O WireGuard corre nativamente no OpenWrt, o que transforma um único router num gateway VPN para toda a rede ou num servidor de acesso remoto para a tua casa. Este guia configura o WireGuard num router OpenWrt de ponta a ponta em 2026: instalar o pacote e depois duas configurações reais - o OpenWrt como cliente (fazer sair toda a LAN através de um peer remoto) e o OpenWrt como servidor (alcançar a tua rede de casa a partir de qualquer lugar).
Resposta rápida: o OpenWrt pode executar o WireGuard nativamente. Instala o pacote luci-proto-wireguard e depois cria uma interface WireGuard em Network > Interfaces no LuCI. Corre o OpenWrt como cliente para enviar todo o tráfego da LAN por um peer VPN remoto, ou como servidor para dar aos dispositivos remotos acesso à tua rede de casa. A parte difícil raramente são as chaves - é a zona de firewall e o encaminhamento, por isso a maioria dos problemas de "sem handshake" ou "sem internet" resolvem-se aí.

O que precisas antes de começar
- Um router com OpenWrt com flash e RAM livres suficientes para os pacotes WireGuard. Os dispositivos com muito pouca flash (4/32 MB) podem não ter espaço - verifica primeiro o armazenamento livre do teu dispositivo.
- Um peer WireGuard ao qual te ligares. Em modo cliente é o servidor remoto por onde sais; em modo servidor são os dispositivos remotos que se voltarão a ligar. Um servidor auto-hospedado num VPS Contabo é um peer fiável que controlas por completo.
- As chaves e o endpoint do outro lado: em modo cliente, a chave pública do servidor e o seu
host:portaalcançável. Cada peer tem o seu próprio par de chaves - reutilizar uma chave em vários dispositivos quebra o handshake.
Se o protocolo em si é novo para ti, a nossa explicação o que é o WireGuard cobre a criptografia e porque é mais rápido do que o OpenVPN.
Passo 1 - Instalar o suporte a WireGuard
O WireGuard nem sempre vem pré-instalado, por isso adiciona os pacotes. Via SSH:
opkg update
opkg install luci-proto-wireguard wireguard-tools
O luci-proto-wireguard adiciona o protocolo WireGuard à interface web LuCI, e o wireguard-tools dá-te o comando wg para gerar chaves e inspecionar túneis. Também os podes instalar a partir de System > Software no LuCI se preferires a interface gráfica. Depois de instalar, atualiza o LuCI para que o novo protocolo apareça.
Passo 2 - Gerar as chaves
Cada extremidade de um túnel WireGuard tem um par de chaves privada/pública. No OpenWrt, gera uma com o wireguard-tools:
wg genkey | tee privatekey | wg pubkey > publickey
Guarda a chave privada neste router e partilha apenas a chave pública com o outro peer. Se o OpenWrt for o cliente, também vais precisar da chave pública do servidor; se o OpenWrt for o servidor, recolhes a chave pública de cada cliente que se irá ligar.
Caso A - OpenWrt como cliente WireGuard (fazer sair toda a LAN)
Em modo cliente, cada dispositivo da LAN sai através do peer remoto - um túnel completo para toda a rede de casa.
- Cria a interface. No LuCI vai a Network > Interfaces > Add new interface, dá-lhe um nome (ex.
wg0) e escolhe WireGuard VPN como protocolo. - Preenche a interface. Define a Private Key (a chave deste router) e o endereço IP que este router assume dentro do túnel (o endereço atribuído pelo teu servidor, ex.
10.0.0.2/24). - Adiciona o peer. No separador Peers adiciona o servidor: a sua Public Key, Endpoint host e Endpoint port, Allowed IPs =
0.0.0.0/0(e::/0para IPv6) para um túnel completo, e Persistent Keepalive =25para que o caminho sobreviva ao NAT. - Zona de firewall. Atribui a interface
wg0a uma zona de firewall. A configuração funcional mais simples é colocá-la na zona wan (ou uma zona dedicada autorizada a encaminhar a partir da lan e com o masquerading ativo), para que o tráfego da LAN saia em NAT pelo túnel. - DNS. Define o DNS do túnel para o teu servidor ou um resolver de confiança, para que as consultas não vazem de volta para o teu fornecedor.
Quando funciona, o IP público de cada dispositivo da LAN passa a ser o do servidor.
Caso B - OpenWrt como servidor WireGuard (acesso remoto à tua rede de casa)
Em modo servidor, o OpenWrt fica à escuta de ligações de entrada para que o teu telemóvel ou portátil alcance a LAN de casa a partir de qualquer lugar.
- Cria a interface da mesma forma (Network > Interfaces, protocolo WireGuard VPN), dá ao router a sua Private Key e um endereço IP do lado VPN (ex.
10.0.0.1/24), e define uma Listen Port (habitualmente51820). - Abre / encaminha a porta UDP. Permite a porta UDP escolhida em entrada na firewall. Se o OpenWrt estiver atrás de outro modem/router, encaminha essa porta UDP para o equipamento OpenWrt; se o teu fornecedor usar CGNAT, a entrada pode não ser de todo alcançável - vê DNS dinâmico para auto-hospedagem.
- Adiciona cada cliente como peer. Para cada dispositivo remoto adiciona um Peer com a sua Public Key e Allowed IPs definidas para o IP de túnel desse cliente (ex.
10.0.0.2/32). Para que os clientes alcancem toda a LAN de casa, inclui a tua sub-rede LAN (ex.192.168.1.0/24) na configuração do cliente e permite o encaminhamento. - Encaminhamento da firewall. Coloca a interface WireGuard numa zona autorizada a encaminhar para lan, para que os clientes ligados alcancem os dispositivos locais.
Anatomia da configuração
O OpenWrt guarda isto em /etc/config/network, mas a forma reflete uma configuração WireGuard padrão. Aqui está com marcadores explícitos - nunca coles chaves reais tiradas de um guia; cada dispositivo gera as suas:
[Interface]
PrivateKey = <this-router-private-key>
Address = 10.0.0.1/24
ListenPort = 51820
[Peer]
PublicKey = <other-peer-public-key>
Endpoint = <peer-host-or-ip>:51820
AllowedIPs = 10.0.0.2/32
PersistentKeepalive = 25
PrivateKey- a chave secreta deste router, mantida localmente.Address- o IP do router dentro do túnel.ListenPort- só necessária quando o OpenWrt é o servidor.PublicKey- a chave pública do outro peer (a do servidor, em modo cliente).Endpoint- ohost:portaalcançável do peer (só o lado cliente precisa disto para um túnel de saída).AllowedIPs- o que passa pelo túnel:0.0.0.0/0para um túnel completo (cliente), ou uma sub-rede de túnel/LAN específica (servidor).PersistentKeepalive = 25- mantém o caminho ativo atrás do NAT.
Resolução de problemas no OpenWrt
- Sem handshake: quase sempre um problema de firewall - a interface WireGuard não está numa zona, ou a zona não consegue encaminhar. Verifica o Endpoint (host/porta) e que a porta UDP do servidor está aberta; confirma que as chaves públicas correspondem; lembra-te de que um servidor de casa atrás de CGNAT pode ser inalcançável em entrada. Mais detalhes no nosso guia de resolução de problemas de handshake.
- Ligado mas sem internet (modo cliente): a zona WireGuard precisa de masquerading, e o encaminhamento lan -> wg tem de estar permitido; caso contrário o tráfego LAN em NAT não tem saída.
- MTU: o WireGuard usa por predefinição 1420; numa WAN PPPoE, 1412 é um valor que costuma funcionar. Se alguns sites ficam bloqueados, baixa a MTU da interface passo a passo - vê o nosso guia correção de MTU do WireGuard.
- O DNS não se aplica: define o DNS na interface WireGuard (ou distribui-o via firewall/DHCP), para que os clientes da LAN usem o resolver do túnel em vez do do fornecedor.
- Kill-switch: encaminha toda a LAN apenas pela zona WireGuard e bloqueia lan -> wan diretamente, para que o tráfego pare se o túnel cair em vez de vazar pela WAN normal.
Cliente vs servidor num relance
| OpenWrt como cliente | OpenWrt como servidor | |
|---|---|---|
| Objetivo | Fazer sair toda a LAN através de um peer remoto | Deixar dispositivos remotos alcançarem a LAN de casa |
| AllowedIPs | 0.0.0.0/0 (túnel completo) | IP de túnel do cliente + sub-rede LAN |
| Listen port | Não necessária | Necessária (ex. 51820, aberta em entrada) |
| Firewall | zona wg -> wan, masquerade, encaminhar lan->wg | zona wg autorizada a encaminhar para lan |
| Endpoint | Aponta para o servidor remoto | Os clientes apontam para o router OpenWrt |
Conclusão
O OpenWrt torna o WireGuard uma funcionalidade ao nível do router: instala luci-proto-wireguard, cria a interface em Network > Interfaces e escolhe cliente (VPN para toda a LAN) ou servidor (acesso remoto). Quase todas as falhas são a zona de firewall ou o encaminhamento, não as chaves. Para o peer do outro lado, um VPS Contabo a 5,50 EUR/mês corre um servidor WireGuard pessoal que o teu router OpenWrt pode contactar, sem chaves partilhadas e com controlo total.
Guia editorial baseado no comportamento documentado do suporte a WireGuard do OpenWrt (luci-proto-wireguard / LuCI). Os menus exatos variam ligeiramente conforme a versão do OpenWrt. Os links comerciais levam o atributo rel="sponsored nofollow"; uma comissão de afiliação pode aplicar-se sem custo adicional para ti.
★ Datacenter GDPR em Nuremberg · ✓ IPv4 dedicado incluído · 200+ Mbps garantidos
Aloje a sua VPN no seu próprio VPS → ContaboAcesso root completo · IPv4 público · escolha a sua região→