Wissensdatenbank - Hilfe & Support

Knowledge Base /Manuelle VPN-Einrichtungen/Wie du Wireguard VPN auf OpenWRT einrichtest: Eine Schritt-für-Schritt-Anleitung

Wie du Wireguard VPN auf OpenWRT einrichtest: Eine Schritt-für-Schritt-Anleitung

Last updated: 31. Januar 2025

  • Update Januar 2025: An die neue Benutzeroberfläche des Kundencenters angepasst
  • Update April 2023: Es ist jetzt möglich, den Einrichtungsprozess etwas zu verkürzen und eine Konfigurationsdatei aus dem Shellfire Kundencenter herunterzuladen.


Wireguard VPN wird bei VPN-Nutzern immer beliebter. Wireguard ermöglicht bisher unerreichbare Download-Geschwindigkeiten über VPN. Das gilt besonders für Geräte, die nicht viel Rechenleistung haben, wie zum Beispiel dein Heimrouter. Während VPN-Router früher oft auf einstellige Mbps-Geschwindigkeiten beschränkt waren, können leistungsstarke Router jetzt sogar dreistellige Werte erreichen! Wireguard macht keine Kompromisse bei der Sicherheit und verwendet starke, moderne Verschlüsselung.


Warnung: Die Installation von OpenWRT und Wireguard ist möglicherweise nicht für Anfänger geeignet. Einige Befehle müssen evtl. über die Linux-Befehlszeile eingegeben werden. Lies diese Anweisungen zuerst sorgfältig durch und entscheide dann, ob du es dir zutraust. Für alle Nutzer, die eine Wireguard VPN-Verbindung ohne manuelle Konfiguration genießen möchten, empfehlen wir die Shellfire Box. Hier ist alles vorkonfiguriert und du kannst sogar den VPN-Server jederzeit mit nur wenigen Klicks ändern.


Wichtige Punkte

  • Lerne, wie du WireGuard auf deinem OpenWRT-Router installierst, die notwendige Software konfigurierst und kryptografische Keys für eine sichere VPN-Verbindung generierst.
  • Erkunde erweiterte Konfigurationsoptionen, um die VPN-Geschwindigkeit zu optimieren, mehrere Peers zu verwalten, MTU-Einstellungen anzupassen und die Sicherheit durch Firewall-Regeln zu stärken.
  • Löse häufige Verbindungsprobleme und ziehe eine vorkonfigurierte VPN-Lösung wie die Shellfire Box in Betracht.


Was brauchst du, um Wireguard auf deinem Router zu installieren?


Zuerst brauchst du einen Heimrouter, der auf dem freien OpenWRT-Betriebssystem mit der LuCI-Oberfläche läuft. OpenWRT kann auf vielen Routern installiert werden, aber durch die Installation könntest du deine Garantieamsprüche verlieren. Warnung: Ein Fehler bei der Installation der OpenWRT-Firmware kann deinen Router dauerhaft "bricken" (unbrauchbar machen)! Daher kann es sich lohnen, nach einem Router zu suchen, der bereits mit vorinstalliertem OpenWRT geliefert wird. Es ist wichtig, eine relativ aktuelle OpenWRT-Version installiert zu haben, die bereits Wireguard unterstützt. Wir verwenden in dieser Anleitung der Einfachheit halber eine Shellfire Box, obwohl wir hier natürlich keine manuelle Wireguard-Installation benötigen.


Du benötigst außerdem einen VPN-Server, der Wireguard-Zugang bietet. Dein VPN-Anbieter stellt dir die notwendigen Zugangsdaten zur Verfügung. Wir verwenden hier Shellfire VPN.


Schließlich brauchst du einen PC mit einem Internetbrowser und die Möglichkeit, eine SSH-Verbindung herzustellen (optional seit April 2023). Mac OS und Linux bieten diese Möglichkeit über das integrierte Terminal, unter Microsoft Windows verwenden wir PuTTY für die SSH-Verbindung.


Installation von Wireguard auf dem Router


Zuerst installieren wir die Wireguard-Softwarepakete auf dem OpenWRT-Router. Dazu loggst du dich in die LuCi-Weboberfläche ein. Diese ist normalerweise unter http://192.168.1.1/ zu finden, aber einige Router verwenden eine andere Adresse. Je nach installierter OpenWRT-Version können die angezeigten Fenster leicht unterschiedlich aussehen, aber das Verfahren ist für alle Versionen gleich. Navigiere zuerst zu System -> Paketverwaltung.



Screenshot From 2025-01-24 14-44-00.png


Jetzt klicke auf "Listen aktualisieren". OpenWRT sucht nun nach den neuesten verfügbaren Softwarepaketen.


Screenshot From 2025-01-24 14-45-22.png


Nachdem dieser Prozess abgeschlossen ist, suche nach dem Begriff "wireguard" und installiere die Pakete "kmod-wireguard", "luci-proto-wireguard" oder "luci-app-wireguard" und "wireguard-tools".


Screenshot From 2025-01-24 14-46-56.png


Sobald die Installation abgeschlossen ist, ist der nächste Schritt die Erstellung der Keys.


Wireguard VPN Schlüsselgenerierung


Update April 2023: Im Kundencenter auf shellfire.de kannst du jetzt einen Konfigurationsdatei-Download finden. Diese Datei enthält bereits alle Keys, sodass du keine eigenen Keys generieren musst. Das Generieren eigener Keys hat jedoch einige Vorteile für die Sicherheit der Verschlüsselung.


Wireguard verwendet sogenannte Public-Key-Verschlüsselung. Sowohl der VPN-Server als auch der Client generieren ihr eigenes Schlüsselpaar. Einer dieser Schlüssel ist öffentlich (Public Key), während der andere geheim bleibt (Private Key). Damit die Verschlüsselung funktioniert, müssen beide Partner ihre eigenen privaten Schlüssel sowie den öffentlichen Schlüssel der anderen Partei kennen. Der erste Schritt ist die Erstellung des Schlüsselpaares. Dazu loggen wir uns über SSH in den Router ein, wie oben erwähnt entweder über Terminal (mac OS / Linux) oder über PuTTY (Windows). Um sich über SSH einzuloggen, benötigen wir die IP-Adresse des Routers und das Router-Passwort. Der Benutzername ist "root". Unter Umständen musst du den SSH-Zugang in der Weboberfläche des Routers zuerst aktivieren. Typischerweise würdest du dich also über SSH mit 192.168.1.1 verbinden.


Sobald du erfolgreich eingeloggt bist, erstellen wir zuerst den Ordner /etc/wireguard und wechseln dann in diesen Ordner.


mkdir /etc/wireguard
cd /etc/wireguard


Jetzt generieren wir das Schlüsselpaar.


wg genkey | tee privkey | wg pubkey > pubkey


Schließlich zeigen wir beide Schlüssel an.


cat privkey
cat pubkey


WICHTIG: Der private Schlüssel darf niemals in falsche Hände geraten! Sobald ein Angreifer deinen privaten Schlüssel kennt, kann er alle damit verschlüsselten Daten lesen.


Mit unseren Keys können wir jetzt die Wireguard-Verbindung konfigurieren.


Konfiguration des Wireguard VPN-Clients


Wir wechseln jetzt zurück zur LuCI-Weboberfläche und navigieren zu Netzwerk -> Schnittstellen. Klicke auf "Neue Schnittstelle hinzufügen".


Screenshot From 2025-01-24 14-50-42.png


Wähle als nächstes einen Namen für deine Verbindung, wie im Screenshot gezeigt (wir verwenden hier "wg0"), und gib "Wireguard VPN" als Protokoll an.


Screenshot From 2025-01-24 14-54-01.png


Jetzt müssen wir die Einstellungen der neuen Schnittstelle bearbeiten. Gib die Verbindungsparameter ein, die wir von unserem VPN-Anbieter erhalten. Im Fall von Shellfire VPN findest du diese nach dem Einloggen ins Kundencenter auf shellfire.de und dann, indem du dein VPN im Menü unter Produkte -> Shellfire VPN auswählst. Zuerst benötigen wir die interne VPN-IP-Adresse, die Serveradresse und den Public Key des VPN-Servers. Übertrage diese Daten in die OpenWRT-Weboberfläche, wie im Screenshot gezeigt.


Screenshot From 2025-01-24 14-57-40.png


Als nächstes übertrage den Private Key, den du über die SSH-Verbindung generiert hast (oder den Private Key aus deiner heruntergeladenen VPN-Konfigurationsdatei) in das Feld "Privater Schlüssel" (im Screenshot als 1. markiert).


Update 2023: Der folgende Schritt kann übersprungen werden, wenn die Konfigurationsdatei verwendet wurde:


Klicke auf das "Bearbeiten"-Symbol im Kundencenter (mit 2. markiert) und gib dort deinen über SSH generierten öffentlichen Schlüssel ein.


Screenshot From 2025-01-24 15-10-44.png


Gib 25 als Persistent Keep-Alive ein.


Warnung: Wir möchten nochmals darauf hinweisen, dass du deinen Private Key niemals weitergeben darfst.


Wenn alle Werte korrekt sind, klicke auf "Speichern & Anwenden". Die Wireguard-Schnittstelle ist jetzt fast vollständig konfiguriert.


Erstellen einer Firewall-Zone


Dein Router benötigt jetzt eine Firewall-Konfiguration. So weiß er, wie er mit den Daten umgehen soll, die durch die Wireguard-Schnittstelle fließen. Klicke in der OpenWRT LuCI-Oberfläche auf Netzwerk -> Firewall und dann auf "Hinzufügen". Die notwendigen Einstellungen findest du im folgenden Screenshot. Wenn du fertig bist, klicke auch hier auf "Speichern & Anwenden".


Screenshot-from-2023-04-21-15-58-39.png


DNS-Einstellungen


Dein Router benötigt jetzt einen oder mehrere DNS-Server, damit Anfragen wie shellfire.de in die entsprechende IP-Adresse übersetzt werden können. Diese Einstellung kannst du unter Netzwerk -> DHCP und DNS vornehmen. Wir geben die IP-Adressen 8.8.8.8 (Google DNS) und 208.67.222.222 (OpenDNS) unter DNS-Weiterleitung ein. Andere DNS-Dienste sind ebenfalls möglich, eine Übersicht findest du hier. Klicke erneut auf "Speichern & Anwenden".


Screenshot From 2025-01-24 15-14-03.png


Herstellen der Wireguard-Verbindung


Alles sollte jetzt konfiguriert sein. Damit Wireguard funktioniert, ist es normalerweise notwendig, den Router neu zu starten. Das kannst du unter System -> Neu Starten tun. Alternativ kannst du deinen Router für ein paar Sekunden von der Stromversorgung trennen und dann wieder anschließen.


Screenshot From 2025-01-24 15-15-48.png



Nach dem Neustart kannst du unter Netzwerk -> Schnittstellen neben deiner wg0-Schnittstelle auf "Verbinden" klicken. Die VPN-Verbindung ist jetzt hergestellt!


Überprüfen der Wireguard VPN-Verbindung


Sobald du die VPN-Verbindung hergestellt hast, sollten alle Daten automatisch über das VPN fließen. Du kannst deinen Schutzstatus unter https://www.shellfire.de/status/ überprüfen. Wenn du einen anderen VPN-Anbieter verwendest, kannst du Websites wie https://www.wieistmeineip.de/ nutzen.



Screenshot From 2025-01-24 15-19-00.png


Fehlerbehebung bei häufigen Problemen bei der Einrichtung von WireGuard auf OpenWRT


Obwohl die Einrichtung von WireGuard auf OpenWRT in der Regel unkompliziert ist, können einige Nutzer auf Probleme stoßen, die  Funktion ihres VPNs stören. Hier sind Lösungen für die häufigsten Probleme:


Verbindungsfehler: WireGuard kann keine Verbindung herstellen


Wenn WireGuard keine Verbindung herstellt, überprüfe Folgendes:


  • Firewall-Konfiguration: Stelle sicher, dass die notwendigen Ports geöffnet sind. WireGuard verwendet standardmäßig den UDP-Port 51820, daher ist es wichtig, den Datenverkehr auf diesem Port zuzulassen.
  • Falsche IP-Adressen: Überprüfe, ob die zugewiesenen IP-Adressen an beiden Enden mit der Peer-Konfiguration übereinstimmen. Falsch konfigurierte IPs sind eine der Hauptursachen für Verbindungsfehler.
  • Nicht übereinstimmende öffentliche/private Schlüssel: Überprüfe die kryptografischen Schlüssel. Wenn die öffentlichen und privaten Schlüssel der Peers nicht übereinstimmen, kann WireGuard keine sichere Verbindung herstellen.

Leistungsprobleme: Langsame Verbindung


Einige Nutzer erleben mit WireGuard langsamere Geschwindigkeiten als erwartet. Um dies zu beheben:


  • Standort des VPN-Servers: Versuche, zu einem VPN-Server zu wechseln, der näher an deinem physischen Standort liegt, um die Latenz zu reduzieren.
  • Begrenzte Bandbreite: Ältere OpenWRT-Router können Bandbreitenbeschränkungen haben. Erwäge, deine Hardware bei Bedarf aufzurüsten.

Verbindungsabbrüche


Häufige Verbindungsabbrüche können auf ein Problem mit den Keep-Alive-Einstellungen von WireGuard hinweisen:


  • Keep-Alive: Konfiguriere den PersistentKeepalive-Parameter in deinen Peers, um sicherzustellen, dass die Verbindung aktiv bleibt, auch wenn kein konstanter Datenverkehr vorhanden ist.


Das Vermeiden dieser häufigen Probleme stellt sicher, dass deine VPN-Verbindung stabil und sicher bleibt und deine Privatsphäre beim Surfen in öffentlichen und privaten Netzwerken schützt.


Erweiterte Konfiguration: Optimierung der WireGuard-Leistung auf OpenWRT


Für fortgeschrittene Nutzer kann die Optimierung der WireGuard-Leistung auf OpenWRT einen erheblichen Unterschied in Bezug auf Geschwindigkeit und Sicherheit machen. Hier sind einige erweiterte Konfigurationen, um das Potenzial deines VPNs zu maximieren:


Latenzreduzierung mit MTU (Maximum Transmission Unit)

Durch die Anpassung der MTU können Latenzen reduziert und die Verbindungsstabilität verbessert werden. Die Standardeinstellung ist in der Regel ausreichend, aber in einigen Fällen kann eine manuelle Anpassung Vorteile bringen:


  • Anpassung der MTU: Im WireGuard-Interface auf OpenWRT kannst du die MTU reduzieren, falls du Verzögerungen in der Netzwerkleistung bemerkst. Dabei werden häufig Werte zwischen 1280 und 1420 verwendet.


Diese erweiterten Konfigurationen ermöglichen es WireGuard, auf deinem OpenWRT-Router sowohl Geschwindigkeit als auch Sicherheit zu optimieren.


Fazit


Die Einrichtung von WireGuard auf OpenWRT mag komplex erscheinen, aber mit den richtigen Tools und Konfigurationen kannst du selbst auf leistungsschwachen Routern eine schnelle und sichere VPN-Leistung erreichen. Durch die Befolgung dieser Schritte und Best Practices gewährleistest du den Schutz deiner Online-Privatsphäre und Sicherheit auf allen Geräten.


Wenn du eine einfachere Lösung suchen oder den manuellen Einrichtungsprozess vermeiden möchtest, ist die Shellfire Box die perfekte Wahl. Sie ist vorkonfiguriert, einfach zu bedienen, bietet erstklassige Sicherheit und ermöglicht das Wechseln von VPN-Servern mit nur wenigen Klicks.