WireGuard : au-delà de la configuration de base

 (sloonz.github.io)
3 points par GN⁺ 2024-11-25 | 1 commentaires | Partager sur WhatsApp

  • Configuration de base

    • Partage d’expérience sur une tentative de remplacer OpenVPN par WireGuard.
    • Résumé de la configuration de base :
      • Génération d’une paire de clés pour le serveur et le client.
      • Définition du réseau VPN et des adresses IP.
      • Rédaction et exécution des fichiers de configuration du serveur et du client.
      • Il est possible de séparer le VPN et la connexion Internet en utilisant des espaces de noms réseau.

  • NAT

    • Résolution de problèmes liés à certaines applications qui ne fonctionnent pas derrière un NAT.
    • Il est possible de résoudre les problèmes de NAT avec UPnP.
    • WireGuard ne prend pas en charge UPnP par défaut, une configuration manuelle est donc nécessaire.
    • Il est possible d’ajouter la fonctionnalité UPnP en installant et configurant miniupnpd.

  • IPv6

    • Une meilleure façon de résoudre les problèmes de NAT est de ne pas utiliser de NAT.
    • Avec IPv6, il est possible d’attribuer des adresses publiquement routables sans NAT.
    • En attribuant des adresses IPv6 au serveur et au client, ils peuvent communiquer sans NAT.
    • Grâce à la configuration IPv6, l’accès depuis l’Internet public est possible sans UPnP.

À lire aussi

1 commentaires

 
GN⁺ 2024-11-25
Commentaire Hacker News

  • Souhaite configurer un serveur personnel et proposer des services accessibles via le web. A réussi à mapper des sous-domaines vers des services avec Caddy, mais Tailscale Magic DNS ne prend pas en charge les sous-domaines. Envisage donc de configurer pihole pour créer un serveur DNS privé et se demande si c’est une limitation de Wireguard

  • A trouvé un site utile pour la configuration de Wireguard : Procustodibus Wireguard Topologies

  • En configurant un enregistrement DNS dynamique pour faire pointer un nom d’hôte vers l’IP dynamique du réseau domestique, il devient possible d’utiliser un VPN privé. Cela permet d’accéder à des services locaux à distance sans les exposer à l’internet public

  • Il existe une idée reçue selon laquelle le NAT est indispensable avec Wireguard. En réalité, si l’hôte de destination considère le serveur Wireguard comme sa passerelle, le routage classique entre sous-réseaux fonctionne très bien. Il suffit de configurer une route statique sur le routeur principal

  • Se demande s’il existe un bon livre couvrant les principes, l’implémentation et la configuration de Wireguard. Il y a beaucoup d’ouvrages sur IPSEC, mais peu sur Wireguard

  • Trouve étonnant qu’il n’existe pas de méthode simple dans Wireguard pour tunneliser tout le trafic sauf certaines IP. Il faut générer programmatiquement la liste de tous les CIDR à l’exception des IP concernées

  • Regrette l’absence de fonctionnalités RBAC. Wireguard est plus rapide qu’OpenVPN, mais à cause du RBAC, il faut utiliser OpenVPN pour les employés et les prestataires

  • Utilise Wireguard avec IPv6, mais la délégation de préfixe IPv6 ne fonctionne pas. Souhaite que les appareils puissent choisir et modifier leur propre adresse comme sur un sous-réseau Ethernet classique

  • N’arrive pas à faire fonctionner correctement la redirection de ports avec Wireguard sans masquerading. Pour conserver l’IP source, il faut ajouter 0.0.0.0/0 à AllowedIPs, mais cela empêche les réponses de l’application de revenir vers la source

  • Met en place une infrastructure basée sur IPv6. Veut profiter du chiffrement moderne et de la conception sans état de Wireguard, tout en conservant un plan d’adressage IPv6 au lieu d’adopter celui de Wireguard