Wireguard

Introduction

L'utilisation d'un VPN permet d'accéder à distance aux ressources locales du serveur sans les exposer sur internet. C'est notamment une manière propre de sécuriser l'accès à la console SSH, plutot que d'exposer le port sur internet. C'est pouvoir se connecter à son réseau où que l'on soit, de maniere sécurisée, et de faire dialoguer des machines qui sont sur des réseaux différents.

Ici nous utiliserons Wireguard, un serveur VPN sécurisé et très performant, à l'aide des conteneurs :

• wg-easy pour le serveur, qui propose une interface web très simple pour controler les connexions et télécharger les fichiers de conf (notamment par QR code pour les téléphones)
• Wireguard pour les clients linux

Il existe aussi des clients Windows, MacOS, iOS et Android.

Le principe est le suivant :

• Sur internet, n'importe qui peut contacter n'importe quel box internet et donc essayer de contacter n'importe quel serveur exposé.
• Votre serveur est sur votre réseau local. Il est accessible depuis le réseau local mais pas depuis internet, mis à part les services exposés (comme nous l'avons fait avec Dockge). Pour accéder aux ressources non exposées, vous devez être connecté sur le meme réseau que votre serveur et donc etre chez vous. De plus, vous devez laisser ouvert les ports utilisés par vos services à travers le pare feu de votre serveur.
• Nous souhaitons ici au contraire, depuis n'importe où, pouvoir accéder de maniere securisée aux services non exposés sur internet du serveur, comme la console SSH qui permet de se connecter à la machine par exemple.
• Nous souhaitons aussi accéder aux services d'autres serveurs, et par exemple relier de maniere sécurisée deux instances de Dockge pour tout controler depuis la meme interface.

Pour cela nous allons créer un réseau privé virtuel, ou VPN, c'est à dire un tunnel sécurisé auquel personne n'a accès à part les machines que vous relierez entre elles. Elles feront partie d'un nouveau réseau et pourront dialoguer entre elle comme dans un réseau local.

D'autre part, vous pourrez ajouter votre téléphone, un ordinateur portable ou n'importe quel appareil au réseau pour pouvoir utiliser vos ressources depuis vos appareils quotidiens, où que vous soyiez.

Dans cette illustration, la machine 1 est sur deux réseaux :

• son réseau local (tous les appareils liés à la box, avec une adresse IP du type 192.168.x.x donc ici la machine 1 et la machine 2)
• le réseau du VPN (tous les appareils reliés au VPN, avec une seconde adresse IP du type 10.8.x.x donc ici la machine 1 et 4)

On peut aussi faire en sorte que les machines reliées au réseau virtuel partagent les acces à leur réseau local. Ici nous ne le ferons pas, pour des raisons de sécurité, et de complexité en terme de sous-réseau (si les deux machines distantes ont des machines locales qui utilisent la meme adresse IP locale, par exemple 192.168.1.1, cela posera des conflits).

Ainsi, sur le réseau virtuel, seules les machines directement reliées pourront dialoguer entre elle depuis ce réseau. Elles ne pourront pas dialoguer avec une machine situées sur un autre réseau local et non reliée au VPN.

Côté serveur

Structure des dossiers

root
└── docker
    └── wg-easy
        ├── config
        │   └── etc_wireguard
        ├── compose.yaml
        └── .env

Ouvrez Dockge, cliquez sur compose et nommez la stack wg_easy.

Copiez la configuration suivante :

---
services:
  wg-easy:
    environment:
      - INSECURE=true
    image: ghcr.io/wg-easy/wg-easy:15
    container_name: wg-easy
    networks:
      wg:
        ipv4_address: 10.42.42.42
        ipv6_address: fdcc:ad94:bacf:61a3::2a
    volumes:
      - ./etc_wireguard:/etc/wireguard
      - /lib/modules:/lib/modules:ro
    ports:
      - "51820:51820/udp"
      - "51821:51821/tcp"
    restart: unless-stopped
    cap_add:
      - NET_ADMIN
      - SYS_MODULE
    sysctls:
      - net.ipv4.ip_forward=1
      - net.ipv4.conf.all.src_valid_mark=1
      - net.ipv6.conf.all.disable_ipv6=0
      - net.ipv6.conf.all.forwarding=1
      - net.ipv6.conf.default.forwarding=1

networks:
  wg:
    driver: bridge
    enable_ipv6: true
    ipam:
      driver: default
      config:
        - subnet: 10.42.42.0/24
        - subnet: fdcc:ad94:bacf:61a3::/64

Puis déployez la stack et connectez vous via le web en local sur http://ipduserveur:51821

Une fois connecté, la webui vous guidera :

• Pour créer votre compte et mot de passe d'accès
• Pour configurer l'host à utiliser dans les fichiers de conf : utilisez l'IP publique de votre box internet (ou de votre VPS), ou le nom de domaine redirigeant vers l'IP de votre box, le cas écheant.

Une fois fait:

• Cliquez sur « Administrator » > « Admin Panel » > « Config »
• Modifiez Allowed IPs en remplaçant 0.0.0.0/24 par 10.8.0.0/24. Cela signifie que seules les requêtes IP de 10.8.0.1 à 10.8.0.255 seront redirigées dans le tunnel (split tunneling), laissant ainsi à l'appareil la possibilité d'etre connecté à d'autres tunnels, et à accéder à internet par lui meme. Si vous voulez tout rediriger dans le tunnel, y compris l'acces à internet, laissez 0.0.0.0/24.
• Supprimez l'IPv6, cela n'apportera que des problèmes.

Recuperation des fichiers de conf

Afin de configurer les clients, vous devez télécharger les fichiers de conf générés par l'host :

• Connectez vous via le web en local sur http://ipduserveur:51821
• Créez un client
• Modifiez le client en cliquant sur l'icone d'édition
• Modifiez Server Allowed IPs en ajoutant 10.8.0.0/24. Cela signifie que le serveur laissera vos clients accéder à toutes les IP 10.8.0.1 à 10.8.0.255 connectées à lui, et donc laissera les clients dialoguer entre eux si nécessaire. Si vous voulez laisser vos clients accéder à tous les appareils réseau connectés autour de votre serveur en local, mettez 0.0.0.0, à condition de l'avoir fait précédemment dans la configuration générale.
• (facultatif) Si votre client est un serveur qui doit être connecté en permanence, modifiez Advanced > Persistent Keep Alive en mettant 25.
• Sauvegardez
• Téléchargez le fichier de conf
• Renommez le en wg0.conf. (Si ce n'est pas le premier, incrémentez: wg1.conf, etc...)

Sur le serveur client

Structure des dossiers

root
└── docker
    └── wireguard
        └── config
        │   └── wg_confs
        └── compose.yaml

Creez le dossier /docker/wireguard/config/wg_confs.

sudo mkdir -p /docker/wireguard/config/wg_confs

Créez le fichier wg0.conf

sudo vi /docker/wireguard/config/wg_confs/wg0.conf

Rentrez en édition en appuyant sur i puis Copiez collez le contenu du wg0.conf que vous avez téléchargé. Puis sortez du mode édition en appuyant sur Echap puis tapez :x.

sudo cp ~/wg0.conf /docker/wireguard/config/wg_confs

Creez le compose.yaml dans /docker/wireguard :

sudo vi /docker/wireguard/compose.yaml

Appuyez sur i pour rentrer en modification et copiez la configuration ci-dessous

services:
  wireguard:
    image: lscr.io/linuxserver/wireguard:latest
    container_name: wireguard
    network_mode: host
    cap_add:
      - NET_ADMIN
      - SYS_MODULE #optional
    environment:
      - TZ=Europe/Paris
    volumes:
      - /docker/wireguard/config:/config
      - /lib/modules:/lib/modules #optional
    restart: unless-stopped

Appuyez sur Echap puis tapez :x pour quitter et sauvegarder.

Lancez le conteneur :

cd /docker/wireguard
sudo docker compose up -d

Autres appareils

• Téléphone : installer wireguard et scanner le QR code via le webui (http://ipduserveur:51821)
• PC : Installer wireguard client et mettre directement le fichier de conf téléchargé via le webui

Et voilà ce que cela peut donner !