wiki/HowtoWireGuard.md

---
title: Howto Wireguard
categories: sysadmin network vpn
...

* Site officiel WireGuard : <https://www.wireguard.com/>
* OpenBSD Manpage <https://man.openbsd.org/wg>
* Debian Manpage <https://manpages.debian.org/stable/wireguard-tools/wg.8.en.html>

[WireGuard](https://www.wireguard.com/) est une solution de communication Open source qui implémente la technique de réseau privé virtuel (VPN) pour créer des connexions point à point sécurisées. C'est une solution simple, moderne et rapide qui utilise une cryptographie moderne. Il vise à être plus rapide, plus simple et plus léger que IPsec. Il est également considérablement plus performant que OpenVPN. Initialement publié pour le noyau Linux, il est désormais multiplateforme (Windows, macOS, BSD, iOS, Android) et largement déployable. Il est déjà considéré comme la solution VPN la plus sécurisée et la plus simple à utiliser.

## Installation

Sous Debian (Kernel >= 5.6) et OpenBSD (>= 6.8), Wireguard fait partie du Kernel.

### Debian

~~~
# apt install wireguard

$ wg --version
wireguard-tools v1.0.20210223 - https://git.zx2c4.com/wireguard-tools/
~~~

### OpenBSD

~~~
# pkg_add wireguard-tools

$ wg --version
wireguard-tools v1.0.20210914 - https://git.zx2c4.com/wireguard-tools/
~~~

## Configuration du serveur

Autoriser le routage via `sysctl` :

~~~
# echo "net.ipv4.conf.all.forwarding = 1" >> /etc/sysctl.d/wireguard.conf
# echo "net.ipv6.conf.all.forwarding = 1" >> /etc/sysctl.d/wireguard.conf
# sysctl -p /etc/sysctl.d/wireguard.conf
~~~

Générer une clé privée pour le serveur et sa clé publique :

~~~
# mkdir /etc/wireguard/keys/
# wg genkey | tee /etc/wireguard/keys/serveur_priv | wg pubkey > /etc/wireguard/keys/serveur_pub
~~~

Créer un fichier de configuration `/etc/wireguard/wg0.conf`, pour l'interface `wg0` : 

~~~
[Interface]
Address = 192.0.2.1/24, 2001:db8::1/64
SaveConfig = false
ListenPort = 51820
PrivateKey = ***** # Contenu de /etc/wireguard/keys/serveur_priv
~~~

Avec :

* `Address` : l'IP dans le réseau WireGuard attribuée au serveur
* `SaveConfig` : si true, la configuration est mise en mémoire (et protégée) tout le temps que l'interface est active ; signifie que si le fichier de configuration est modifié pendant que le VPN est UP, alors il sera remis comme il était au moment de son démarrage lorsqu'il sera coupé
* `ListenPort` : le port d'écoute de WireGuard, 51820 est celui par défaut
* `PrivateKey` : la valeur de la clé privée du serveur, générée plus tôt

Il suffit ensuite de démarrer notre VPN avec `wg-quick` :

~~~
# wg-quick up wg0
OU
# systemctl start wg-quick@wg0.service
~~~

On peut voir la configuration en cours avec `wg` : 

~~~
# wg
interface: wg0
  public key: *****
  private key: (hidden)
  listening port: 51820
~~~

Enfin, on peut activer le démarrage automatique de notre interface `wg0` : 

~~~
# systemctl enable wg-quick@wg0.service
~~~

## Déclaration des clients côté serveur

Générer une clé privée pour un client et sa clé publique, puis une clé pré-partagée :

~~~
# wg genkey | tee /etc/wireguard/keys/client_priv | wg pubkey > /etc/wireguard/keys/client_pub
# wg genpsk > /etc/wireguard/keys/client_psk
~~~

Dans le fichier de configuration `/etc/wireguard/wg0.conf`, sous le bloc `[Interface]`, on crée un bloc `[Peer]` par client : 

~~~
[Peer] # Client 1
PublicKey = ***** # Contenu de /etc/wireguard/keys/client_pub
PresharedKey= ***** # Contenu de /etc/wireguard/keys/client_psk
AllowedIPs = 192.0.2.0/24, 2001:db8::/64
~~~

Puis on redémarre l'interface `wg0` : 

~~~
# wg-quick down wg0 && wg-quick up wg0
OU
# systemctl restart wg-quick@wg0.service
~~~

Et on peut vérifier que la déclaration du peer est bonne :

~~~
# wg
interface: wg0
  public key: *****
  private key: (hidden)
  listening port: 51820

peer: *****
  allowed ips: 192.0.2.0/24, 2001:db8::/64
~~~

Quand le client aura monté sa connexion WireGuard, son adresse IP sera visible dans une valeur `endpoint`.

## Configuration du client

Il faut donner au client les paramètres générés côté serveur :

~~~
[Interface]
PrivateKey = ***** # Contenu de /etc/wireguard/keys/client_priv
Address = 192.0.2.2/24, 2001:db8::2/64

[Peer]
PublicKey = ***** # Contenu de /etc/wireguard/keys/serveur_pub
PresharedKey = ***** # Contenu de /etc/wireguard/keys/client_psk
Endpoint = <server_ip>:51820
AllowedIPs = 0.0.0.0/0, ::/0
~~~

## Débogage

Sous OpenBSD :

En cas de besoin, il est possible d'activer ou désactiver le débogage.

~~~
# ifconfig wg0 debug
# ifconfig wg0 -debug
~~~
Amélioration du Howto avec notamment l'ajout de la configuration sous OpenBSD 2020-06-29 15:18:58 +02:00			`---`
			`title: Howto Wireguard`
			`categories: sysadmin network vpn`
			`...`

Ré-écriture complète pour utiliser wg et wg-quick 2023-10-11 12:32:33 +02:00			`* Site officiel WireGuard : <https://www.wireguard.com/>`
Amélioration du Howto avec notamment l'ajout de la configuration sous OpenBSD 2020-06-29 15:18:58 +02:00			`* OpenBSD Manpage <https://man.openbsd.org/wg>`
Ré-écriture complète pour utiliser wg et wg-quick 2023-10-11 12:32:33 +02:00			`* Debian Manpage <https://manpages.debian.org/stable/wireguard-tools/wg.8.en.html>`
Amélioration du Howto avec notamment l'ajout de la configuration sous OpenBSD 2020-06-29 15:18:58 +02:00
			[WireGuard](https://www.wireguard.com/) est une solution de communication Open source qui implémente la technique de réseau privé virtuel (VPN) pour créer des connexions point à point sécurisées. C'est une solution simple, moderne et rapide qui utilise une cryptographie moderne. Il vise à être plus rapide, plus simple et plus léger que IPsec. Il est également considérablement plus performant que OpenVPN. Initialement publié pour le noyau Linux, il est désormais multiplateforme (Windows, macOS, BSD, iOS, Android) et largement déployable. Il est déjà considéré comme la solution VPN la plus sécurisée et la plus simple à utiliser.

			`## Installation`

Ré-écriture complète pour utiliser wg et wg-quick 2023-10-11 12:32:33 +02:00			`Sous Debian (Kernel >= 5.6) et OpenBSD (>= 6.8), Wireguard fait partie du Kernel.`
Amélioration du Howto avec notamment l'ajout de la configuration sous OpenBSD 2020-06-29 15:18:58 +02:00
Ré-écriture complète pour utiliser wg et wg-quick 2023-10-11 12:32:33 +02:00			`### Debian`
Amélioration du Howto avec notamment l'ajout de la configuration sous OpenBSD 2020-06-29 15:18:58 +02:00
Ajout d'une section commandes utiles + modifications de titres 2020-06-30 11:20:10 +02:00			`~~~`
Ré-écriture complète pour utiliser wg et wg-quick 2023-10-11 12:32:33 +02:00			`# apt install wireguard`
Ajout d'une section commandes utiles + modifications de titres 2020-06-30 11:20:10 +02:00
Ré-écriture complète pour utiliser wg et wg-quick 2023-10-11 12:32:33 +02:00			`$ wg --version`
			`wireguard-tools v1.0.20210223 - https://git.zx2c4.com/wireguard-tools/`
Ajout d'une section commandes utiles + modifications de titres 2020-06-30 11:20:10 +02:00			`~~~`

Ré-écriture complète pour utiliser wg et wg-quick 2023-10-11 12:32:33 +02:00			`### OpenBSD`
Ajout d'une section commandes utiles + modifications de titres 2020-06-30 11:20:10 +02:00
			`~~~`
Ré-écriture complète pour utiliser wg et wg-quick 2023-10-11 12:32:33 +02:00			`# pkg_add wireguard-tools`
Ajout d'une section commandes utiles + modifications de titres 2020-06-30 11:20:10 +02:00
Ré-écriture complète pour utiliser wg et wg-quick 2023-10-11 12:32:33 +02:00			`$ wg --version`
			`wireguard-tools v1.0.20210914 - https://git.zx2c4.com/wireguard-tools/`
Ajout d'une section commandes utiles + modifications de titres 2020-06-30 11:20:10 +02:00			`~~~`

Ré-écriture complète pour utiliser wg et wg-quick 2023-10-11 12:32:33 +02:00			`## Configuration du serveur`
Ajout d'une section commandes utiles + modifications de titres 2020-06-30 11:20:10 +02:00
Ré-écriture complète pour utiliser wg et wg-quick 2023-10-11 12:32:33 +02:00			Autoriser le routage via `sysctl` :
Amélioration du Howto avec notamment l'ajout de la configuration sous OpenBSD 2020-06-29 15:18:58 +02:00
			`~~~`
Ré-écriture complète pour utiliser wg et wg-quick 2023-10-11 12:32:33 +02:00			`# echo "net.ipv4.conf.all.forwarding = 1" >> /etc/sysctl.d/wireguard.conf`
			`# echo "net.ipv6.conf.all.forwarding = 1" >> /etc/sysctl.d/wireguard.conf`
			`# sysctl -p /etc/sysctl.d/wireguard.conf`
Amélioration du Howto avec notamment l'ajout de la configuration sous OpenBSD 2020-06-29 15:18:58 +02:00			`~~~`

Ré-écriture complète pour utiliser wg et wg-quick 2023-10-11 12:32:33 +02:00			`Générer une clé privée pour le serveur et sa clé publique :`
Amélioration du Howto avec notamment l'ajout de la configuration sous OpenBSD 2020-06-29 15:18:58 +02:00
			`~~~`
Ré-écriture complète pour utiliser wg et wg-quick 2023-10-11 12:32:33 +02:00			`# mkdir /etc/wireguard/keys/`
			`# wg genkey \| tee /etc/wireguard/keys/serveur_priv \| wg pubkey > /etc/wireguard/keys/serveur_pub`
Amélioration du Howto avec notamment l'ajout de la configuration sous OpenBSD 2020-06-29 15:18:58 +02:00			`~~~`

Ré-écriture complète pour utiliser wg et wg-quick 2023-10-11 12:32:33 +02:00			Créer un fichier de configuration `/etc/wireguard/wg0.conf`, pour l'interface `wg0` :
Amélioration du Howto avec notamment l'ajout de la configuration sous OpenBSD 2020-06-29 15:18:58 +02:00
			`~~~`
Ré-écriture complète pour utiliser wg et wg-quick 2023-10-11 12:32:33 +02:00			`[Interface]`
			`Address = 192.0.2.1/24, 2001:db8::1/64`
			`SaveConfig = false`
			`ListenPort = 51820`
			`PrivateKey = ***** # Contenu de /etc/wireguard/keys/serveur_priv`
Amélioration du Howto avec notamment l'ajout de la configuration sous OpenBSD 2020-06-29 15:18:58 +02:00			`~~~`

Ré-écriture complète pour utiliser wg et wg-quick 2023-10-11 12:32:33 +02:00			`Avec :`
Amélioration du Howto avec notamment l'ajout de la configuration sous OpenBSD 2020-06-29 15:18:58 +02:00
Ré-écriture complète pour utiliser wg et wg-quick 2023-10-11 12:32:33 +02:00			* `Address` : l'IP dans le réseau WireGuard attribuée au serveur
			* `SaveConfig` : si true, la configuration est mise en mémoire (et protégée) tout le temps que l'interface est active ; signifie que si le fichier de configuration est modifié pendant que le VPN est UP, alors il sera remis comme il était au moment de son démarrage lorsqu'il sera coupé
			* `ListenPort` : le port d'écoute de WireGuard, 51820 est celui par défaut
			* `PrivateKey` : la valeur de la clé privée du serveur, générée plus tôt
Amélioration du Howto avec notamment l'ajout de la configuration sous OpenBSD 2020-06-29 15:18:58 +02:00
Ré-écriture complète pour utiliser wg et wg-quick 2023-10-11 12:32:33 +02:00			Il suffit ensuite de démarrer notre VPN avec `wg-quick` :
Amélioration du Howto avec notamment l'ajout de la configuration sous OpenBSD 2020-06-29 15:18:58 +02:00
			`~~~`
Ré-écriture complète pour utiliser wg et wg-quick 2023-10-11 12:32:33 +02:00			`# wg-quick up wg0`
			`OU`
			`# systemctl start wg-quick@wg0.service`
Amélioration du Howto avec notamment l'ajout de la configuration sous OpenBSD 2020-06-29 15:18:58 +02:00			`~~~`

Ré-écriture complète pour utiliser wg et wg-quick 2023-10-11 12:32:33 +02:00			On peut voir la configuration en cours avec `wg` :
Amélioration du Howto avec notamment l'ajout de la configuration sous OpenBSD 2020-06-29 15:18:58 +02:00
			`~~~`
Ré-écriture complète pour utiliser wg et wg-quick 2023-10-11 12:32:33 +02:00			`# wg`
			`interface: wg0`
			`public key: *****`
			`private key: (hidden)`
			`listening port: 51820`
Amélioration du Howto avec notamment l'ajout de la configuration sous OpenBSD 2020-06-29 15:18:58 +02:00			`~~~`

Ré-écriture complète pour utiliser wg et wg-quick 2023-10-11 12:32:33 +02:00			Enfin, on peut activer le démarrage automatique de notre interface `wg0` :
Amélioration du Howto avec notamment l'ajout de la configuration sous OpenBSD 2020-06-29 15:18:58 +02:00
			`~~~`
Ré-écriture complète pour utiliser wg et wg-quick 2023-10-11 12:32:33 +02:00			`# systemctl enable wg-quick@wg0.service`
Amélioration du Howto avec notamment l'ajout de la configuration sous OpenBSD 2020-06-29 15:18:58 +02:00			`~~~`

Ré-écriture complète pour utiliser wg et wg-quick 2023-10-11 12:32:33 +02:00			`## Déclaration des clients côté serveur`
Amélioration du Howto avec notamment l'ajout de la configuration sous OpenBSD 2020-06-29 15:18:58 +02:00
Ré-écriture complète pour utiliser wg et wg-quick 2023-10-11 12:32:33 +02:00			`Générer une clé privée pour un client et sa clé publique, puis une clé pré-partagée :`
Amélioration du Howto avec notamment l'ajout de la configuration sous OpenBSD 2020-06-29 15:18:58 +02:00
			`~~~`
Ré-écriture complète pour utiliser wg et wg-quick 2023-10-11 12:32:33 +02:00			`# wg genkey \| tee /etc/wireguard/keys/client_priv \| wg pubkey > /etc/wireguard/keys/client_pub`
			`# wg genpsk > /etc/wireguard/keys/client_psk`
Amélioration du Howto avec notamment l'ajout de la configuration sous OpenBSD 2020-06-29 15:18:58 +02:00			`~~~`

Ré-écriture complète pour utiliser wg et wg-quick 2023-10-11 12:32:33 +02:00			Dans le fichier de configuration `/etc/wireguard/wg0.conf`, sous le bloc `[Interface]`, on crée un bloc `[Peer]` par client :
Amélioration du Howto avec notamment l'ajout de la configuration sous OpenBSD 2020-06-29 15:18:58 +02:00
			`~~~`
Ré-écriture complète pour utiliser wg et wg-quick 2023-10-11 12:32:33 +02:00			`[Peer] # Client 1`
			`PublicKey = ***** # Contenu de /etc/wireguard/keys/client_pub`
			`PresharedKey= ***** # Contenu de /etc/wireguard/keys/client_psk`
			`AllowedIPs = 192.0.2.0/24, 2001:db8::/64`
Amélioration du Howto avec notamment l'ajout de la configuration sous OpenBSD 2020-06-29 15:18:58 +02:00			`~~~`

Ré-écriture complète pour utiliser wg et wg-quick 2023-10-11 12:32:33 +02:00			Puis on redémarre l'interface `wg0` :
Amélioration du Howto avec notamment l'ajout de la configuration sous OpenBSD 2020-06-29 15:18:58 +02:00
			`~~~`
Ré-écriture complète pour utiliser wg et wg-quick 2023-10-11 12:32:33 +02:00			`# wg-quick down wg0 && wg-quick up wg0`
			`OU`
			`# systemctl restart wg-quick@wg0.service`
Amélioration du Howto avec notamment l'ajout de la configuration sous OpenBSD 2020-06-29 15:18:58 +02:00			`~~~`

Ré-écriture complète pour utiliser wg et wg-quick 2023-10-11 12:32:33 +02:00			`Et on peut vérifier que la déclaration du peer est bonne :`
init 2018-08-20 22:43:45 +02:00
			`~~~`
			`# wg`
Ré-écriture complète pour utiliser wg et wg-quick 2023-10-11 12:32:33 +02:00			`interface: wg0`
			`public key: *****`
			`private key: (hidden)`
			`listening port: 51820`

			`peer: *****`
			`allowed ips: 192.0.2.0/24, 2001:db8::/64`
init 2018-08-20 22:43:45 +02:00			`~~~`

Ré-écriture complète pour utiliser wg et wg-quick 2023-10-11 12:32:33 +02:00			Quand le client aura monté sa connexion WireGuard, son adresse IP sera visible dans une valeur `endpoint`.

			`## Configuration du client`

			`Il faut donner au client les paramètres générés côté serveur :`
init 2018-08-20 22:43:45 +02:00
			`~~~`
Ré-écriture complète pour utiliser wg et wg-quick 2023-10-11 12:32:33 +02:00			`[Interface]`
			`PrivateKey = ***** # Contenu de /etc/wireguard/keys/client_priv`
			`Address = 192.0.2.2/24, 2001:db8::2/64`

			`[Peer]`
			`PublicKey = ***** # Contenu de /etc/wireguard/keys/serveur_pub`
			`PresharedKey = ***** # Contenu de /etc/wireguard/keys/client_psk`
			`Endpoint = <server_ip>:51820`
			`AllowedIPs = 0.0.0.0/0, ::/0`
init 2018-08-20 22:43:45 +02:00			`~~~`
Amélioration du Howto avec notamment l'ajout de la configuration sous OpenBSD 2020-06-29 15:18:58 +02:00
			`## Débogage`

			`Sous OpenBSD :`

			`En cas de besoin, il est possible d'activer ou désactiver le débogage.`

			`~~~`
			`# ifconfig wg0 debug`
			`# ifconfig wg0 -debug`
Ré-écriture complète pour utiliser wg et wg-quick 2023-10-11 12:32:33 +02:00			`~~~`