WireGuard VPN на OpenWrt и KeeneticOS

[Травыч]

WireGuard VPN на OpenWrt и KeeneticOS​

При использовании Tails частой проблемой становится подключение к сети Tor, поскольку доступ к публичным узлам Tor блокируется на уровне провайдеров, а соединения через obfs4-мосты не так долговечны. Простым решением этой проблемы является настройка VPN-соединения на роутере, к которому подключено устройство с op Tails (а также Whonix и другие системы, настроенные для работы через Tor). Таким образом соединение с Tor будет осуществляться через VPN-туннель (через серверы, находящиеся за пределами РФ). Рассмотрим для примера настройку VPN по протоколу WireGuard на роутере Keenetic и роутере под управлением OpenWRT.

Настройка WireGuard VPN на роутере Keenetic
Вам понадобится файл конфигурации .conf, который необходимо получить у VPN-провайдера, предоставляющего услугу подключения по протоколу WireGuard. Также к роутеру должен быть подключен интернет -- по проводу или через USB-модем.
Для настройки необходимо открыть веб-интерфейс роутера. Предварительно убедитесь что подключены к роутеру LAN-кабелем или по Wi-Fi. По умолчанию для этого в браузере нужно перейти по адресу 192.168.1.1 или my.keenetic.net. Для входа из ОС Tails используйте Небезопасный браузер, т.к. он подключается к роутеру напрямую.
Логин и пароль от веб-интерфейса роутера обычно написаны на наклейке на нижней части устройства. Там же можно найти имя WiFi-сети роутера и пароль от нее.
Перейдите в раздел "Параметры системы" и нажмите кнопку "Изменить набор компонентов".


Найдите компонент "WireGuard VPN" и установите его. После установки роутер будет перезагружен и нужно будет заново войти в его веб-интерфейс.
После этого раздел "WireGuard" появится на странице "Другие подключения"


Далее понадобится файл конфигурации .conf для нужной вам локации. Провайдеры VPN предоставляют такие файлы для каждого из своих серверов, поддерживающих протокол WireGuard.
Важно: этот файл конфигурации нельзя будет использовать на другом устройстве, Для другого устройство понадобится другой файл, например из другой локации.


Нажмите кнопку "Загрузить из файла" и выберите скачанный файл конфигурации .conf. Роутер сообщит об успешном подключении уведомлением "Новая конфигурация была успешно импортирована из файла".


Включите выключатель в начале строки подключения, а также нажмите на саму строку подключения чтобы войти в его настройки. Здесь поставьте галочку "Использовать для выхода в интернет" и нажмите внизу "Сохранить". Зеленый индикатор в разделе "Пир" означает успешное подключение к VPN-серверу.


Далее необходимо установить этому соединению самый высокий приоритет, чтобы весь трафик был защищен VPN-соединением. Для этого перейдите в раздел "Приоритеты подключений" и переместите VPN-подключение так, чтобы оно было над подключением провайдера, в самом верху списка подключений. Сохраните.
Здесь зеленый индикатор также свидетельствует об успешном подключении.


Теперь при необходимости включить или выключить VPN-соединение на роутере нужно просто перевести переключатель в разделе "Другие подключения" -- "WireGuard" в соответствующее положение. После подключения проверьте, что ваш IP-адрес изменился. Это можно сделать, например, открыв в браузере сайт whoer.net или 2ip.ru

Настройка WireGuard VPN на роутере с OpenWRT
Чтобы установить на роутер необходимое ПО для работы с Wireguard подключитесь к нему по SSH и выполните команду

Код:
opkg install wireguard qrencode luci-app-wireguard

1. Открываете веб-панель роутера на OpenWRT и во вкладке Network выбираете пункт Interfaces




2. Нажимаете Add new interface...




3. В Name вписываете любое имя интерфейса, например wg0, в Protocol выбираете WireGuard VPN




4. Нажимаете Create interface




5. Во вкладке General Settings заполняете выделенные поля в соответствии с Вашим конфигруационным файлом Wireguard
Важно: Save надимаете только после того, как заполните поля в других вкладках, как будет показано ниже




6.Во вкладке Firewall Settings в поле custom впишите название новой зоны firewall, например wg0





7. Во вкладке Peers нажмите кнопку Add peer




8. Заполните все выделенные поля в соответствии с вашим конфигурационным файлом, Description можете указать любое.
После заполнения нажмите Save




9. Вы увидите новый интерфейс Wireguard




10. Созданную зону firewall необходимо настроить, для этого перейдите в пункт Firewall во вкладке Network




11. Найдите созданную Вами зону firewall и нажмите Edit




12. Выставите настройки так, как показано на скриншоте ниже




12. Примерно вот так должны выглядить настроенные зоны firewall
Прим.1 Зоны guestzone у Вас может не быть, поэтому не обращайте на неё внимания
Прим.2 Если хотите, чтобы трафик шел только через VPN, то уберите зону wan из Allow forward to destination zones зоны lan, то есть в зоне lan форвардинг должен быть только в зону Вашего VPN




13. Сохраняете все изменения и перезагружаете роутер, после чего VPN должен работать, если всё было настроено корректно