Shellfire

Update April 2023: Es ist nun möglich, den Einrichtungsprozess etwas zu verkürzen und eine Konfigurationsdatei aus dem Shellfire Kundencenter herunterzuladen.

Suchst du nach einer schnellen und sicheren VPN-Verbindung für deinen OpenWRT-Router? Dann könnte WireGuard genau das Richtige für dich sein. Dieses innovative VPN-Protokoll wird immer beliebter und setzt neue Maßstäbe bei der Geschwindigkeit. Vergiss langsame Verbindungen über OpenVPN oder andere Protokolle – mit WireGuard erreichst du dank effizienter Verschlüsselungstechnologie Übertragungsgeschwindigkeiten, die bislang undenkbar waren.

Das Beste daran: Selbst Router mit eingeschränkter Rechenleistung, wie dein Heimrouter, können problemlos profitieren! Während früher viele VPN-Router Schwierigkeiten hatten, über einstellige Mbit/s hinauszukommen, ermöglicht WireGuard heute dreistellige Geschwindigkeiten – das ist ein Gamechanger für VPN-Nutzer.

Das Wichtigste in Kürze

• Wireguard VPN bietet hohe Übertragungsgeschwindigkeiten und starke Verschlüsselung, ideal für Router mit begrenzter Rechenleistung. OpenWRT kann es ermöglichen, Wireguard auf verschiedenen Routern zu nutzen.
• Eine vereinfachte Einrichtung ist nun möglich, indem man eine Konfigurationsdatei aus dem Shellfire-Kundencenter herunterlädt.
• Während der Installation ist Vorsicht geboten, insbesondere bei der Generierung und Verwaltung der Private Keys.

Was benötigst du, um auf deinem Router Wireguard zu installieren?

Du benötigst zunächst einen Heimrouter, auf dem das freie OpenWRT Betriebssystem mit der LuCI Oberfläche installiert ist. OpenWRT lässt sich auf vielen Routern nachträglich installieren, allerdings verlierst du durch die Installation unter Umständen deine Garantieansprüche.

Achtung: Ein Fehler bei der Installation der OpenWRT Firmware kann den Router unter Umständen dauerhaft lahmlegen! Daher lohnt es sich möglicherweise, sich nach einem Router umzusehen, der bereits mit OpenWRT ausgeliefert wird. Es ist wichtig, dass eine relativ aktuelle OpenWRT Version installiert ist, welche bereits Wireguard unterstützt. Wir nutzen in dieser Anleitung der Einfachheit halber eine Shellfire Box, obwohl wir hier natürlich eigentlich keine manuelle Wireguard Installation benötigen.

Weiterhin benötigst du einen VPN Server, der dir einen Wireguard Zugang bietet. Die entsprechenden Zugangsdaten liefert dein VPN Anbieter. Wir nutzen hier Shellfire VPN.

Zuletzt brauchst du noch einen PC mit einem Internetbrowser sowie der Möglichkeit, eine SSH Verbindung herzustellen. Mac OS und Linux bieten diese Möglichkeit über das eingebaute Terminal, unter Microsoft Windows verwenden wir für die SSH Verbindung PuTTY.

Entdecke, wie du eine Wireguard VPN-Verbindung unter Windows einrichten kannst! Folge einfach diesem Link!

Wireguard auf dem Router installieren

Als erstes installieren wir die Wireguard Softwarepakete auf dem OpenWRT Router. Logge dich dazu ins LuCi Webinterface ein, typischerweise findest du dieses unter http://192.168.1.1/ , manche Router verwenden aber auch eine andere Adresse. Je nach installierter OpenWRT Version können die angezeigten Fenster leicht unterschiedlich aussehen, die Vorgehensweise ist aber bei allen Versionen gleich. Navigiere zunächst nach System -> Paketverwaltung.

Klicke nun auf “Listen aktualisieren”. OpenWRT überprüft nun, welches die aktuellsten verfügbaren Softwarepakete sind.

Sobald dieser Prozess durchgelaufen ist, suchen wir nach dem Begriff “wireguard” und installieren die Pakete “kmod-wireguard”, “luci-proto-wireguard” bzw. “luci-app-wireguard” sowie “wireguard-tools”.

Sobald die Installation fertig ist, geht es zunächst ans Erstellen der Schlüssel.

Wireguard VPN Schlüssel generieren

Update April 2023: Im Kundencenter auf shellfire.de findest du nun eine Konfigurationsdatei, die du herunterladen kannst. In dieser Datei sind bereits alle Keys enthalten, so dass du keine eigenen Keys generieren musst. Eigene Keys zu generieren bietet jedoch gewisse Vorteile, was die Sicherheit der Verschlüsselung angeht.

Wireguard setzt auf eine sogenannte Public Key Verschlüsselung. Dabei generieren sowohl der VPN Server als auch der Client jeweils ein eigenes Schlüsselpaar. Einer dieser Schlüssel ist öffentlich (Public Key), während der andere geheim bleibt (Private Key). Damit die Verschlüsselung funktioniert, ist es notwendig, dass beide Partner ihre eigenen Private Keys sowie den Public Key des Gegenübers kennen.

Der erste Schritt ist dabei die Erstellung des Schlüsselpaars. Dazu loggen wir uns per SSH auf den Router ein, wie oben erwähnt entweder übers Terminal (mac OS / Linux) oder über PuTTY (Windows). Um uns über SSH einzuloggen, benötigen wir die IP Adresse des Routers sowie das Routerpasswort. Der Nutzername lautet “root”. Unter Umständen kann es sein, dass du den SSH Zugang im Webinterface des Routers erst aktivieren musst. Typischerweise würdest du dich also per SSH auf 192.168.1.1 verbinden.

Einmal erfolgreich eingeloggt, erstellen wir zunächst den Ordner /etc/wireguard und wechseln dann in diesen Ordner.

mkdir /etc/wireguard
cd /etc/wireguard

Jetzt generieren wir das Schlüsselpaar.

wg genkey | tee privkey | wg pubkey > pubkey

Zuletzt lassen wir uns beide Schlüssel anzeigen.

cat privkey
cat pubkey

WICHTIG: Der Private Key darf niemals in die falschen Hände geraten! Sobald ein Angreifer den Private Key kennt, kann er alle Daten mitlesen.

Mit unseren Schlüsseln können wir nun die Wireguard Verbindung konfigurieren.

Wireguard VPN Cilent konfigurieren

Wir wechseln nun wieder zurück ins LuCI Webinterface und navigieren dort nach Netzwerk -> Schnittstellen. Klicke hier auf “Neue Schnittstelle hinzufügen”.

Als nächstes wählst du wie im Screenshot angezeigt einen Namen für deine Verbindung aus (wir nutzen hier “wg0”) und gibst “Wireguard VPN” als Protokoll an.

Wir gelangen nun in die Einstellungen der neuen Schnittstelle. Dort tragen wir die Verbindungsparameter ein, die wir von unserem VPN Anbieter bekommen. Im Falle von Shellfire VPN findest du diese, nachdem du dich ins Kundencenter auf shellfire.de eingeloggt hast und dann dein VPN aus der grauen QuickAccess Leiste am oberen Bildschirmrand ausgewählt hast.

Wir benötigen zunächst die interne VPN-IP Adresse, die Serveradresse sowie den Public Key des VPN Servers. Diese Daten übertragen wie wie im Screenshot gezeigt ins OpenWRT Webinterface.

Als nächstes, übertrage deinen Private Key, den du über die SSH Verbindung generiert hast, ins Feld “Privater Schlüssel” (im Screenshot mit 1. markiert).

Der folgende Schritt kann übersprungen werden, wenn die Konfigurationsdatei verwendet wurde:

Klicke dann im Kundencenter auf “bearbeiten” (mit 2. markiert) und trage dort deinen über SSH generierten Public Key ein. Als Persistentes Keep-Alive gib 25 ein.

WICHTIG: Wir weisen nochmals darauf hin, dass du niemals deinen Private Key herausgeben darfst. Der Private Key bleibt auf deinem Router und wird nicht ins Shellfire Kundencenter übertragen.

Wenn alle Werte stimmen, klicke auf “Speichern & Anwenden”. Die Wireguard Schnittstelle ist nun schon beinahe fertig konfiguriert.

Firewallzone erstellen

Dein Router benötigt nun noch eine Firewallkonfiguration. Dadurch weiß er, wie er mit den Daten umgehen muss, die über die Wireguard Schnittstelle fließen. Klicke dazu im OpenWRT LuCI Interface auf Netzwerk -> Firewall und dann auf “Hinzufügen”. Die nötigen Einstellungen findest du im folgenden Screenshot. Wenn du fertig bist, klicke auch hier auf “Speichern und Anwenden”.

DNS Einstellungen

Dein Router benötigt nun noch einen oder mehrere DNS Server, damit Anfragen wie z.B. shellfire.de in die entsprechende IP Adresse übersetzt werden können. Diese Einstellung kannst du unter Netzwerk -> DHCP und DNS vornehmen. Wir tragen hier unter DNS-Weiterleitungen die IP Adressen 8.8.8.8 (Google DNS) sowie 208.67.222.222 (OpenDNS) ein. Auch andere DNS Dienste sind möglich, eine Übersicht findest du hier. Auch hier klickst du wieder auf “Speichern & Anwenden”.

Die Wireguard Verbindung herstellen

Es sollte nun alles fertig konfiguriert sein. Damit Wireguard funktioniert, ist in er Regel ein Neustart des Routers notwendig. Dazu kannst du unter System -> Neu starten einen Neustart durchführen. Alternativ kannst du deinen Router auch für einige Sekunden von der Stromversorgung trennen und dann wieder anschließen.

Nach dem Neustart kannst du unter Netzwerk -> Schnittstellen neben deiner wg0 Schnittstelle auf “Verbinden” klicken. Die VPN Verbindung ist nun aufgebaut!

Erfolgreiche Wireguard VPN Verbindung überprüfen

Sobald du die VPN Verbindung aufgebaut hast, sollten alle Daten automatisch durchs VPN fließen. Unter https://www.shellfire.de/status/ kannst du deinen Schutzstatus überprüfen. Solltest du einen anderen VPN Anbieter nutzen, kannst du beispielsweise die Seite https://www.wieistmeineip.de/ verwenden.

Tipps zur Optimierung der Wireguard-Verbindung

Um das Beste aus deiner Wireguard-VPN-Verbindung herauszuholen, solltest du einige grundlegende Schritte beachten:

• Serverstandort wählen: Der Standort des VPN-Servers kann die Geschwindigkeit beeinflussen. Wähle einen Server in deiner Nähe, um Latenzzeiten zu reduzieren.
• Router-Performance optimieren: Achte darauf, dass dein Router leistungsfähig genug ist, um Wireguard ohne Engpässe zu unterstützen. Firmware-Updates können die Leistung verbessern.
• Verbindungstyp überprüfen: Stelle sicher, dass du eine stabile Verbindung zum Internet hast. Verwende nach Möglichkeit ein kabelgebundenes Ethernet-Kabel anstelle von WLAN, um eine bessere Stabilität zu gewährleisten.

Wenn du weitere Fragen zu Wireguard VPN hast, findest du hier weitere Informationen!

Troubleshooting

Das häufigste Problem bei Wireguard Verbindungen ist, dass zwar eine bestehende Verbindung angezeigt wird, aber keine Daten fließen. Meist hängt dies damit zusammen, dass entweder der falsche Public/Private Key übertragen wurde oder eine falsche interne IP Adresse angegeben wurde. Überprüfe also zunächst diese Daten. Bei einem Serverwechsel ändern sich die interne IP und der Key des Servers in der Regel.

Vergleich von WireGuard mit anderen VPN-Protokollen für OpenWRT

Die Wahl des richtigen VPN-Protokolls für OpenWRT kann einen erheblichen Einfluss auf die Sicherheit und Leistung deines Netzwerks haben. Hier findest du einen detaillierten Vergleich der drei meistgenutzten VPN-Protokolle: WireGuard, OpenVPN und IPSec.

WireGuard vs. OpenVPN

• Geschwindigkeit: WireGuard ist für seine hohe Geschwindigkeit bekannt, da es über einen moderneren und schlankeren Code verfügt. Dadurch wird die Latenz reduziert und die allgemeine Geschwindigkeit verbessert. Besonders auf OpenWRT-Routern mit begrenzter Hardware-Ressourcen ist dies ein großer Vorteil.
• Sicherheit: Beide Protokolle bieten eine starke Verschlüsselung, jedoch verfolgt WireGuard einen minimalistischen und statischen Ansatz. OpenVPN gilt schon länger als Branchenstandard und verfügt über erweiterte Sicherheitsoptionen.
• Konfiguration: Die Einrichtung von WireGuard ist einfacher und die Skripte sind benutzerfreundlich. Im Gegensatz dazu kann die Vielfalt an Optionen bei OpenVPN den Konfigurationsprozess etwas komplizierter gestalten, bietet aber auch mehr Flexibilität.

WireGuard vs. IPSec

• Leistung: WireGuard übertrifft IPSec in puncto Geschwindigkeit und Effizienz, da es für eine schlankere und schnellere Arbeitsweise entwickelt wurde. IPSec kann zwar eine gute Geschwindigkeit bieten, beansprucht jedoch in der Regel mehr Ressourcen deines OpenWRT-Routers.
• Sicherheit und Stabilität: IPSec gilt als sehr sicher und hat den Vorteil, mit vielen Systemen kompatibel zu sein. WireGuard hat jedoch aufgrund seiner modernen Sicherheitsansätze und geringeren Angriffsfläche schnell an Beliebtheit gewonnen.
• Kompatibilität: Während IPSec ein weit verbreiteter Standard ist, hat WireGuard in kürzester Zeit eine breite Unterstützung gefunden und wird von den meisten neueren Systemen unterstützt.

Häufige Probleme bei der Einrichtung von WireGuard auf OpenWRT und deren Lösung

Obwohl WireGuard für eine einfache Konfiguration entwickelt wurde, können gelegentlich Probleme auftreten. Hier sind einige häufige Schwierigkeiten und wie du sie beheben kannst:

1. Verbindungsprobleme oder kein Internetzugang

Dieses Problem tritt häufig auf und hängt meist mit fehlerhaften Routen-Einstellungen oder der Firewall-Konfiguration auf OpenWRT zusammen.

Lösung: Überprüfe, ob die Netzwerkrouten korrekt konfiguriert sind und dass die Firewall den WireGuard-Datenverkehr nicht blockiert. Dies lässt sich sowohl über die OpenWRT-Oberfläche als auch über spezifische Befehle feststellen.

2. Authentifizierungsfehler oder falsche Schlüssel

WireGuard verwendet öffentliche und private Schlüssel für die Authentifizierung. Bei Fehlern in diesen Schlüsseln kann die Verbindung nicht hergestellt werden.

Lösung: Überprüfe, ob die öffentlichen und privaten Schlüssel korrekt auf beiden Seiten (Server und Client) konfiguriert sind. Achte darauf, dass der öffentliche Schlüssel einer Seite mit dem privaten Schlüssel der anderen Seite übereinstimmt.

3. Langsame VPN-Verbindung oder Leistungsprobleme

Die Ursache kann eine falsch konfigurierte MTU (Maximum Transmission Unit) oder eine überlastete CPU des Routers sein.

Lösung: Stelle die MTU auf einen optimalen Wert ein, der in der Regel zwischen 1280 und 1420 Bytes liegt. Sollte dein Router überlastet sein, reduziere andere Arbeitslasten, die die VPN-Leistung beeinträchtigen könnten.

Zusätzlicher Tipp: Falls die Probleme weiterhin bestehen, hilft ein Blick in die Fehlerprotokolle von OpenWRT oft dabei, die genaue Ursache zu finden und eine passende Lösung zu erarbeiten.

Optimierung der WireGuard-VPN-Verbindung auf OpenWRT

Um das Beste aus deiner VPN-Verbindung mit WireGuard auf OpenWRT herauszuholen, kannst du einige Optimierungstipps befolgen:

MTU für eine bessere Geschwindigkeit anpassen

Die MTU (Maximum Transmission Unit) bestimmt die maximale Größe der Datenpakete, die über das Netzwerk gesendet werden. Eine falsche MTU kann die Verbindung verlangsamen und zur Fragmentierung führen. Probiere verschiedene Werte zwischen 1280 und 1420 aus, um den besten für dein Netzwerk zu finden. Alle Geräte, die mit dem VPN verbunden sind, sollten die gleiche MTU-Einstellung haben, um eine reibungslose Kommunikation sicherzustellen.

CPU-Auslastung des Routers optimieren

Einige OpenWRT-Router verfügen über Hardwarebeschränkungen, die die VPN-Leistung beeinträchtigen können. Achte darauf, dass keine anderen Prozesse unnötig Ressourcen des Routers verbrauchen. Falls möglich, wähle einen Router mit leistungsstärkerer CPU, um WireGuard effizienter auszuführen.

VPN-Traffic priorisieren

Richte in OpenWRT Traffic-Regeln ein, um den WireGuard-Verkehr gegenüber anderen Datenarten zu priorisieren. Dies gewährleistet, dass VPN-Verbindungen Vorrang im verfügbaren Bandbreite haben und somit Stabilität und Geschwindigkeit verbessert werden.

Fazit

Die Installation von WireGuard auf einem OpenWRT-Router kann zunächst herausfordernd erscheinen, besonders für Anfänger, da die Verwendung der Kommandozeile und manuelle Konfigurationen erforderlich sind. Doch die hohen Geschwindigkeiten und die starke Verschlüsselung, die WireGuard bietet, machen es zu einer lohnenden Option für alle VPN-Nutzer.

Dank der neuen Funktion von Shellfire ist es jetzt noch einfacher, eine vorkonfigurierte Datei herunterzuladen und so den Einrichtungsprozess zu vereinfachen. Beachte jedoch, dass die Installation von OpenWRT die Garantie deines Routers beeinträchtigen kann.

Für alle, die eine einfache, sichere und sofort einsatzbereite Lösung suchen, empfehlen wir die Shellfire Box. Sie ist bereits vorinstalliert und ermöglicht dir das mühelose Wechseln des VPN-Servers mit nur wenigen Klicks. Worauf wartest du? Entdecke noch heute die Vorteile von WireGuard mit OpenWRT und mach dein VPN-Erlebnis sicherer und schneller! Schau jetzt auf Shellfire.de vorbei und entdecke alle Möglichkeiten, wie du dein VPN-Setup optimieren kannst!