• Aangemaakt: 2025-12-13
• Context / Aanleiding:
  • Van buitenaf was het niet mogelijk interne services te bereiken (die niet direct exposed waren)
  • Ik wilde kinderen van buiten gebruik laten maken van Plex. Dit is eigenlijk een betaalde service, maar kan dmv VPN worden omzeild.
• Status:

  vastgesteld

• Gekozen optie: Installatie van WireGuard op de router (niet op NAS).
  Ook gelijk 2 interfaces zodat de kinderen op vlan3 in kunnen loggen en ik voor beheer op vlan1.
• Motivatie:
  • Onbeperkte snelheid en onafhankelijkheid
    Er zijn alternatieve VPN-clients die gebruik maken van een externe server (SurfShark?). Dat brengt afhankelijkheid (hun server down = thuis niet bereikbaar), kans dat doorgaand verkeer door hen wordt gelogd, en gereduceerde bandbreedte
  • Te installeren op OpenWRT (via luci)
    Zo kan ik heel mijn LAN bereiken (zoals oa de printer) mocht dat een keer nodig zijn
  • Nadeel: wat wat lastiger op te zetten dan alternatieven

• Technisch:
  • Impact/overwegingen/eigenschappen mbt (netwerk)configuratie, performance, beheer
• Operationeel:
  • Bij upgrade router risico op opnieuw moeten installeren
• Risico’s / aandachtspunten:

Ik heb deze procedure geruime tijd na de eigenlijke installatie opgesteld, dus mogelijk heb ik het anders aangepakt.

1 van deze (of combinatie van) instructies gevolgd:

• ChatGPT
• openwrt.org
• Dariusz Wieckiewicz

Later dit genoteerd:

1. Installeer packages volgens handleiding
   Hierna waarschijnlijk reboot
2. bij [Network, Interfaces] een nieuwe interface toevoegen
   1. Naam
   2. Protocol: Wireguard VPN
3. Open de interface en configureer deze
   1. Generate new key pair
   2. Listen port: bijv. 5182x (met x voor betreffende vlan)
   3. IP Addresses: 192.168.1x.1/24 (met x voor betreffende vlan)
   4. Tab Firewall Settings: kies de firewallzone waar hij in moet zitten
   5. Save
4. Voeg een regel toe bij [Network, Firewall, Traffice rules]
   1. Name: Allow-wiregueardVPN-vlanX
   2. Protocol: UDP
   3. Source zone: wan
   4. Source address: laat leeg
   5. Source port: laat leeg (any)
      Let op: de client connect op een random poort. Pas na de handshake wordt de poort gekoppeld
   6. Destination zone: Device (input)
   7. Destination port:

• Ervaring:
  • Wat werkt goed / minder goed
• Wanneer herbeoordelen:
  • Concrete momenten of drempels
• Aanleiding voor herziening:
  • Gebeurtenissen die aanleiding kunnen zijn voor herziening van dit besluit