Aller au contenu

Configuration d'un tunnel Wireguard

Wireguard

Le tunnel Wireguard est un des tunnels les plus simples à configurer, aucun port à ouvrir, connexion possible en IPv4 & IPv6 et règles de routage ajoutées automatiquement.

Il vous suffit de configurer votre wireguard avec les paramètre indiqués en 1, pour linux vous pouvez suivre ce tutoriel

Les subnets

Il est important de ne pas oublier d'attribuer vos subnets au tunnel, pour ce faire, rendez vous sur la page subnets

Une fois votre subnet attribué, il faut le configurer de l'autre côté du tunnel, pour cela cela dépend de comment vous souhaitez faire. Il y as 2 principales manières d'attribuer simplement le subnet :

Assigner en LAN

Routage classique

Dans ce scénario on traite simplement le subnet comme étant un réseau LAN, on attribue une IP pour la gateway (le routeur) et on attribue les IPs du LAN aux machines. C'est la méthode recommandée.

NAT 1:1

NAT one to one

Dans ce scénario, des règles NAT sont appliquées au routeur afin de translater les IPs publiques vers des IPs privées, comme le ferai une redirection de port, mais avec des IPs complètes. Par exemple sous linux, cela pourrai être fait de telle manière :

# Ne pas oublier d'aciver le forwarding
sysctl -w net.ipv6.conf.all.forwarding=1
sysctl -w net.ipv4.ip_forward=1

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.5 -j SNAT --to-source 203.0.113.1
iptables -t nat -A PREROUTING -i eth0 -d 203.0.113.1 -j DNAT --to-destination 192.168.0.5
iptables -A FORWARD -s 203.0.113.1 -j ACCEPT
iptables -A FORWARD -d 192.168.0.5 -j ACCEPT

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.10 -j SNAT --to-source 203.0.113.2
iptables -t nat -A PREROUTING -i eth0 -d 203.0.113.2 -j DNAT --to-destination 192.168.0.10
iptables -A FORWARD -s 203.0.113.2 -j ACCEPT
iptables -A FORWARD -d 192.168.0.10 -j ACCEPT

Sous mikrotik cela pourrai être fait comme cela :

/ip firewall nat
add chain=srcnat src-address=192.168.0.5 action=src-nat to-addresses=203.0.113.1
add chain=srcnat src-address=192.168.0.10 action=src-nat to-addresses=203.0.113.2

/ip firewall nat
add chain=dstnat src-address=203.0.113.1 action=dst-nat to-addresses=192.168.0.5
add chain=dstnat src-address=203.0.113.2 action=dst-nat to-addresses=192.168.0.10
⚠ Attention à bien attribuer les IPs que vous utilisez à une interface de votre routeur (interface locale idéalement), autrement le NAT risque de ne pas fonctionner