-Server) hinzufügen

Im Tab "Peers":

1. Klicken Sie auf "Add peer"
2. Description: z.B. "Beschützerbox Server"
3. Public Key: Den Public Key, den Sie von uns erhalten haben
4. Preshared Key: Falls vorhanden, hier eintragen
5. Allowed IPs: 0.0.0.0/0, ::/0 (für allen Traffic über VPN)
6. Route Allowed IPs: Aktivieren (Häkchen setzen)
7. Endpoint Host: Die Server-Adresse von Beschützerbox
8. Endpoint Port: Der zugehörige Port (z.B. 51820)
9. Persistent Keep Alive: 25

Schritt 5: Firewall-Zone zuweisen

Im Tab "Firewall Settings":

1. Erstellen Sie eine neue Zone oder wählen Sie eine bestehende
2. Für eine neue Zone: Name z.B. "wg_vpn"
3. Input: Accept, Output: Accept, Forward: Reject
4. Masquerading: Aktivieren
5. MSS clamping: Aktivieren

Klicken Sie auf "Save" und dann "Save & Apply".

Schritt 6: Forwarding einrichten

1. Gehen Sie zu Network → Firewall
2. Unter der Zone "lan" (oder Ihrem Gäste-Netzwerk): Bei "Allow forward to destination zones" die neue WireGuard-Zone auswählen
3. Klicken Sie auf "Save & Apply"

Schritt 7: Verbindung testen

1. Gehen Sie zu Status → WireGuard um den Verbindungsstatus zu sehen
2. Verbinden Sie ein Gerät mit dem Router
3. Prüfen Sie Ihre IP auf beschuetzerbox.de/ip oder wieistmeineip.de

Häufige Fragen

Webseiten laden langsam oder gar nicht

Das liegt meist am MTU-Wert. Reduzieren Sie ihn von 1420 auf 1360 oder 1380. In LuCI: Interface bearbeiten → "Advanced Settings" → MTU anpassen.

WireGuard-Option fehlt in LuCI

Installieren Sie das Paket luci-proto-wireguard über System → Software und laden Sie die Seite neu oder starten Sie den Router neu.

Verbindung bricht ab

Stellen Sie sicher, dass "Persistent Keep Alive" auf 25 Sekunden gesetzt ist. Dies hält die Verbindung durch NAT-Router offen.

Komplettlösung gesucht?

Wenn Sie mehr zu unseren Wireguard-Zugängen erfahren möchten, finden Sie hier genauere Infos: WireGuard Zugang mieten

Falls Sie nicht nur auf der Suche nach einem rechtssicheren Wireguard-Zugang sind, sondern gleich einen größeren Teil oder sogar Ihr gesamtes Netzwerk zuverlässig verwaltet haben möchten, sind Sie bei uns ebenfalls richtig.

Wir bieten Ihnen die passende Lösung für Ihre Ansprüche an das Netzwerk an. Mehr Informationen finden Sie hier.