Base de Connaissances - Aide & Support

Knowledge Base /Configurations VPN manuelles/Comment configurer Wireguard VPN sur OpenWRT : Guide étape par étape

Comment configurer Wireguard VPN sur OpenWRT : Guide étape par étape

Last updated: 31 janvier 2025
  • Mise à jour janvier 2025 : Adapté à la nouvelle interface du centre client
  • Mise à jour avril 2023 : Il est maintenant possible de raccourcir un peu le processus d'installation et de télécharger un fichier de configuration depuis le Shellfire Customer Center.


Wireguard VPN devient de plus en plus populaire parmi les utilisateurs de VPN. Wireguard permet des vitesses de téléchargement VPN qui étaient auparavant inimaginables. C'est particulièrement vrai pour les appareils qui n'ont pas beaucoup de puissance de traitement, comme ton routeur domestique. Alors que les routeurs VPN étaient souvent limités à des vitesses en Mbps à un chiffre, les routeurs puissants peuvent désormais atteindre des valeurs à trois chiffres ! Wireguard ne fait aucun compromis en matière de sécurité et utilise un chiffrement de pointe très puissant.


Attention : L'installation d'OpenWRT et de Wireguard peut ne pas convenir aux débutants. Certaines commandes peuvent devoir être saisies via la ligne de commande Linux. Lis attentivement ces instructions d'abord, puis décide si tu es prêt à te lancer. Pour tous les utilisateurs qui souhaitent profiter d'une connexion Wireguard VPN sans configuration manuelle, nous recommandons la Shellfire Box. Ici, tout est préconfiguré et tu peux même changer de serveur VPN à tout moment en quelques clics.


Points Clés

  • Apprends à installer WireGuard sur ton routeur OpenWRT, à configurer le logiciel nécessaire et à générer des clés cryptographiques pour une connexion VPN sécurisée.
  • Explore des options de configuration avancées pour optimiser la vitesse du VPN, gérer plusieurs pairs, ajuster les paramètres MTU et renforcer la sécurité grâce aux règles de pare-feu.
  • Résous les problèmes de connexion courants et envisage d'utiliser une solution VPN préconfigurée comme la Shellfire Box pour une expérience sans tracas.


De quoi as-tu besoin pour installer Wireguard sur ton routeur ?


Tout d'abord, tu as besoin d'un routeur domestique qui fonctionne avec le système d'exploitation gratuit OpenWRT avec l'interface LuCI installée. OpenWRT peut être installé sur de nombreux routeurs, mais tu pourrais annuler ta garantie en l'installant. Attention : Une erreur lors de l'installation du firmware OpenWRT peut "briquer" ton routeur de façon permanente ! Par conséquent, il peut être judicieux de chercher un routeur qui vient déjà avec OpenWRT préinstallé. Il est important d'avoir une version relativement récente d'OpenWRT installée qui supporte déjà Wireguard. Nous utilisons une Shellfire Box dans ce guide pour simplifier les choses, bien que nous n'ayons pas réellement besoin d'une installation manuelle de Wireguard ici.


Tu as également besoin d'un serveur VPN qui fournit un accès Wireguard. Ton fournisseur de VPN te fournira les identifiants nécessaires. Nous utiliserons Shellfire VPN ici.


Enfin, tu as besoin d'un PC avec un navigateur internet et la possibilité d'établir une connexion SSH (optionnel depuis avril 2023). Mac OS et Linux offrent cette possibilité via le terminal intégré, sous Microsoft Windows nous utilisons PuTTY pour la connexion SSH.


Installation de Wireguard sur le routeur


Tout d'abord, nous installons les paquets logiciels Wireguard sur le routeur OpenWRT. Pour ce faire, connecte-toi à l'interface web LuCI. Elle se trouve généralement à l'adresse http://192.168.1.1/, mais certains routeurs utilisent une adresse différente. Selon la version d'OpenWRT installée, les fenêtres affichées peuvent sembler légèrement différentes, mais la procédure est la même pour toutes les versions. Navigue d'abord vers Système -> Logiciels.


Screenshot-from-2023-04-21-15-35-11.png


Maintenant, clique sur "Mettre à jour les listes". OpenWRT va maintenant rechercher les derniers paquets logiciels disponibles.


Screenshot-from-2023-04-21-16-13-10.png


Une fois ce processus terminé, recherche le terme "wireguard" et installe les paquets "kmod-wireguard", "luci-proto-wireguard" ou "luci-app-wireguard" et "wireguard-tools".


Screenshot-from-2023-04-21-15-39-05.png


Une fois l'installation terminée, l'étape suivante consiste à créer les clés.


Génération des clés Wireguard VPN


Mise à jour avril 2023 : Dans le centre client sur shellfire.net, tu peux maintenant trouver un téléchargement de fichier de configuration. Ce fichier contient déjà toutes les clés, donc tu n'as pas besoin de générer tes propres clés. Cependant, générer tes propres clés présente certains avantages en ce qui concerne la sécurité du chiffrement.


Wireguard utilise ce qu'on appelle le chiffrement à clé publique. Le serveur VPN et le client génèrent chacun leur propre paire de clés. L'une de ces clés est publique (clé publique), tandis que l'autre reste secrète (clé privée). Pour que le chiffrement fonctionne, les deux partenaires doivent connaître leurs propres clés privées ainsi que la clé publique de l'autre partie. La première étape consiste à créer la paire de clés. Pour ce faire, nous nous connectons au routeur via SSH, comme mentionné ci-dessus, soit via Terminal (mac OS / Linux) soit via PuTTY (Windows). Pour se connecter via SSH, nous avons besoin de l'adresse IP du routeur et du mot de passe du routeur. Le nom d'utilisateur est "root". Dans certaines circonstances, tu pourrais avoir besoin d'activer l'accès SSH dans l'interface web du routeur d'abord. Donc, typiquement, tu te connecterais via SSH à 192.168.1.1.


Une fois connecté avec succès, nous créons d'abord le dossier /etc/wireguard puis nous changeons de dossier.


mkdir /etc/wireguard


cd /etc/wireguard


Maintenant, nous générons la paire de clés.


wg genkey | tee privkey | wg pubkey > pubkey


Enfin, nous affichons les deux clés.


cat privkey


cat pubkey


IMPORTANT : La clé privée ne doit jamais tomber entre de mauvaises mains ! Dès qu'un attaquant connaît ta clé privée, il peut déchiffrer toutes les données chiffrées avec elle.


Avec nos clés, nous pouvons maintenant configurer la connexion Wireguard.


Configurer le client Wireguard VPN


Nous revenons maintenant à l'interface web LuCI et naviguons vers Réseau -> Interfaces. Clique sur "Ajouter une nouvelle interface".


Screenshot-from-2023-04-21-15-44-49.png


Ensuite, sélectionne un nom pour ta connexion comme indiqué dans la capture d'écran (nous utilisons "wg0" ici) et spécifie "Wireguard VPN" comme protocole.


Screenshot-from-2023-04-21-15-47-04.png


Nous devons maintenant modifier les paramètres de la nouvelle interface. Saisis les paramètres de connexion que nous obtenons de notre fournisseur de VPN. Dans le cas de Shellfire VPN, tu les trouveras après t'être connecté au centre client sur shellfire.net, puis en sélectionnant ton VPN dans la barre grise QuickAccess en haut de l'écran. D'abord, nous avons besoin de l'adresse IP interne du VPN, de l'adresse du serveur et de la clé publique du serveur VPN. Transfère ces données à l'interface web OpenWRT comme indiqué dans la capture d'écran.


Screenshot From 2025-01-07 14-31-16.png

Ensuite, transfère la clé privée que tu as générée via la connexion SSH (ou la clé privée de ton fichier de configuration VPN téléchargé) dans le champ "Private Key" (marqué comme 1. dans la capture d'écran).


L'étape suivante peut être ignorée si le fichier de configuration a été utilisé :


Clique sur le symbole "Modifier" dans le Centre Client (marqué avec 2.) et saisis ta clé publique générée via SSH là-bas.


Screenshot From 2025-01-24 11-09-54.png


Saisis 25 comme Persistent Keep-Alive.


Attention : Nous tenons à rappeler une fois de plus que tu ne devrais jamais donner ta clé privée.


Si toutes les valeurs sont correctes, clique sur "Save & Apply". L'interface Wireguard est maintenant presque complètement configurée.


Création d'une zone de pare-feu


Ton routeur a maintenant besoin d'une configuration de pare-feu. De cette façon, il sait comment gérer les données circulant à travers l'interface Wireguard. Clique dans l'interface LuCI d'OpenWRT sur Réseau -> Pare-feu puis sur "Ajouter". Tu peux trouver les paramètres nécessaires dans la capture d'écran suivante. Lorsque tu as terminé, clique également sur "Enregistrer et Appliquer" ici.


Screenshot-from-2023-04-21-15-58-39.png


Paramètres DNS


Ton routeur a maintenant besoin d'un ou plusieurs serveurs DNS pour que les requêtes telles que shellfire.de puissent être traduites en l'adresse IP correspondante. Tu peux faire ce réglage sous Network -> DHCP and DNS. Nous saisissons les adresses IP 8.8.8.8 (Google DNS) et 208.67.222.222 (OpenDNS) sous redirection DNS. D'autres services DNS sont également possibles, tu peux trouver un aperçu ici. Encore une fois, clique sur "Enregistrer & Appliquer"


Screenshot-from-2023-04-21-16-01-16.png


Établir la connexion Wireguard


Tout devrait maintenant être configuré. Pour que Wireguard fonctionne, il est généralement nécessaire de redémarrer le routeur. Pour ce faire, tu peux redémarrer le routeur sous Système -> Redémarrer. Alternativement, tu peux déconnecter ton routeur de l'alimentation pendant quelques secondes puis le reconnecter.


Screenshot-from-2023-04-21-16-02-29.png


Après le redémarrage, tu peux cliquer sur "Connecter" sous Réseau -> Interfaces à côté de ton interface wg0. La connexion VPN est maintenant établie !


Vérification de la connexion Wireguard VPN


Une fois que tu as établi la connexion VPN, toutes les données devraient automatiquement passer par le VPN. Tu peux vérifier ton statut de protection sur https://www.shellfire.net/status/. Si tu utilises un autre fournisseur de VPN, tu peux utiliser des sites web comme https://www.whatismyip.com/.


Screenshot-from-2023-04-21-16-08-36.png


Résolution des problèmes courants lors de la configuration de WireGuard sur OpenWRT


Bien que la configuration de WireGuard sur OpenWRT soit généralement simple, certains utilisateurs peuvent rencontrer des problèmes qui entravent le bon fonctionnement de leur VPN. Voici des solutions aux problèmes les plus courants que tu pourrais rencontrer :


Erreur de connexion : WireGuard ne parvient pas à se connecter


Si WireGuard ne se connecte pas, vérifie les points suivants :


  • Configuration du pare-feu : Assure-toi que les ports nécessaires sont ouverts. WireGuard utilise le port UDP 51820 par défaut, il est donc essentiel d'autoriser le trafic sur ce port.
  • Adresses IP incorrectes : Vérifie que les adresses IP attribuées aux deux extrémités correspondent à la configuration des pairs. Les IP mal configurées sont l'une des principales causes d'erreurs de connexion.
  • Clés publiques/privées non correspondantes : Vérifie les clés cryptographiques. Si les clés publiques et privées des pairs ne correspondent pas, WireGuard ne pourra pas établir une connexion sécurisée.

Problèmes de performance : Connexion lente


Certains utilisateurs constatent des vitesses plus lentes que prévu avec WireGuard. Pour résoudre ce problème :


  • Emplacement du serveur VPN : Essaie de passer à un serveur VPN plus proche de ta localisation physique pour réduire la latence.
  • Bande passante limitée : Les anciens routeurs OpenWRT peuvent avoir des limitations de bande passante. Envisage de mettre à niveau ton matériel si nécessaire.

Déconnexions fréquentes


Des déconnexions fréquentes peuvent indiquer un problème avec les paramètres de maintien en vie de WireGuard :


  • Keep-Alive : Configure le paramètre PersistentKeepalive dans tes pairs pour garantir que la connexion reste active, même lorsqu'il n'y a pas de trafic constant.


En résolvant ces problèmes courants, tu t'assures que ta connexion VPN reste stable et sécurisée, protégeant ta vie privée lors de la navigation sur les réseaux publics et privés.


Configuration avancée : Optimisation des performances de WireGuard sur OpenWRT


Pour les utilisateurs avancés, optimiser les performances de WireGuard sur OpenWRT peut faire une différence significative en termes de vitesse et de sécurité. Voici quelques configurations avancées pour maximiser le potentiel de ton VPN :


Réduction de la latence avec le MTU (Unité de Transmission Maximale)


Ajuster le MTU peut aider à réduire la latence et à améliorer la stabilité de la connexion. Le paramètre par défaut est généralement suffisant, mais dans certains cas, un réglage manuel peut apporter des avantages.


  • Comment ajuster le MTU : Dans l’interface WireGuard sur OpenWRT, essaye de réduire le MTU si tu remarques des ralentissements dans les performances réseau. En général, les valeurs optimales se situent entre 1280 et 1420.


Ces configurations avancées permettent à WireGuard d’atteindre des performances optimales sur ton routeur OpenWRT, améliorant à la fois la vitesse et la sécurité.


Conclusion

Configurer WireGuard sur OpenWRT peut sembler complexe, mais avec les bons outils et paramètres, tu epux obtenir des performances VPN rapides et sécurisées, même sur des routeurs peu puissants. En suivant ces étapes et bonnes pratiques, tu peux atteindre la protection de ta vie privée et de ta sécurité en ligne sur tous tes appareils.
Si tu recherche une solution plus simple ou ne souhaites pas effectuer la configuration manuelle, la Shellfire Box est un excellent choix. Préconfigurée et facile à utiliser, elle offre une sécurité de premier ordre et permet de changer de serveur VPN en quelques clics.