Ceci est une ancienne révision du document !

Configurer un VPN pair-à-pair avec Wireguard

Introduction

Ce tutoriel a pour but d'apprendre à configurer une liaison VPN pair-à-pair grâce au protocole WireGuard. WireGuard est un protocole de tunneling open source basé sur UDP. Il est optimisé pour être plus rapide que ses alternatives OpenVPN et IPSec. Il permet d'établir des liaisons virtuelles sécurisées de pair à pair.

Plus précisément, on établira une liaison confidentielle entre deux machines distantes sous Alma Linux (qu'on nommera ici “les serveurs”), cachées derrière un NAT et ayant accès à un réseau WAN par le biais d'un routeur. Ce WAN simulera Internet ou un quelconque réseau public n'étant pas sous contrôle du propriétaire des deux LANs (donc potentiellement sujet aux attaques).

La liaison Wireguard permettra aux serveurs d'être joignables sur un même réseau virtuel comme si elles étaient branchées physiquement l'une à l'autre, sauf qu'en réalité les paquets transiteront via le WAN de façon sécurisée.

Topologie du lab

Architecture du lab : Interconnexion sécurisée de deux machines distantes avec Wireguard

Dans cet exemple, le pair wireguard de Paris sera considéré comme le serveur, celui de Marseille comme le client.

Pré-requis

Pour mettre en place l'infrastructure présentée plus haut, il faudra :

  • 2 machines sous Linux (même si on pourrait également installer Wireguard sous Windows)
  • 2 routeurs quelconques

Mise en place

<A refaire>

Installation de Wireguard

Commencer par installer le paquet WireGuard.

Pour les systèmes basés sur debian : 

apt install wireguard

Pour les systèmes basés sur Redhat : 

dnf install wireguard-tools

Et créer le répertoire /etc/wireguard s'il n'existe pas : 

mkdir -m 0700 /etc/wireguard/

Génération des clés de chiffrement

Afin de chiffrer les échanges sur la future liaison, il faut d'abord générer un couple de clés publique-privée sur chaque pair.

Dans le répertoire /etc/wireguard, générer les clés avec la commande suivante : 

umask 077; wg genkey | tee privatekey | wg pubkey > publickey

Pour les afficher : 

cat privatekey publickey

Configuration côté serveur

Pour configurer une liaison Wireguard, il faut créer un fichier de configuration dédiée à la carte réseau virtuelle avec le nom wgX.conf (où X correspond à un chiffre choisi) et placé dans le répertoire /etc/wireguard/, par exemple : 

nano /etc/wireguard/wg0.conf

Entrer ceci dans le fichier : 

[Interface]
Address=10.8.0.65/30 #adresse du serveur dans le tunnel
ListenPort = 51820 #port de connexion au VPN
PrivateKey = 6GZQ4Xus5lrJK9UxRASMCwoRuXw9HHhya0KA771h2XI= #clé privée de la machine

Lancer le service Wireguard : 

systemctl start wg-quick@wg0

Vérifier l'état du service pour savoir si notre configuration fonctionne : 

systemctl status wg-quick@wg0

Configuration côté client

Même chose côté client, il faut créer un fichier de configuration pour la liaison : 

[Interface]
Address=10.8.0.66/30 #adresse du client dans le tunnel
ListenPort = 51820 #port de connexion au VPN
PrivateKey = eJ1bmItHSHONKRPYykaFsD/NtWC7fkpLM0kwe/OtcGc= #clé privée de la machine

[pair]
PublicKey = CE4ETuboYOxGdTehYES1NaN1Z32kRtdYAQn3glB34Xg= #clé publique du serveur
PresharedKey = 
AllowedIPs = 0.0.0.0/0,::/0
Endpoint = 172.16.10.1:51820

Sources

📕 Linux Pratique hors série n°56

configurer_un_vpn_wireguard_site-a-site.1689881897.txt.gz · Dernière modification : de superadmin
Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : CC Attribution-Share Alike 4.0 International


  • Afficher le texte source
  • Anciennes révisions
  • Liens de retour
  • Derniers changements
  • Gestionnaire Multimédia
  • Plan du site