Projet

Général

Profil

Historique

VPN »

Wireguard Sur SSID séparé sous OpwnWRT

Configuration de Wireguard sur OpenWRT

But:

  • Routeur OpenWRT configuration standard (ie wan en DHCP, NAT sur le lan)
  • Ajouter un VPN Tetaneutral sur le wan
  • Ajouter un 2e SSID routé dans le VPN

Réalisation:

Résumé de la démarche :

  1. Créer la config VPN - interface wgnet Attention à ne pas router les allowed IPs.
  2. La mettre dans une zone firewall - wgwan
  3. Créer le vlan3
  4. Créer un SSID et le mettre dans un bridge avec le vlan3 (br-ttnn)
  5. Créer la zone firewall wglan
  6. Définir les règles firewall wglan -> wgwan (idem lan->wan)
  7. Via rc.local créer table de routage + règles pour router br-ttn -> wgnet

configuration wireguard wgnet

Dans /etc/config/network

config interface 'wgnet'
    option proto 'wireguard'
    option private_key 'REPLACE_ME'
    list addresses '185.119.170.xxx'
    list addresses '2a03:7220:8087:YY00::1/64'

config wireguard_wgnet
    option public_key 'DsIeOCRs/5uYdi8rLiBzRNmN4zUzKCQRqY3Sbl8NS0A='
    option description 'Tetaneutral'
    option persistent_keepalive '25'
    list allowed_ips '0.0.0.0/0'
    list allowed_ips '::/0'
    option endpoint_host '89.234.156.116'
    option endpoint_port '51820'

zone firewall wgwan

Dans /etc/config/firewall

config zone
    option network 'wgnet'
    option forward 'REJECT'
    option name 'vgwan'
    option output 'ACCEPT'
    option input 'REJECT'
    option masq '1'

création du vlan3

Dans /etc/config/network

config switch_vlan
    option device 'switch0'
    option vlan '3'
    option ports '0t'
    option vid '3'

création d'un SSID tetaneutral.net en bridge avec le vlan3

Dans /etc/config/network

config interface 'ttnn'
    option proto 'static'
    option ip6ifaceid '::1'
    option ipaddr '192.168.42.1'
    option type 'bridge'
    option netmask '255.255.255.0'
    option ifname 'eth1.3'
    option ip6prefix '2a03:7220:8087:XX01::/64'
    list ip6addr '2a03:7220:8087:XX1::1/64'

Dans /etc/config/wireless

config wifi-iface 'wifinet2'
    option device 'radio0'
    option mode 'ap'
    option ssid 'tetaneutral.net'
    option key 'Secret'
    option encryption 'psk2'
    option network 'ttnn'

Dans /etc/config/dhcp

config dhcp 'ttnn'
    option start '100'
    option leasetime '12h'
    option limit '150'
    option interface 'ttnn'
    option ra 'server'
    option dhcpv6 'server'
    option ra_management '1'
    list dns '2a03:7220:8087:XX01::1'

Création de la zone firewall wglan

Dans /etc/network/firewall

config zone
    option network 'ttnn'
    option input 'ACCEPT'
    option name 'wglan'
    option output 'ACCEPT'
    option forward 'ACCEPT'

Définition des règles firewall

Dans /etc/network/firewall

config forwarding
    option dest 'vgwan'
    option src 'wglan'

Routage

Dans /etc/iproute2/rt_tables

10    vpn

Dans /etc/rc.local

sleep 30

ip    route add default dev wgnet table 10
ip -6 route add default dev wgnet table 10

ip    rule add from all iif br-ttnn table 10
ip -6 rule add from all iif br-ttnn table 10

exit 0