===== 26.005 Installatie WireGuard =====

  * **Aangemaakt:** 2025-12-13
  * **Context / Aanleiding:**
    * Van buitenaf was het niet mogelijk interne services te bereiken (die niet direct exposed waren)
    * Ik wilde kinderen van buiten gebruik laten maken van Plex. Dit is eigenlijk een betaalde service, maar kan dmv VPN worden omzeild.
  * **[[resources:metadata:tags:status|Status]]**: {{tag>vastgesteld}}

===== Relaties =====
^ Devices      ^ Services       ^ [[resources:metadata:tags:thema|Tags]]  ^
| [[homelab:devices:zyxel_ex5601-t0|Router: Zyxel EX5601-T0]] | [[homelab:services:wireguard]] \\ [[homelab:services:plex|Plex]]   | {{tag>vlan1 vlan3 vpn}} |

===== Besluit =====

  * **Gekozen optie:** Installatie van WireGuard op de router (niet op NAS). \\ Ook gelijk 2 interfaces zodat de kinderen op vlan3 in kunnen loggen en ik voor beheer op vlan1.
  * **Motivatie:**
    * **Onbeperkte snelheid en onafhankelijkheid** \\ Er zijn alternatieve VPN-clients die gebruik maken van een externe server (SurfShark?). Dat brengt afhankelijkheid (hun server down = thuis niet bereikbaar), kans dat doorgaand verkeer door hen wordt gelogd, en gereduceerde bandbreedte
    * **Te installeren op OpenWRT (via luci)** \\ Zo kan ik heel mijn LAN bereiken (zoals oa de printer) mocht dat een keer nodig zijn 
    * **Nadeel**: wat wat lastiger op te zetten dan alternatieven

===== Gevolgen =====

  * **Technisch:**
    * Impact/overwegingen/eigenschappen mbt (netwerk)configuratie, performance, beheer
  * **Operationeel:**
    * Bij upgrade router risico op opnieuw moeten installeren
  * **Risico’s / aandachtspunten:**
    * 

===== Procedure =====
//Ik heb deze procedure geruime tijd na de eigenlijke installatie opgesteld, dus mogelijk heb ik het anders aangepakt.
//

1 van deze (of combinatie van) instructies gevolgd:
  * [[https://chatgpt.com/c/68b9d32e-c804-8323-b15e-84f1ab40ee05|ChatGPT]]
  * [[https://openwrt.org/docs/guide-user/services/vpn/wireguard/server#luci_web_interface_instructions|openwrt.org]]
  * [[https://dariusz.wieckiewicz.org/en/installing-vpn-server-on-router-openwrt-wireguard/|Dariusz Wieckiewicz]]

Later dit genoteerd:
  - Installeer packages volgens handleiding \\ Hierna waarschijnlijk reboot
  - bij [Network, Interfaces] een nieuwe interface toevoegen
    - Naam
    - Protocol: Wireguard VPN
  - Open de interface en configureer deze
    - Generate new key pair
    - Listen port: bijv. 5182x (met x voor betreffende vlan)
    - IP Addresses: 192.168.1x.1/24 (met x voor betreffende vlan)
    - Tab Firewall Settings: kies de firewallzone waar hij in moet zitten
    - Save
  - Voeg een regel toe bij [Network, Firewall, Traffice rules]
    - Name: Allow-wiregueardVPN-vlanX
    - Protocol: UDP
    - Source zone: wan
    - Source address: laat leeg
    - Source port: laat leeg (any) \\ Let op: de client connect op een random poort. Pas na de handshake wordt de poort gekoppeld
    - Destination zone: Device (input)
    - Destination port:

===== Evaluatie =====

  * **Ervaring:**
    * Wat werkt goed / minder goed
  * **Wanneer herbeoordelen:**
    * Concrete momenten of drempels
  * **Aanleiding voor herziening:**
    * Gebeurtenissen die aanleiding kunnen zijn voor herziening van dit besluit