Wireguard
UnLabrador
Messages postés
66
Date d'inscription
Statut
Membre
Dernière intervention
-
brupala Messages postés 112029 Date d'inscription Statut Membre Dernière intervention -
brupala Messages postés 112029 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
J'ai récemment mis en place un vpn wireguard pour pouvoir accéder à mon réseau local en itinérance et faire passer tout mon trafic par le vpn.
Mon architecture est la suivante : PC > VPN sur vm proxmox > réseau local + internet
Mon serveur wireguard est en 10.0.20.1 et mon PC en 10.0.20.2
Le réseau local auquel je veux accéder est en 10.0.0.X
Je rencontre deux problèmes : j'arrive bien à pinger le serveur wireguard depuis mon pc mais je ne peux pas accéder au reste du réseau local et je ne peux pas accéder à internet.
J'ai bien activé le forwad des interfaces.
Voici mon fichier de configuration niveau serveur :
[Interface]
PrivateKey = MaCléPrivéeServeur
Address = 10.0.20.1/24
ListenPort = MonPortPersonnalisé
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o et>PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o >
[Peer]
#PC
PublicKey = MaCléPubliquePC
AllowedIps = 10.0.20.2/32
Et niveau client :
[Interface]
PrivateKey = MaCléPrivéePC
Address = 10.0.20.2/24
DNS = 1.1.1.1
[Peer]
PublicKey = MaCléPubliqueServeur
AllowedIPs = 10.0.20.1/32
Endpoint = ndd:port
PersistentKeepalive = 25
J'ai récemment mis en place un vpn wireguard pour pouvoir accéder à mon réseau local en itinérance et faire passer tout mon trafic par le vpn.
Mon architecture est la suivante : PC > VPN sur vm proxmox > réseau local + internet
Mon serveur wireguard est en 10.0.20.1 et mon PC en 10.0.20.2
Le réseau local auquel je veux accéder est en 10.0.0.X
Je rencontre deux problèmes : j'arrive bien à pinger le serveur wireguard depuis mon pc mais je ne peux pas accéder au reste du réseau local et je ne peux pas accéder à internet.
J'ai bien activé le forwad des interfaces.
Voici mon fichier de configuration niveau serveur :
[Interface]
PrivateKey = MaCléPrivéeServeur
Address = 10.0.20.1/24
ListenPort = MonPortPersonnalisé
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o et>PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o >
[Peer]
#PC
PublicKey = MaCléPubliquePC
AllowedIps = 10.0.20.2/32
Et niveau client :
[Interface]
PrivateKey = MaCléPrivéePC
Address = 10.0.20.2/24
DNS = 1.1.1.1
[Peer]
PublicKey = MaCléPubliqueServeur
AllowedIPs = 10.0.20.1/32
Endpoint = ndd:port
PersistentKeepalive = 25
A voir également:
- Wireguard
- Windscribe wireguard - Guide
- Nordvpn wireguard configuration - Guide
2 réponses
Bonjour,
Sur la configuration client, le AllowedIPs pour le pair correspondant au serveur n'est pas bon.
Le client ne peut donc pas recevoir, par le biais de ce pair (le serveur), des paquets ayant comme source le réseau local 10.0.0.0/24
Il faut utiliser
Cette configuration par le biais du fichier de configuration modifie automatiquement la table de routage du système, en contraste avec la configuration manuelle (où on crée l'interface manuellement etc).
Sur la configuration client, le AllowedIPs pour le pair correspondant au serveur n'est pas bon.
AllowedIPs = 10.0.20.1/32indique que les paquets provenant de ce pair ne peuvent avoir que l'adresse IP 10.0.20.1 comme source.
Le client ne peut donc pas recevoir, par le biais de ce pair (le serveur), des paquets ayant comme source le réseau local 10.0.0.0/24
Il faut utiliser
AllowedIPs = 0.0.0.0/0si tu souhaites diriger tout ton trafic via Wireguard.
Cette configuration par le biais du fichier de configuration modifie automatiquement la table de routage du système, en contraste avec la configuration manuelle (où on crée l'interface manuellement etc).
Aussi,
est ce que la machine du lan que veux atteindre a la bonne route vers 10.0.20.0/24 ?
je suppose que ça n'est pas la route par défaut ...
est ce que la machine du lan que veux atteindre a la bonne route vers 10.0.20.0/24 ?
je suppose que ça n'est pas la route par défaut ...
tu es sûr que ça concerne le routage cette ACL ?
pas seulement les adresses du vpn ?
Mais c'est possible, je n'ai pas pratiqué Wireguard encore
Par contre,
je ne vois pas bien pourquoi on fait du nat, il suffirait de faire du routage statique.
@brupala
Le programme Wireguard modifie la table de routage en fonction des des dans le fichier de configuration, de façon similaire au paramètre dans la configuration OpenVPN.
Pour le NAT, je suppose que c'est pour faire en sorte que le réseau Wireguard 10.0.20.0/24 reste inconnu en-dehors de la machine virtuelle.
@UnLabrador
Les commandes iptables dans PostUp et PostDown sont incomplètes, il manque aussi le retour à la ligne avant PostDown. Pense à utiliser les balises de code sur CCM pour conserver la mise en forme.
Vérifie que le nom des interfaces soit juste, on devine "et" dont je suppose "eth0" mais est-ce bien le cas ? Désormais, c'est souvent "enpXsX" au lieu de "ethX".
Il faut aussi activer les redirections au niveau du kernel (avec sysctl), en plus de les autoriser au niveau du pare-feu.
en fait, on a la réponse ici:
https://techoverflow.net/2021/07/09/what-does-wireguard-allowedips-actually-do/
Merci :-)
par contre 0.0.0.0/0 c'est un peu large, en fait tout le monde, à réduire je pense, surtout qu'on peut indiquer plusieurs plages apparemment.
Et comme j'ai indiqué, il faut aussi prévoir la route dans l'autre sens.
J’ai deux fichier de configuration, j’avais bien mis 0.0.0.0/0 car j’ai deux tunnels, un (qui marche) pour juste accéder au serveur et un autre (qui ne marche pas) pour accéder au réseau local distant + à internet
J’avais recopié celui pour accéder seulement à la machine
Du coup, ça ne marche toujours pas avec 0.0.0.0/0