WireGuard configuration Site-à-Site
Introduction
WireGuard est un protocole de communication et un logiciel libre et open source permettant de créer un réseau privé virtuel (VPN). Il se veut plus rapide et moins complexe qu’IPSec et nettement plus performant qu’OpenVPN. Initialement publié pour le noyau Linux, il est désormais multiplateforme et largement déployable.
Étape 1 - Installation
Par défaut WireGuard est pré-installé sur le système DynFi Firewall. Il est accessible depuis le menu VPN >> WireGuard.
Etape 2 - Configuration de WireGuard
Allez dans l’onglet Local et créez une nouvelle instance. Donnez-lui un Nom et définissez un Port d’écoute. Si vous avez plus d’une instance de service, sachez que vous ne pouvez utiliser le Port d’écoute qu’une seule fois. Pour Tunnel Address, choisissez un nouveau réseau virtuel pour y établir une communication, comme avec OpenVPN ou GRE (par exemple 192.168.0.1/24). Les Peers ne peuvent pas encore être choisis puisque nous ne les avons pas encore créés. Après avoir cliqué sur Sauvegarder les modifications, vous pouvez rouvrir l’instance nouvellement créée, noter votre nouvelle clé publique et la donner à l’autre partie.
Lorsque ce VPN est mis en place sur DynFi Firewall, faites la même chose sur la deuxième machine et échangez les clés publiques. Allez maintenant dans l’onglet Points de terminaison et ajoutez le site distant, donnez-lui un Nom, insérez la Clé publique et la Clé autorisée, par exemple 192.168.0.2/32, 10.10.10.0/24. Ceci définira l’adresse IP du tunnel distant (/32 est important lors de l’utilisation de plusieurs points d’extrémité) et acheminera 10.10.10.0/24 via le tunnel. L’adresse du Point de terminaison est l’adresse IP publique du site distant et vous pouvez également définir en option le port du point d’extrémité. Cliquez maintenant sur Appliquer.
Retournez à l’onglet Local, ouvrez l’instance et choisissez le nouveau endpoint créé dans Peers.
Maintenant nous pouvons Activer le VPN dans l’onglet Général et continuer avec la configuration.
Étape 3 - Configuration du pare-feu
Sur Pare-feu --> Règles ajoutez une nouvelle règle sur votre interface WAN autorisant le port que vous avez défini dans votre instance (Protocol UDP).
Vous avez également une nouvelle interface Wireguard dans les règles, où vous pouvez ajouter des règles spécifiques au traffic VPN.
Votre tunnel est maintenant opérationnel.
Étape 4 - Routage des réseaux
Si vous voulez router vos réseaux internes via ce VPN, ajoutez le réseau dans le champ IPs Autorisées dans l’onglet Points de Terminaison (par exemple 10.0.1.0/24).
C’est aussi simple que cela !