====== Configurer un VPN Wireguard ======

Pour rappel, [[https://www.wireguard.com/|Wireguard]] est un protocole VPN très jeune, et donc peut-être pas assez mature pour vos usages. Évidemment, il est impossible d'être exhaustif, et ça n'a jamais été le but de ce wiki. 

Il faut aussi que j’explique rapidement les modes de fonctionnement de Wireguard. Il peut fonctionner en mode Client/Serveur, Serveur/Serveur et Mesh, tout cela ce fait de manière implicite. Pour faire simple, il est obligatoire qu'au moins une des deux machines est un port d'écoute accessible, même si il est recommandé, si possible, que les deux est un port d'écoute.\\
Dans le cas de Mesh, vous pouvez faire en sorte qu'une machine n'est pas de port accessible, si toutes les autres en ont un pour recevoir les communications de celle-ci.

Pour commencer, il faut évidemment installer Wireguard qui se base sur un module noyau intégré par défaut intégré dans la version 5.6, et disponible par DKMS pour les versions plus vieilles. Par exemple, sous Debian :

<code bash>
# apt install wireguard 
</code>

Maintenant on va générer une paire de clé. Il vous faudra générer une paire de clé par VPN et par Hôte. Pour cela, lancez la commande :

<code bash>
# WGPRIV="`wg genkey`" sh -c 'echo $WGPRIV ; echo $WGPRIV | wg pubkey'
</code>

Cela devrait vous retourner deux lignes, la première est la clé privée, la seconde est la clé publique.

Vous pouvez si vous le souhaité aussi générer une **Pre-Shared Key** pour augmenter la sécurité. Celle-ci doit être partagée entre deux machines, mais pas réutilisée avec un autre Peer. Ce n'est pas simple à expliquer, vous avez un exemple dans la section [[kb:linux:generalites:configurer_un_vpn_wireguard#Configuration Mesh|Configuration Mesh]] mais si vous n'avez pas compris comment l'utiliser, ne l'utilisez pas. Si vous utilisez mal la **Pre-Shared Key**, vous rendez plus vulnérable votre session que si vous ne l'aviez pas utilisé. Pour ce faire, simplement utilisez la commande :

<code bash>
# wg genpsk
</code>

Ensuite on va créer pour chaque Hôte un fichier de configuration. Certaines options sont obligatoires, d'autres non. Voici ce que chaque option représentent :

<code ini wg0.conf>
[Interface]
PrivateKey = <Clé privé précédemment généré>
ListenPort = <Port d’écoute du VPN (obligatoire sur au moins un hôte, recommandé sur les deux)>
Address = <IP avec son masque CIDR, séparé par des virgules si plusieurs IP (optionnel)>
DNS = <IP de serveurs DNS, séparé par des virgules (optionnel)>
MTU = <Pour surpasser la détection de MTU (optionnel)>
Table = <Nom de la table de routage où injecter les routes. Peut-être "off" pour désactiver l’ajout des règles dans une table. Par défaut, c’est la table de routage principale (optionnel)>
PreUp = <Commande exécutée avant le lancement du VPN (optionnel)>
PostUp = <Commande exécutée après le lancement du VPN (optionnel)>
PreDown = <Commande exécutée avant l’arrêt du VPN (optionnel)>
PostDown = <Commande exécutée après l’arrêt du VPN (optionnel)>
SaveConfig = <Si "true", enregistre dans ce fichier toute modification faite "a la volé" avec la commande wg (optionnel)>


[Peer]
PublicKey = <Clé publique de l’hote>
Endpoint = <nom d’host/IP suivit du port d’écoute de la machine paire (optionnel car dépends de si la machine paire a un port d’écoute de configuré>
AllowedIPs = <IP/Réseau autorisé a transité depuis la machine paire. Cela ajoute aussi les routes dans la table de routage (optionnel)>
PresharedKey = <Pré pré-partagé (optionnel)>
PersistentKeepalive = <Envoi de données periodique pour maintenir la session ouverte (optionnel)>
</code>

Le nom du fichier de configuration sera le nom de l'interface VPN, il se peut donc qu'il y ait des contraintes spécifiques en fonction de l'OS que vous utilisez.

Placer votre fichier de configuration dans le dossier **/etc/wireguard/**, et lancez-la avec la commande :

<code bash>
# systemctl start wg-quick@wg0
</code>

Vous pouvez dans faire en sorte de le lancer au démarrage comme un service classique.

Maintenant on va passer aux exemples.


==== Mode client / serveur ====

Voici la configuration serveur :

<code ini /etc/wireguard/wg0.conf>
[Interface]
PrivateKey = kPK7kPYHxvLCizn0HQcnZaUob3paDtya2XjxF5X+QGQ=
ListenPort = 51291
Address = 10.91.0.1/24
PostUp = iptables -t nat -I POSTROUTING -i wg0 -o eth0 -j MASQUERADE
PostDown = iptables -t nat -D POSTROUTING -i wg0 -o eth0 -j MASQUERADE

[Peer]
PublicKey = xDfJp0vSPRCV0KyRTmHBi66Ve/XnCur8ysyGvS1M1i4=
AllowedIPs = 10.91.0.2/32
</code>

Et la configuration client :

<code ini /etc/wireguard/wg0.conf>
[Interface]
PrivateKey = OBk5puulZn4hBycsdvxicfwXtRMgH7v6Iuz51frjGW8=
Address = 10.91.0.2/24
DNS = 8.8.8.8

[Peer]
PublicKey = TgM2pGrQnrVOYPpJLcuPmMElGDdFjMlxEYenrKNtbmo=
AllowedIPs = 0.0.0.0/24
Endpoint = myvpn.fr:51291
</code>

Dans le cas où vous avez besoin que la session soit toujours active, même si le client n’envoie pas de données((exemple si vous utilisez cette méthode pour passer au travers d'un firewall, et que vous avez besoin que des usagers cotés serveurs puissent accéder à des ressources cotées du client)), je recommande d'ajouter l'option **PersistentKeepalive** dans sa configuration.

==== Configuration serveur / serveur ====

Configuration du serveur 1 :

<code ini /etc/wireguard/wg0.conf>
[Interface]
PrivateKey = IAlQf25Ccdsk/BEjE48fPFknPsJsSLl9PURUSzrYLkk=
ListenPort = 51291
Address = 10.91.0.1/24 , fc00::1/64

[Peer]
PublicKey = MhAAHTiL9Yr/etc9T3n4rnyE8EFg5pTd7GCKQo24S1Q=
AllowedIPs = 10.91.0.2, 10.20.0.0/16 , fc00::2/64 , fd00:20::/64
Endpoint = server2.fr:51291
</code>

Et celle du serveur 2 :

<code ini /etc/wireguard/wg0.conf>
[Interface]
PrivateKey = CMjWIFTj4ElIrkrh29GTb5nfQXmYZujNB8iPKZHUnFc=
ListenPort = 51291
Address = 10.91.0.2/24 , fc00::2/64

[Peer]
PublicKey = YBXY1gGwWw9TWLRECykN0YZ+LWRjhWYq+CB9akowAUU=
AllowedIPs = 10.91.0.1, 10.10.0.0/16 , fc00::1/64 , fd00:10::/64
Endpoint = server1.fr:51291
</code>


==== Configuration Mesh ====

Pour l'exemple, je vais montrer avec 3 serveurs, dont 1 qui ne peut pas avoir de ports d'écoute, ce qui n'est pas la situation recommandée. Essayer d'avoir un port d'écoute sur chaque serveur.

Configuration du serveur 1 :

<code ini /etc/wireguard/wg0.conf>
[Interface]
PrivateKey = 8P4uWq+h/VHX7Snah8YgdL1enK1J/BvjKoOgjZV1MXg=
ListenPort = 51291
Address = 10.91.0.1/24

[Peer]
# Serveur 2
PublicKey = jvLEQMgGaozqnMZY7GVfg5buRiHFFVcZdCEyDQ/AyQM=
AllowedIPs = 10.91.0.2 , 10.20.0.0/24
PresharedKey = SbqgoqmmVFhxI4b8ytv0oYFufty9s+5dYogsVf6ymzU=
Endpoint = server2.fr:51291

[Peer]
# Serveur 3
PublicKey = MhAAHTiL9Yr/etc9T3n4rnyE8EFg5pTd7GCKQo24S1Q=
AllowedIPs = 10.91.0.3 , 10.30.0.0/24
PresharedKey = yjyqKqgB5Le4jxFzglFEvzaR/J/c4e61KZ3Bp07j8G8=
</code>

Configuration du serveur 2 :

<code ini /etc/wireguard/wg0.conf>
[Interface]
PrivateKey = 4BNkcX2zQ1Q19XsAa6uWHJZzEZ5oHAvOQR5pIU44vWk=
ListenPort = 51291
Address = 10.91.0.2/24

[Peer]
# Serveur 1
PublicKey = xOE4qzHEWyRwObpMc15USyYjGBUMx1/VGLgTC3tNC28=
AllowedIPs = 10.91.0.1 , 10.10.0.0/24
PresharedKey = SbqgoqmmVFhxI4b8ytv0oYFufty9s+5dYogsVf6ymzU=
Endpoint = server2.fr:51291

[Peer]
# Serveur 3
PublicKey = MhAAHTiL9Yr/etc9T3n4rnyE8EFg5pTd7GCKQo24S1Q=
AllowedIPs = 10.91.0.3 , 10.30.0.0/24
PresharedKey = MJ78z/bOlq/UB8lsxDoUTUZOLxK2BXe50IItRGBqpLc=
</code>

Et la configuration du serveur 3, celui qui n'a pas de port d'écoute :


<code ini /etc/wireguard/wg0.conf>
[Interface]
PrivateKey = 4BNkcX2zQ1Q19XsAa6uWHJZzEZ5oHAvOQR5pIU44vWk=
Address = 10.91.0.3/24

[Peer]
# Serveur 1
PublicKey = xOE4qzHEWyRwObpMc15USyYjGBUMx1/VGLgTC3tNC28=
AllowedIPs = 10.91.0.1 , 10.10.0.0/24
PresharedKey = yjyqKqgB5Le4jxFzglFEvzaR/J/c4e61KZ3Bp07j8G8=
Endpoint = server1.fr:51291
PersistentKeepalive = 25

[Peer]
# Serveur 2
PublicKey = jvLEQMgGaozqnMZY7GVfg5buRiHFFVcZdCEyDQ/AyQM=
AllowedIPs = 10.91.0.2 , 10.20.0.0/24
PresharedKey = MJ78z/bOlq/UB8lsxDoUTUZOLxK2BXe50IItRGBqpLc=
Endpoint = server2.fr:51291
PersistentKeepalive = 25
</code>

Notez l'utilisation des **PresharedKey**, ainsi que celle de **PersistentKeepalive** .