Base di Conoscenza - Aiuto e Supporto

Knowledge Base /Configurazioni VPN manuali/Come configurare Wireguard VPN su OpenWRT: Guida passo passo

Come configurare Wireguard VPN su OpenWRT: Guida passo passo

Last updated: 31 gennaio 2025
  • Aggiornamento gennaio 2025: Adattato alla nuova interfaccia del centro clienti
  • Aggiornamento aprile 2023: Ora è possibile abbreviare un po' il processo di configurazione e scaricare un file di configurazione dal Shellfire Customer Center.


Wireguard VPN sta diventando sempre più popolare tra gli utenti VPN. Wireguard consente velocità di download VPN che prima erano impensabili. Questo è particolarmente vero per i dispositivi che non hanno molta potenza di elaborazione, come il tuo router di casa. Mentre i router VPN spesso erano bloccati con velocità a singola cifra in Mbps, i router potenti possono ora raggiungere anche valori a tre cifre! Wireguard non fa compromessi quando si tratta di sicurezza e utilizza una crittografia avanzata e all'avanguardia.


Attenzione: L'installazione di OpenWRT e Wireguard potrebbe non essere adatta ai principianti. Alcuni comandi potrebbero dover essere inseriti tramite la riga di comando di Linux. Leggi attentamente queste istruzioni prima e poi decidi se sei pronto. Per tutti gli utenti che desiderano godere di una connessione Wireguard VPN senza configurazione manuale, consigliamo la Shellfire Box. Qui, tutto è pre-configurato e puoi anche cambiare il server VPN in qualsiasi momento con pochi clic.


Punti Chiave

  • Scopri come installare WireGuard sul tuo router OpenWRT, configurare il software necessario e generare chiavi crittografiche per una connessione VPN sicura.
  • Esplora opzioni di configurazione avanzate per ottimizzare la velocità della VPN, gestire più peer, regolare le impostazioni MTU e rafforzare la sicurezza attraverso le regole del firewall.
  • Risolvere problemi comuni di connessione e considera l'uso di una soluzione VPN pre-configurata come la Shellfire Box per un'esperienza senza problemi.


Di cosa hai bisogno per installare Wireguard sul tuo router?


Prima di tutto, hai bisogno di un router di casa che funzioni con il sistema operativo gratuito OpenWRT con l'interfaccia LuCI installata. OpenWRT può essere installato su molti router, ma potresti invalidare la garanzia installandolo. Attenzione: Un errore durante l'installazione del firmware OpenWRT potrebbe "bloccare" permanentemente il tuo router! Pertanto, potrebbe valere la pena cercare un router che abbia già OpenWRT pre-installato. È importante avere una versione OpenWRT relativamente recente installata che supporti già Wireguard. Stiamo usando una Shellfire box in questa guida per semplicità, anche se ovviamente non abbiamo effettivamente bisogno di un'installazione manuale di Wireguard qui.


Hai anche bisogno di un server VPN che fornisca l'accesso a Wireguard. Il tuo provider VPN ti fornirà le credenziali necessarie. Utilizzeremo Shellfire VPN qui.


Infine, hai bisogno di un PC con un browser internet e la possibilità di stabilire una connessione SSH (opzionale da aprile 2023). Mac OS e Linux offrono questa possibilità tramite il terminale integrato, su Microsoft Windows usiamo PuTTY per la connessione SSH.


Installazione di Wireguard sul router


Per prima cosa installiamo i pacchetti software Wireguard sul router OpenWRT. Per fare ciò, accedi all'interfaccia web LuCi. Di solito si trova su http://192.168.1.1/, ma alcuni router utilizzano un indirizzo diverso. A seconda della versione di OpenWRT installata, le finestre visualizzate possono apparire leggermente diverse, ma la procedura è la stessa per tutte le versioni. Naviga prima su System -> Software.


Screenshot-from-2023-04-21-15-35-11.png


Ora clicca su "Update lists". OpenWRT cercherà ora i pacchetti software più recenti disponibili.


Screenshot-from-2023-04-21-16-13-10.png


Una volta completato questo processo, cerca il termine "wireguard" e installa i pacchetti "kmod-wireguard", "luci-proto-wireguard" o "luci-app-wireguard" e "wireguard-tools".


Screenshot-from-2023-04-21-15-39-05.png


Una volta completata l'installazione, il passo successivo è creare le chiavi.


Generazione delle Chiavi Wireguard VPN


Aggiornamento aprile 2023: Nel centro clienti su shellfire.net puoi ora trovare un download del file di configurazione. Questo file contiene già tutte le chiavi, quindi non devi generare le tue chiavi. Tuttavia, generare le tue chiavi ha certi vantaggi riguardo alla sicurezza della crittografia.


Wireguard utilizza la cosiddetta crittografia a chiave pubblica. Sia il server VPN che il client generano la propria coppia di chiavi. Una di queste chiavi è pubblica (chiave pubblica), mentre l'altra rimane segreta (chiave privata). Affinché la crittografia funzioni, entrambi i partner devono conoscere le proprie chiavi private e la chiave pubblica dell'altra parte. Il primo passo è creare la coppia di chiavi. Per fare ciò, accediamo al router tramite SSH, come menzionato sopra, tramite Terminale (mac OS / Linux) o tramite PuTTY (Windows). Per accedere tramite SSH, abbiamo bisogno dell'indirizzo IP del router e della password del router. Il nome utente è "root". In alcune circostanze potresti dover abilitare l'accesso SSH nell'interfaccia web del router prima. Quindi, di solito ti connetteresti tramite SSH a 192.168.1.1.


Una volta effettuato l'accesso con successo, creiamo prima la cartella /etc/wireguard e poi ci spostiamo in quella cartella.


mkdir /etc/wireguard
cd /etc/wireguard


Ora generiamo la coppia di chiavi.


wg genkey | tee privkey | wg pubkey > pubkey


Infine, visualizziamo entrambe le chiavi.


cat privkey
cat pubkey


IMPORTANTE: La chiave privata non deve mai finire nelle mani sbagliate! Non appena un attaccante conosce la tua chiave privata, può decrittografare qualsiasi dato crittografato con essa.


Con le nostre chiavi possiamo ora configurare la connessione Wireguard.


Configurare il Client Wireguard VPN


Ora torniamo all'interfaccia web LuCI e navighiamo su Network -> Interfaces. Clicca su "Add new interface".


Screenshot-from-2023-04-21-15-44-49.png


Successivamente, seleziona un nome per la tua connessione come mostrato nello screenshot (qui usiamo "wg0") e specifica "Wireguard VPN" come protocollo.


Screenshot-from-2023-04-21-15-47-04.png


Ora dobbiamo modificare le impostazioni della nuova interfaccia. Inserisci i parametri di connessione che otteniamo dal nostro provider VPN. Nel caso di Shellfire VPN, li troverai dopo aver effettuato l'accesso al centro clienti su shellfire.net e poi selezionando il tuo VPN dalla barra grigia QuickAccess in alto allo schermo. Prima abbiamo bisogno dell'indirizzo IP interno del VPN, dell'indirizzo del server e della chiave pubblica del server VPN. Trasferisci questi dati all'interfaccia web OpenWRT come mostrato nello screenshot.


Screenshot From 2025-01-07 14-31-16.png

Successivamente, trasferisci la chiave privata che hai generato tramite la connessione SSH (o la chiave privata dal tuo file di configurazione VPN scaricato) nel campo "Private Key" (segnato come 1. nello screenshot).


Il passaggio seguente può essere saltato se è stato utilizzato il file di configurazione:


Clicca sul simbolo "Modifica" nel Customer Center (segnato con 2.) e inserisci lì la tua chiave pubblica generata tramite SSH.


Screenshot From 2025-01-24 11-09-54.png


Inserisci 25 come Persistent Keep-Alive.


Attenzione: Vorremmo sottolineare ancora una volta che non dovresti mai divulgare la tua chiave privata.


Se tutti i valori sono corretti, clicca su "Save & Apply". L'interfaccia Wireguard è ora quasi completamente configurata.


Creazione di una zona firewall


Il tuo router ora ha bisogno di una configurazione del firewall. In questo modo sa come gestire i dati che fluiscono attraverso l'interfaccia Wireguard. Clicca nell'interfaccia LuCI di OpenWRT su Network -> Firewall e poi su "Add". Puoi trovare le impostazioni necessarie nello screenshot seguente. Quando hai finito, clicca su "Save & Applay" anche qui.


Screenshot-from-2023-04-21-15-58-39.png


Impostazioni DNS


Il tuo router ora ha bisogno di uno o più server DNS in modo che le query come shellfire.de possano essere tradotte nell'indirizzo IP corrispondente. Puoi fare questa impostazione sotto Network -> DHCP and DNS. Inseriamo gli indirizzi IP 8.8.8.8 (Google DNS) e 208.67.222.222 (OpenDNS) sotto inoltro DNS. Altri servizi DNS sono anche possibili, puoi trovare una panoramica qui. Ancora una volta, clicca su "Save & Apply"


Screenshot-from-2023-04-21-16-01-16.png


Stabilire la connessione Wireguard


Ora tutto dovrebbe essere configurato. Affinché Wireguard funzioni, è di solito necessario riavviare il router. Per fare ciò, puoi riavviare il router sotto System -> Reboot. In alternativa, puoi scollegare il tuo router dall'alimentazione per alcuni secondi e poi ricollegarlo.


Screenshot-from-2023-04-21-16-02-29.png


Dopo il riavvio puoi cliccare su "Connect" sotto Network -> Interfaces accanto alla tua interfaccia wg0. La connessione VPN è ora stabilita!


Verifica della connessione Wireguard VPN


Una volta stabilita la connessione VPN, tutti i dati dovrebbero fluire automaticamente attraverso la VPN. Puoi controllare il tuo stato di protezione su https://www.shellfire.it/status/. Se utilizzi un altro provider VPN, puoi usare siti web come https://www.whatismyip.com/ .


Screenshot-from-2023-04-21-16-08-36.png


Risoluzione dei Problemi Comuni Durante l'Impostazione di WireGuard su OpenWRT


Mentre l'impostazione di WireGuard su OpenWRT è tipicamente semplice, alcuni utenti potrebbero incontrare problemi che ostacolano il corretto funzionamento della loro VPN. Ecco le soluzioni ai problemi più comuni che potresti affrontare:


Errore di Connessione: WireGuard Non Riesce a Connettersi


Se WireGuard non si connette, controlla quanto segue:


  • Configurazione del Firewall: Assicurati che le porte necessarie siano aperte. WireGuard utilizza la porta UDP 51820 per impostazione predefinita, quindi è essenziale consentire il traffico su quella porta.
  • Indirizzi IP Errati: Verifica che gli indirizzi IP assegnati su entrambe le estremità corrispondano alla configurazione del peer. Gli IP configurati in modo errato sono una delle principali cause di errori di connessione.
  • Chiavi Pubbliche/Private Non Corrispondenti: Rivedi le chiavi crittografiche. Se le chiavi pubbliche e private dei peer non corrispondono, WireGuard non sarà in grado di stabilire una connessione sicura.

Problemi di Prestazioni: Connessione Lenta


Alcuni utenti sperimentano velocità più lente del previsto con WireGuard. Per risolvere questo problema:


  • Posizione del Server VPN: Prova a passare a un server VPN più vicino alla tua posizione fisica per ridurre la latenza.
  • Larghezza di Banda Limitata: I router OpenWRT più vecchi potrebbero avere limitazioni di larghezza di banda. Considera l'aggiornamento del tuo hardware se necessario.

Cadute di Connessione


Disconnessioni frequenti possono indicare un problema con le impostazioni di keep-alive di WireGuard:


  • Keep-Alive: Configura il parametro PersistentKeepalive nei tuoi peer per garantire che la connessione rimanga attiva, anche quando non c'è traffico costante.


Affrontare questi problemi comuni assicura che la tua connessione VPN rimanga stabile e sicura, proteggendo la tua privacy mentre navighi su reti pubbliche e private.


Configurazione Avanzata: Ottimizzare le Prestazioni di WireGuard su OpenWRT


Per gli utenti avanzati, ottimizzare le prestazioni di WireGuard su OpenWRT può fare una differenza significativa sia in termini di velocità che di sicurezza. Ecco alcune configurazioni avanzate per aiutarti a massimizzare il potenziale della tua VPN:


Ridurre la Latenza con MTU (Maximum Transmission Unit)


Regolare l'MTU può aiutare a ridurre la latenza e migliorare la stabilità della connessione. L'impostazione predefinita è di solito sufficiente, ma in alcuni casi, regolarla manualmente può offrire benefici:


  • Come Regolare l'MTU: Nell'interfaccia WireGuard su OpenWRT, prova a ridurre l'MTU se noti ritardi nelle prestazioni della rete, regolando tipicamente su valori tra 1280 e 1420.


Queste configurazioni avanzate permettono a WireGuard di operare al massimo delle sue prestazioni sul tuo router OpenWRT, ottimizzando sia la velocità che la sicurezza.


Conclusione


Configurare WireGuard su OpenWRT può sembrare complesso, ma con gli strumenti e la configurazione giusti, puoi sbloccare prestazioni VPN ad alta velocità e sicure anche su router a bassa potenza. Seguendo questi passaggi e le migliori pratiche, garantisci che la tua privacy e sicurezza online siano protette su tutti i tuoi dispositivi.


Se stai cercando una soluzione più semplice o non vuoi affrontare il processo di configurazione manuale, la Shellfire Box è la scelta perfetta. Pre-configurata e facile da usare, offre sicurezza di alto livello e ti permette di cambiare server VPN con pochi clic.