Sujet Précédent Sujet Suivant

Wireguard

Fermé
UnLabrador Messages postés 66 Date d'inscription vendredi 1 mai 2020 Statut Membre Dernière intervention 26 janvier 2022 - 22 janv. 2022 à 14:39
brupala Messages postés 109443 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 23 avril 2024 - 26 janv. 2022 à 18:07
Bonjour,
J'ai récemment mis en place un vpn wireguard pour pouvoir accéder à mon réseau local en itinérance et faire passer tout mon trafic par le vpn.

Mon architecture est la suivante : PC > VPN sur vm proxmox > réseau local + internet

Mon serveur wireguard est en 10.0.20.1 et mon PC en 10.0.20.2
Le réseau local auquel je veux accéder est en 10.0.0.X

Je rencontre deux problèmes : j'arrive bien à pinger le serveur wireguard depuis mon pc mais je ne peux pas accéder au reste du réseau local et je ne peux pas accéder à internet.
J'ai bien activé le forwad des interfaces.

Voici mon fichier de configuration niveau serveur :

[Interface]
PrivateKey = MaCléPrivéeServeur
Address = 10.0.20.1/24
ListenPort = MonPortPersonnalisé
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o et>PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o >

[Peer]
#PC
PublicKey = MaCléPubliquePC
AllowedIps = 10.0.20.2/32

Et niveau client :

[Interface]
PrivateKey = MaCléPrivéePC
Address = 10.0.20.2/24
DNS = 1.1.1.1

[Peer]
PublicKey = MaCléPubliqueServeur
AllowedIPs = 10.0.20.1/32
Endpoint = ndd:port
PersistentKeepalive = 25

A voir également:

2 réponses

Réponse 1 / 2
avion-f16 Messages postés 19246 Date d'inscription dimanche 17 février 2008 Statut Contributeur Dernière intervention 21 avril 2024 4 497
22 janv. 2022 à 15:47
Bonjour,

Sur la configuration client, le AllowedIPs pour le pair correspondant au serveur n'est pas bon. 

AllowedIPs = 10.0.20.1/32
indique que les paquets provenant de ce pair ne peuvent avoir que l'adresse IP 10.0.20.1 comme source.
Le client ne peut donc pas recevoir, par le biais de ce pair (le serveur), des paquets ayant comme source le réseau local 10.0.0.0/24

Il faut utiliser 
AllowedIPs = 0.0.0.0/0
si tu souhaites diriger tout ton trafic via Wireguard.

Cette configuration par le biais du fichier de configuration modifie automatiquement la table de routage du système, en contraste avec la configuration manuelle (où on crée l'interface manuellement etc).
1
brupala Messages postés 109443 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 23 avril 2024 13 620
22 janv. 2022 à 23:29
Salut,
tu es sûr que ça concerne le routage cette ACL ?
pas seulement les adresses du vpn ?
Mais c'est possible, je n'ai pas pratiqué Wireguard encore
Par contre,
je ne vois pas bien pourquoi on fait du nat, il suffirait de faire du routage statique.
0
avion-f16 Messages postés 19246 Date d'inscription dimanche 17 février 2008 Statut Contributeur Dernière intervention 21 avril 2024 4 497 > brupala Messages postés 109443 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 23 avril 2024
23 janv. 2022 à 21:45
Salut,

@brupala
Le programme Wireguard modifie la table de routage en fonction des 
AllowedIPs
des 
[peer]
dans le fichier de configuration, de façon similaire au paramètre 
route
dans la configuration OpenVPN.

Pour le NAT, je suppose que c'est pour faire en sorte que le réseau Wireguard 10.0.20.0/24 reste inconnu en-dehors de la machine virtuelle.

@UnLabrador
Les commandes iptables dans PostUp et PostDown sont incomplètes, il manque aussi le retour à la ligne avant PostDown. Pense à utiliser les balises de code sur CCM pour conserver la mise en forme.
Vérifie que le nom des interfaces soit juste, on devine "et" dont je suppose "eth0" mais est-ce bien le cas ? Désormais, c'est souvent "enpXsX" au lieu de "ethX".
Il faut aussi activer les redirections au niveau du kernel (avec sysctl), en plus de les autoriser au niveau du pare-feu.
0
brupala Messages postés 109443 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 23 avril 2024 13 620 > avion-f16 Messages postés 19246 Date d'inscription dimanche 17 février 2008 Statut Contributeur Dernière intervention 21 avril 2024
Modifié le 25 janv. 2022 à 17:05
Oui,
en fait, on a la réponse ici:
https://techoverflow.net/2021/07/09/what-does-wireguard-allowedips-actually-do/
Merci :-)
par contre 0.0.0.0/0 c'est un peu large, en fait tout le monde, à réduire je pense, surtout qu'on peut indiquer plusieurs plages apparemment.
Et comme j'ai indiqué, il faut aussi prévoir la route dans l'autre sens.
0
UnLabrador Messages postés 66 Date d'inscription vendredi 1 mai 2020 Statut Membre Dernière intervention 26 janvier 2022 2
23 janv. 2022 à 08:18
Bonjour,
J’ai deux fichier de configuration, j’avais bien mis 0.0.0.0/0 car j’ai deux tunnels, un (qui marche) pour juste accéder au serveur et un autre (qui ne marche pas) pour accéder au réseau local distant + à internet
J’avais recopié celui pour accéder seulement à la machine
Du coup, ça ne marche toujours pas avec 0.0.0.0/0
0
Réponse 2 / 2
brupala Messages postés 109443 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 23 avril 2024 13 620
23 janv. 2022 à 08:57
Aussi,
est ce que la machine du lan que veux atteindre a la bonne route vers 10.0.20.0/24 ?
je suppose que ça n'est pas la route par défaut ...
0
UnLabrador Messages postés 66 Date d'inscription vendredi 1 mai 2020 Statut Membre Dernière intervention 26 janvier 2022 2
23 janv. 2022 à 10:14
Comment vérifier cela ?
0
brupala Messages postés 109443 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 23 avril 2024 13 620 > UnLabrador Messages postés 66 Date d'inscription vendredi 1 mai 2020 Statut Membre Dernière intervention 26 janvier 2022
23 janv. 2022 à 11:17
Voir la table de routage de la machine du lan, du serveur et du client wireguard.
C'est quoi les os ?
Au fait, la VM pingue bien sur le réseau local ?
Elle est reliée ont ou en pont ou ... Autre chose ?
0
UnLabrador Messages postés 66 Date d'inscription vendredi 1 mai 2020 Statut Membre Dernière intervention 26 janvier 2022 2 > brupala Messages postés 109443 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 23 avril 2024
26 janv. 2022 à 08:07
Bonjour,
Le client WireGuard arrive à pinger le serveur WireGuard en 10.20.0.1 et la Vm peut pinger le client en 10.20.0.2
La Vm peut accéder au réseau local
Elle tourne sous debian 11
0
brupala Messages postés 109443 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 23 avril 2024 13 620 > UnLabrador Messages postés 66 Date d'inscription vendredi 1 mai 2020 Statut Membre Dernière intervention 26 janvier 2022
26 janv. 2022 à 08:42
Quelle est son adresse sur le réseau local ?
et l'OS de la machine cible du réseau local ?
et son adresse aussi ?
0
UnLabrador Messages postés 66 Date d'inscription vendredi 1 mai 2020 Statut Membre Dernière intervention 26 janvier 2022 2 > brupala Messages postés 109443 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 23 avril 2024
26 janv. 2022 à 16:42
Son adresse sur le réseau local est 10.0.0.110
Mon pc en itinérance est sous Windows 11.
Je ne voudrais pas accéder à une machine précise, je voudrais accéder à tous le réseau local, une sorte de site-to-site.
0

Discussions similaires

PiVPN IPv6 WireGuard
mAx -
brupala -

27 réponses
accéder équipement via un vpn
Alain0522 -
Alain0522 -

12 réponses