VPNSmith
self-host-vpnHOWTO

Como configurar o WireGuard num router OpenWrt (cliente e servidor, 2026)

Configura o WireGuard num router OpenWrt em 2026: instala o luci-proto-wireguard e depois configura o OpenWrt como cliente VPN (fazer sair toda a LAN) ou como servidor (acesso remoto à rede de casa). Firewall, DNS, MTU e correções para a falta de handshake incluídas.

Por Eric Gerard · Fundador · VPNSmith - Especialista em VPN auto-hospedada e VPS RGPD8 min de leituraPhoto via Pexels

O WireGuard corre nativamente no OpenWrt, o que transforma um único router num gateway VPN para toda a rede ou num servidor de acesso remoto para a tua casa. Este guia configura o WireGuard num router OpenWrt de ponta a ponta em 2026: instalar o pacote e depois duas configurações reais - o OpenWrt como cliente (fazer sair toda a LAN através de um peer remoto) e o OpenWrt como servidor (alcançar a tua rede de casa a partir de qualquer lugar).

Resposta rápida: o OpenWrt pode executar o WireGuard nativamente. Instala o pacote luci-proto-wireguard e depois cria uma interface WireGuard em Network > Interfaces no LuCI. Corre o OpenWrt como cliente para enviar todo o tráfego da LAN por um peer VPN remoto, ou como servidor para dar aos dispositivos remotos acesso à tua rede de casa. A parte difícil raramente são as chaves - é a zona de firewall e o encaminhamento, por isso a maioria dos problemas de "sem handshake" ou "sem internet" resolvem-se aí.

Cabos de rede de fibra ótica turquesa ligados às portas de um switch de rack
Cabos de rede de fibra ótica turquesa ligados às portas de um switch de rack

O que precisas antes de começar

  • Um router com OpenWrt com flash e RAM livres suficientes para os pacotes WireGuard. Os dispositivos com muito pouca flash (4/32 MB) podem não ter espaço - verifica primeiro o armazenamento livre do teu dispositivo.
  • Um peer WireGuard ao qual te ligares. Em modo cliente é o servidor remoto por onde sais; em modo servidor são os dispositivos remotos que se voltarão a ligar. Um servidor auto-hospedado num VPS Contabo é um peer fiável que controlas por completo.
  • As chaves e o endpoint do outro lado: em modo cliente, a chave pública do servidor e o seu host:porta alcançável. Cada peer tem o seu próprio par de chaves - reutilizar uma chave em vários dispositivos quebra o handshake.

Se o protocolo em si é novo para ti, a nossa explicação o que é o WireGuard cobre a criptografia e porque é mais rápido do que o OpenVPN.

Passo 1 - Instalar o suporte a WireGuard

O WireGuard nem sempre vem pré-instalado, por isso adiciona os pacotes. Via SSH:

opkg update
opkg install luci-proto-wireguard wireguard-tools

O luci-proto-wireguard adiciona o protocolo WireGuard à interface web LuCI, e o wireguard-tools dá-te o comando wg para gerar chaves e inspecionar túneis. Também os podes instalar a partir de System > Software no LuCI se preferires a interface gráfica. Depois de instalar, atualiza o LuCI para que o novo protocolo apareça.

Passo 2 - Gerar as chaves

Cada extremidade de um túnel WireGuard tem um par de chaves privada/pública. No OpenWrt, gera uma com o wireguard-tools:

wg genkey | tee privatekey | wg pubkey > publickey

Guarda a chave privada neste router e partilha apenas a chave pública com o outro peer. Se o OpenWrt for o cliente, também vais precisar da chave pública do servidor; se o OpenWrt for o servidor, recolhes a chave pública de cada cliente que se irá ligar.

Caso A - OpenWrt como cliente WireGuard (fazer sair toda a LAN)

Em modo cliente, cada dispositivo da LAN sai através do peer remoto - um túnel completo para toda a rede de casa.

  1. Cria a interface. No LuCI vai a Network > Interfaces > Add new interface, dá-lhe um nome (ex. wg0) e escolhe WireGuard VPN como protocolo.
  2. Preenche a interface. Define a Private Key (a chave deste router) e o endereço IP que este router assume dentro do túnel (o endereço atribuído pelo teu servidor, ex. 10.0.0.2/24).
  3. Adiciona o peer. No separador Peers adiciona o servidor: a sua Public Key, Endpoint host e Endpoint port, Allowed IPs = 0.0.0.0/0 (e ::/0 para IPv6) para um túnel completo, e Persistent Keepalive = 25 para que o caminho sobreviva ao NAT.
  4. Zona de firewall. Atribui a interface wg0 a uma zona de firewall. A configuração funcional mais simples é colocá-la na zona wan (ou uma zona dedicada autorizada a encaminhar a partir da lan e com o masquerading ativo), para que o tráfego da LAN saia em NAT pelo túnel.
  5. DNS. Define o DNS do túnel para o teu servidor ou um resolver de confiança, para que as consultas não vazem de volta para o teu fornecedor.

Quando funciona, o IP público de cada dispositivo da LAN passa a ser o do servidor.

Um router Wi-Fi branco com duas antenas e um cabo Ethernet azul ligado à sua porta LAN
Um router Wi-Fi branco com duas antenas e um cabo Ethernet azul ligado à sua porta LAN

Caso B - OpenWrt como servidor WireGuard (acesso remoto à tua rede de casa)

Em modo servidor, o OpenWrt fica à escuta de ligações de entrada para que o teu telemóvel ou portátil alcance a LAN de casa a partir de qualquer lugar.

  1. Cria a interface da mesma forma (Network > Interfaces, protocolo WireGuard VPN), dá ao router a sua Private Key e um endereço IP do lado VPN (ex. 10.0.0.1/24), e define uma Listen Port (habitualmente 51820).
  2. Abre / encaminha a porta UDP. Permite a porta UDP escolhida em entrada na firewall. Se o OpenWrt estiver atrás de outro modem/router, encaminha essa porta UDP para o equipamento OpenWrt; se o teu fornecedor usar CGNAT, a entrada pode não ser de todo alcançável - vê DNS dinâmico para auto-hospedagem.
  3. Adiciona cada cliente como peer. Para cada dispositivo remoto adiciona um Peer com a sua Public Key e Allowed IPs definidas para o IP de túnel desse cliente (ex. 10.0.0.2/32). Para que os clientes alcancem toda a LAN de casa, inclui a tua sub-rede LAN (ex. 192.168.1.0/24) na configuração do cliente e permite o encaminhamento.
  4. Encaminhamento da firewall. Coloca a interface WireGuard numa zona autorizada a encaminhar para lan, para que os clientes ligados alcancem os dispositivos locais.

Anatomia da configuração

O OpenWrt guarda isto em /etc/config/network, mas a forma reflete uma configuração WireGuard padrão. Aqui está com marcadores explícitos - nunca coles chaves reais tiradas de um guia; cada dispositivo gera as suas:

[Interface]
PrivateKey = <this-router-private-key>
Address = 10.0.0.1/24
ListenPort = 51820

[Peer]
PublicKey = <other-peer-public-key>
Endpoint = <peer-host-or-ip>:51820
AllowedIPs = 10.0.0.2/32
PersistentKeepalive = 25
  • PrivateKey - a chave secreta deste router, mantida localmente.
  • Address - o IP do router dentro do túnel.
  • ListenPort - só necessária quando o OpenWrt é o servidor.
  • PublicKey - a chave pública do outro peer (a do servidor, em modo cliente).
  • Endpoint - o host:porta alcançável do peer (só o lado cliente precisa disto para um túnel de saída).
  • AllowedIPs - o que passa pelo túnel: 0.0.0.0/0 para um túnel completo (cliente), ou uma sub-rede de túnel/LAN específica (servidor).
  • PersistentKeepalive = 25 - mantém o caminho ativo atrás do NAT.

Resolução de problemas no OpenWrt

  • Sem handshake: quase sempre um problema de firewall - a interface WireGuard não está numa zona, ou a zona não consegue encaminhar. Verifica o Endpoint (host/porta) e que a porta UDP do servidor está aberta; confirma que as chaves públicas correspondem; lembra-te de que um servidor de casa atrás de CGNAT pode ser inalcançável em entrada. Mais detalhes no nosso guia de resolução de problemas de handshake.
  • Ligado mas sem internet (modo cliente): a zona WireGuard precisa de masquerading, e o encaminhamento lan -> wg tem de estar permitido; caso contrário o tráfego LAN em NAT não tem saída.
  • MTU: o WireGuard usa por predefinição 1420; numa WAN PPPoE, 1412 é um valor que costuma funcionar. Se alguns sites ficam bloqueados, baixa a MTU da interface passo a passo - vê o nosso guia correção de MTU do WireGuard.
  • O DNS não se aplica: define o DNS na interface WireGuard (ou distribui-o via firewall/DHCP), para que os clientes da LAN usem o resolver do túnel em vez do do fornecedor.
  • Kill-switch: encaminha toda a LAN apenas pela zona WireGuard e bloqueia lan -> wan diretamente, para que o tráfego pare se o túnel cair em vez de vazar pela WAN normal.

Cliente vs servidor num relance

OpenWrt como clienteOpenWrt como servidor
ObjetivoFazer sair toda a LAN através de um peer remotoDeixar dispositivos remotos alcançarem a LAN de casa
AllowedIPs0.0.0.0/0 (túnel completo)IP de túnel do cliente + sub-rede LAN
Listen portNão necessáriaNecessária (ex. 51820, aberta em entrada)
Firewallzona wg -> wan, masquerade, encaminhar lan->wgzona wg autorizada a encaminhar para lan
EndpointAponta para o servidor remotoOs clientes apontam para o router OpenWrt

Conclusão

O OpenWrt torna o WireGuard uma funcionalidade ao nível do router: instala luci-proto-wireguard, cria a interface em Network > Interfaces e escolhe cliente (VPN para toda a LAN) ou servidor (acesso remoto). Quase todas as falhas são a zona de firewall ou o encaminhamento, não as chaves. Para o peer do outro lado, um VPS Contabo a 5,50 EUR/mês corre um servidor WireGuard pessoal que o teu router OpenWrt pode contactar, sem chaves partilhadas e com controlo total.

Guia editorial baseado no comportamento documentado do suporte a WireGuard do OpenWrt (luci-proto-wireguard / LuCI). Os menus exatos variam ligeiramente conforme a versão do OpenWrt. Os links comerciais levam o atributo rel="sponsored nofollow"; uma comissão de afiliação pode aplicar-se sem custo adicional para ti.

★ Datacenter GDPR em Nuremberg · ✓ IPv4 dedicado incluído · 200+ Mbps garantidos

Aloje a sua VPN no seu próprio VPS → ContaboAcesso root completo · IPv4 público · escolha a sua região

Perguntas frequentes

O OpenWrt consegue executar o WireGuard?
Sim. O OpenWrt suporta o WireGuard através do módulo do kernel e do pacote luci-proto-wireguard, que adiciona uma opção de protocolo WireGuard à interface web LuCI. Depois de o instalar, crias uma interface WireGuard em Network > Interfaces como qualquer outra ligação. O OpenWrt pode funcionar como cliente WireGuard (fazendo sair todo o tráfego da LAN através de um peer remoto) ou como servidor WireGuard (deixando dispositivos remotos alcançarem a tua rede de casa). Precisas de flash e RAM livres suficientes para o pacote e de um peer ao qual te ligares - um servidor auto-hospedado ou um fornecedor.
Modo cliente ou servidor no OpenWrt - qual preciso?
Depende da direção do tráfego. Usa o modo cliente quando queres que cada dispositivo da rede de casa saia através de um peer WireGuard remoto - por exemplo, para encaminhar toda a LAN por um servidor VPN que controlas num VPS. Usa o modo servidor quando queres alcançar a tua rede de casa a partir do exterior - telemóveis ou portáteis em viagem que se voltam a ligar para aceder à tua LAN, NAS ou serviços locais. A configuração do OpenWrt é semelhante nos dois casos; a diferença está em que lado inicia o handshake e no que AllowedIPs abrange.
Porque não há handshake no OpenWrt?
Um 'Latest handshake' em branco significa que os dois peers nunca se autenticaram. No OpenWrt as causas habituais estão ligadas à firewall: a interface WireGuard não está atribuída a uma zona de firewall, ou a zona não tem permissão para encaminhar para wan/lan. Outras causas são um Endpoint ou porta UDP errados, a porta do servidor não aberta, uma chave pública que não corresponde, ou o CGNAT do teu fornecedor a bloquear o UDP de entrada para um servidor de casa. O WireGuard permanece silencioso perante pacotes não autenticados, portanto não há erro - verifica a zona de firewall, as chaves e a porta alcançável.
Que MTU deve o WireGuard usar no OpenWrt?
A MTU predefinida do WireGuard é 1420. Em muitos routers OpenWrt a WAN usa PPPoE, que tem menos margem de overhead, por isso uma MTU WireGuard de 1412 é ali um valor que costuma funcionar; numa WAN Ethernet simples 1420 costuma servir. Se alguns sites carregam e outros ficam bloqueados, é um sintoma clássico de MTU - baixa a MTU da interface aos poucos até as páginas grandes e os downloads funcionarem, e combina isso com o MSS clamping se a tua firewall o oferecer.