{"id":1625,"date":"2024-08-21T09:27:48","date_gmt":"2024-08-21T07:27:48","guid":{"rendered":"https:\/\/www.delixirpro.com\/blog\/?p=1625"},"modified":"2024-10-30T10:53:38","modified_gmt":"2024-10-30T09:53:38","slug":"creer-une-connexion-vpn-site-a-site-avec-wireguard-sous-pfsense","status":"publish","type":"post","link":"https:\/\/www.delixirpro.com\/blog\/2024\/08\/21\/creer-une-connexion-vpn-site-a-site-avec-wireguard-sous-pfsense\/","title":{"rendered":"Connexion VPN site \u00e0 site avec Wireguard sous pfSense"},"content":{"rendered":"\n
\"\"<\/figure>\n\n\n\n

WireGuard est un outil VPN plus rapide, plus simple et plus l\u00e9ger qu’un outil comme OpenVPN. Alors qu’OpenVPN a l’avantage de la long\u00e9vit\u00e9.<\/p>\n\n\n\n

Il est l’un des protocoles VPN des plus r\u00e9cent et des plus rapide que beaucoup souhaitent essayer.<\/p>\n\n\n\n

Bien que nous abordions dans ce tutoriel la mani\u00e8re d’installer WireGuard sur pfSense, sachez qu’il s’agit d’un package assez r\u00e9cent et que pour cette raison vous pourriez rencontrer des probl\u00e8mes. Le processus ci-dessous \u00e0 tr\u00e8s bien fonctionn\u00e9 pour moi avec des versions \u00e0 jour. pfSense est actuellement en 2.7.2. et Wireguard en 0.2.0_2.<\/p>\n\n\n\n

Comment configurer WireGuard sur pfSense<\/h2>\n\n\n\n

A. Installer WireGuard sur les routeurs pfSense<\/h3>\n\n\n\n

La premi\u00e8re chose \u00e0 faire est d’installer le package pour WireGuard sur les routeurs pfSense.<\/p>\n\n\n\n

Suivez les instructions ci-dessous pour installer le package WireGuard :<\/p>\n\n\n\n

1. Ouvrez le gestionnaire de paquets (Package Manager<\/strong>) depuis System <\/strong>et recherchez WireGuard<\/em><\/strong>,<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

2. Recherchez WireGuard <\/strong>puis installez la derni\u00e8re version du paquet.<\/p>\n\n\n\n

Le serveur WireGuard sera alors install\u00e9.<\/p>\n\n\n\n

    \n
  • <\/li>\n<\/ul>\n\n\n\n
    \"\"<\/figure>\n\n\n\n

    3. Une fois le package install\u00e9, s\u00e9lectionnez VPN <\/strong>puis WireGuard<\/strong>.<\/p>\n\n\n\n

      \n
    • <\/li>\n<\/ul>\n\n\n\n

      B. Configurer WireGuard sur la partie serveur<\/h3>\n\n\n\n

      B.1. Cr\u00e9ation du tunnel<\/h4>\n\n\n\n
      \"\"<\/figure>\n\n\n\n

      1. Et sous la section Tunnels <\/strong>, s\u00e9lectionnez \u00ab\u00a0Add un Tunnel<\/strong>\u00ab\u00a0.<\/p>\n\n\n\n

        \n
      1. <\/li>\n<\/ol>\n\n\n\n
        \"\"<\/figure>\n\n\n\n

        2. Dans la configuration du tunnel,<\/strong> d\u00e9finissez la description sur le nom que vous souhaiter, le port d’\u00e9coute<\/strong> sur 51820,<\/strong> puis g\u00e9n\u00e9rez<\/strong> des cl\u00e9s priv\u00e9es et publiques. <\/p>\n\n\n\n

        \"\"<\/figure>\n\n\n\n

        Enregistrer le tunnel sans toucher aux autres options.<\/p>\n\n\n\n

        \"\"<\/figure>\n\n\n\n

        3. Allez dans le menu Settings<\/strong>, Cochez Enable WireGuard<\/strong> et faire Save<\/strong>.<\/p>\n\n\n\n

        \"\"<\/figure>\n\n\n\n

        4. Puis cliquez sur \u00ab\u00a0Apply Changes<\/strong>\u00ab\u00a0<\/p>\n\n\n\n

        \"\"<\/figure>\n\n\n\n

        B.2. Configuration de l’interface WireGuard du tunnel<\/h4>\n\n\n\n

        1. Allez dans le Menu \u00ab\u00a0Interfaces<\/strong>\u00a0\u00bb > \u00ab\u00a0Assignments<\/strong>\u00ab\u00a0<\/p>\n\n\n\n

        \"\"<\/figure>\n\n\n\n

        2. Faire \u00ab\u00a0+Add<\/strong>\u00a0\u00bb et s\u00e9lectionner \u00ab\u00a0tun_wg0<\/strong>\u00a0\u00bb (le nom peut diff\u00e9rer si vous avez plusieurs tunnels)<\/p>\n\n\n\n

        \"\"<\/figure>\n\n\n\n

        3. Cliquez sur \u00ab\u00a0OPT1<\/strong>\u00ab\u00a0<\/p>\n\n\n\n

        \"\"<\/figure>\n\n\n\n

        4. Configurer l’interface WireGuard<\/p>\n\n\n\n

          \n
        1. Cochez \u00ab\u00a0Enable Interface<\/strong>\u00ab\u00a0,<\/li>\n\n\n\n
        2. En description, mettre \u00ab\u00a0WG_VPN<\/strong>\u00ab\u00a0,<\/li>\n\n\n\n
        3. Dans la configuration IPv4 mettre \u00ab\u00a0Static IPv4<\/strong>\u00ab\u00a0,<\/li>\n\n\n\n
        4. S\u00e9lectionnez None<\/strong> sur la case IPv6 si non utilis\u00e9e<\/li>\n\n\n\n
        5. D\u00e9finissez l’adresse IP sur \u00ab\u00a010.6.210.2″<\/strong>, masque \u00ab\u00a0\/24<\/strong>\u00a0\u00bb sous Static IPv4 Configuration
          Si vous souhaitez utiliser une plage de sous-r\u00e9seaux diff\u00e9rente, vous pouvez remplacer par celle que vous souhaitez (\u00e0 condition qu’elle ne soit pas actuellement utilis\u00e9e).<\/em><\/li>\n\n\n\n
        6. Faire Save <\/strong>via le bouton tout en bas.<\/li>\n<\/ol>\n\n\n\n
          \n

          Note : nous indiquons ici une valeur de MSS sp\u00e9cifique. Apr\u00e8s avoir \u00e9tablie la connexion VPN et que tout fonctionnait comme il faut, nous n’arrvions pas \u00e0 acc\u00e9der \u00e0 chaque interface du Webconfigurator du pfSense distant (respectivement 192.168.12.1 \u00e0 partir du r\u00e9seau 192.168.13.0\/24 et vice versa). Le souci est du \u00e0 une taille de paquet ou de segment de donn\u00e9es trop importante.
          La valeur MSS \u00e0 1380 a permis de r\u00e9gler le souci. Nous avons aussi noter une nette augmentation des d\u00e9bits une fois la valeur MSS ajust\u00e9e.
          Cette donn\u00e9e MSS, tout comme la valeur MTU, est \u00e0 ajuster selon vos besoins.<\/strong><\/p>\n<\/blockquote>\n\n\n\n

          \"\"<\/figure>\n\n\n\n

          5.Faire \u00ab\u00a0Apply Changes<\/strong>\u00ab\u00a0<\/p>\n\n\n\n

          \"\"<\/figure>\n\n\n\n

          B.3. Configuration des r\u00e8gles de pare-feu<\/h4>\n\n\n\n

          Maintenant qu’un tunnel et une interface WireGuard ont \u00e9t\u00e9 cr\u00e9\u00e9s, nous devons cr\u00e9er des r\u00e8gles de pare-feu pour WireGuard sur pfSense. Une pour notre interface WG_VPN et une pour le WAN (pour autoriser le trafic sur le port 51820).<\/p>\n\n\n\n

          1. R\u00e8gle Wireguard<\/p>\n\n\n\n

          Trafic Any\/Any en IPv4<\/strong>, autoriser tout le traffic pour Wireguard<\/p>\n\n\n\n

            \n
          1. <\/li>\n<\/ol>\n\n\n\n
            \"\"<\/figure>\n\n\n\n

            2. R\u00e8gle WAN<\/p>\n\n\n\n

            Trafic 51820\/udp@WAN address<\/strong>, ce qui permet aux clients de se connecter au serveur WireGuard<\/p>\n\n\n\n

            \"\"<\/figure>\n\n\n\n

            3. R\u00e8gle LAN<\/p>\n\n\n\n

            Trafic Any\/Any en IPv4<\/strong>, autoriser tout le traffic sur le LAN<\/p>\n\n\n\n

            \"\"<\/figure>\n\n\n\n

            4. R\u00e8gle WG_VPN<\/p>\n\n\n\n

            Trafic Any\/Any en IPv4<\/strong>, autoriser tout le trafic sur le WG_VPN<\/p>\n\n\n\n

            \"\"<\/figure>\n\n\n\n

            La partie de configuration du tunnel est presque termin\u00e9e mais il reste \u00e0 cr\u00e9er le \u00ab\u00a0peer\u00a0\u00bb. Cela sera trait\u00e9 apr\u00e8s avoir cr\u00e9er le tunnel c\u00f4t\u00e9 client.<\/p>\n\n\n\n

            C. Configurer WireGuard c\u00f4t\u00e9 Client<\/h2>\n\n\n\n

            C.1. Cr\u00e9ation du tunnel<\/h3>\n\n\n\n

            Comme pour le serveur, nous allons cr\u00e9\u00e9 le tunnel VPN du client<\/p>\n\n\n\n

            1. Sous la section Tunnels<\/strong> , s\u00e9lectionnez Add Tunnel<\/strong><\/p>\n\n\n\n

            \"\"<\/figure>\n\n\n\n

            2. Dans la configuration du tunnel,<\/strong> d\u00e9finissez la description sur le nom que vous souhaiter, le port d\u2019\u00e9coute<\/strong> sur 51820,<\/strong> puis g\u00e9n\u00e9rez<\/strong> des cl\u00e9s priv\u00e9es et publiques.<\/p>\n\n\n\n

            \"\"<\/figure>\n\n\n\n

            Enregistrer le tunnel sans toucher aux autres options.<\/p>\n\n\n\n

            \"\"<\/figure>\n\n\n\n

            2. Allez dans le menu Settings<\/strong>, Cochez Enable WireGuard<\/strong> et faire Save<\/strong>.<\/p>\n\n\n\n

            \"\"<\/figure>\n\n\n\n

            3. Puis cliquez sur \u00ab\u00a0Apply Changes<\/strong>\u00ab\u00a0<\/p>\n\n\n\n

            \"\"<\/figure>\n\n\n\n

            C.2. Configuration de l\u2019interface WireGuard du tunnel<\/h4>\n\n\n\n

            1. Allez dans le Menu \u00ab\u00a0Interfaces<\/strong>\u00a0\u00bb et \u00ab\u00a0Assignments<\/strong>\u00ab\u00a0<\/p>\n\n\n\n

            \"\"<\/figure>\n\n\n\n

            2. Faire \u00ab\u00a0+Add<\/strong>\u00ab\u00a0. Comme pour la partie serveur s\u00e9lectionner<\/strong> le tunnel pour qui vous souhaiter ajouter une interface. <\/p>\n\n\n\n

            \"\"<\/figure>\n\n\n\n

            3. Cliquez sur \u00ab\u00a0OPT1<\/strong>\u00ab\u00a0<\/p>\n\n\n\n

            \"\"<\/figure>\n\n\n\n

            4. Configurer l\u2019interface WireGuard<\/p>\n\n\n\n

              \n
            1. Cochez \u00ab Enable Interface<\/strong>\u00ab ,<\/li>\n\n\n\n
            2. En description, mettre \u00ab\u00a0WG_VPN<\/strong>\u00a0\u00bb ,<\/li>\n\n\n\n
            3. Dans la configuration IPv4 mettre \u00ab\u00a0Static IPv4<\/strong>\u00a0\u00bb ,<\/li>\n\n\n\n
            4. S\u00e9lectionnez None<\/strong> sur la case IPv6 si non utilis\u00e9e<\/li>\n\n\n\n
            5. D\u00e9finissez l\u2019adresse IP sur \u00ab 10.6.210.1\u2033<\/strong>, masque \u00ab \/24<\/strong> \u00bb sous Static IPv4 Configuration
              Si vous souhaitez utiliser une plage de sous-r\u00e9seaux diff\u00e9rente, vous pouvez remplacer par celle que vous souhaitez (\u00e0 condition qu\u2019elle ne soit pas actuellement utilis\u00e9e).<\/em> <\/li>\n\n\n\n
            6. Faire Save <\/strong>via le bouton tout en bas.<\/li>\n<\/ol>\n\n\n\n
              \"\"<\/figure>\n\n\n\n

              5.Faire \u00ab Apply Changes<\/strong>\u00ab\u00a0<\/p>\n\n\n\n

              \"\"<\/figure>\n\n\n\n

              C.3. Configuration des r\u00e8gles de pare-feu<\/h3>\n\n\n\n

              Maintenant qu’un tunnel et une interface WireGuard ont \u00e9t\u00e9 cr\u00e9\u00e9s, nous devons cr\u00e9er deux r\u00e8gles de pare-feu pour WireGuard sur pfSense. Une pour notre interface WG_VPN et une Wireguard<\/p>\n\n\n\n

              \n

              Notez que, contrairement \u00e0 la configuration serveur, il n’y a pas besoin d’autoriser l’ouverture du port 51820 car c’est notre client qui vient se connecter au serveur et pas le contraire.<\/p>\n<\/blockquote>\n\n\n\n

              1. R\u00e8gle Wireguard<\/p>\n\n\n\n

              Trafic Any\/Any en IPv4<\/strong>, autoriser tout le traffic pour Wireguard <\/p>\n\n\n\n

              \"\"<\/figure>\n\n\n\n

              2. R\u00e8gle WG_VPN<\/p>\n\n\n\n

              Trafic Any\/Any en IPv4<\/strong>, autoriser tout le trafic sur le WG_VPN<\/p>\n\n\n\n

              \"\"<\/figure>\n\n\n\n

              D. Configuration des PEER sur les deux tunnels<\/h3>\n\n\n\n

              D.1. C\u00f4t\u00e9 client<\/h4>\n\n\n\n

              1. Aller dans VPN > WIREGUARD > PEERS<\/strong> puis cliquer sur \u00ab\u00a0Add Peer<\/strong>\u00ab\u00a0<\/p>\n\n\n\n

              Renseigner les \u00e9l\u00e9ments de la Peer Configuration :<\/p>\n\n\n\n

                \n
              • Dans le champ Public key<\/strong>, renseigner celle qui a \u00e9t\u00e9 g\u00e9n\u00e9r\u00e9e par le tunnel coter serveur<\/strong><\/li>\n\n\n\n
              • Dans le champs EndPoint<\/strong> renseigner l’IP public du pfSense c\u00f4t\u00e9 serveur<\/li>\n<\/ul>\n\n\n\n
                \n

                Rappelons que c’est notre \u00ab\u00a0client\u00a0\u00bb qui vient se connecter au \u00ab\u00a0serveur\u00a0\u00bb.<\/p>\n<\/blockquote>\n\n\n\n

                \"\"<\/figure>\n\n\n\n

                2. Dans la section Address Configuration<\/strong>, ajouter les r\u00e9seaux accessibles (depuis le bouton \u00ab\u00a0+Add Allowed IP<\/strong>\u00ab\u00a0) :<\/p>\n\n\n\n

                  \n
                • 10.6.210.2 en \/32 qui correspond \u00e0 notre WG_VPN c\u00f4t\u00e9 serveur<\/li>\n\n\n\n
                • 192.168.12.0 en \/24 qui correspond \u00e0 notre r\u00e9seau c\u00f4t\u00e9 serveur<\/li>\n\n\n\n
                • 192.168.13.0 en \/24 qui correspond \u00e0 notre r\u00e9seau c\u00f4t\u00e9 client<\/li>\n<\/ul>\n\n\n\n

                  3. Sauvegarde avec Save Peer<\/strong><\/p>\n\n\n\n

                  D.2. C\u00f4t\u00e9 serveur<\/h4>\n\n\n\n

                  2. Aller dans VPN > WIREGUARD > PEERS<\/strong> puis cliquer sur \u00ab\u00a0Add Peer<\/strong>\u00ab\u00a0<\/p>\n\n\n\n

                  Renseigner les \u00e9l\u00e9ments de la Peer Configuration :<\/p>\n\n\n\n

                    \n
                  • Dans le champ Public key<\/strong>, renseigner celle qui a \u00e9t\u00e9 g\u00e9n\u00e9r\u00e9e par le tunnel coter serveur<\/strong><\/li>\n\n\n\n
                  • A la place du champ EndPoint, vous devez cocher \u00ab\u00a0Dynamic<\/strong>\u00a0\u00bb car il n’y a pas \u00e0 sp\u00e9cifier l’adresse IP du client : c’est notre client qui vient se connecter au serveur, pas le contraire.<\/li>\n<\/ul>\n\n\n\n
                    \"\"<\/figure>\n\n\n\n

                    2. Dans la section Address Configuration<\/strong>, ajouter les r\u00e9seaux accessibles (depuis le bouton \u00ab\u00a0+Add Allowed IP<\/strong>\u00ab\u00a0) :<\/p>\n\n\n\n

                      \n
                    • 10.6.210.1 en \/32 qui correspond \u00e0 notre WG_VPN c\u00f4t\u00e9 client<\/li>\n\n\n\n
                    • 192.168.13.0 en \/24 qui correspond \u00e0 notre r\u00e9seau c\u00f4t\u00e9 client<\/li>\n\n\n\n
                    • 192.168.12.0 en \/24 qui correspond \u00e0 notre r\u00e9seau c\u00f4t\u00e9 serveur<\/li>\n<\/ul>\n\n\n\n

                      3. Sauvegarde avec Save Peer<\/strong><\/p>\n\n\n\n

                      E. Cr\u00e9ation des Gateway<\/h2>\n\n\n\n

                      E.1. Gateway c\u00f4t\u00e9 serveur<\/h4>\n\n\n\n

                      1. Faire Add<\/strong> et sp\u00e9cifier les param\u00e8tres suivants :<\/p>\n\n\n\n

                        \n
                      • Nom : \u00ab\u00a0VPN_GW<\/strong>\u00ab\u00a0<\/li>\n\n\n\n
                      • Interface : \u00ab\u00a0WG_VPN<\/strong>\u00ab\u00a0<\/li>\n\n\n\n
                      • IP : 10.6.210.2<\/strong><\/li>\n<\/ul>\n\n\n\n
                        \n

                        Note : La Gateway c\u00f4te client doit \u00eatre l’IP de la pate WG_VPN c\u00f4te serveur.<\/p>\n<\/blockquote>\n\n\n\n

                        \"\"<\/figure>\n\n\n\n

                        E.1. Gateway c\u00f4t\u00e9 client<\/h4>\n\n\n\n

                        1. Faire Add<\/strong> et sp\u00e9cifier les param\u00e8tres suivants :<\/p>\n\n\n\n

                          \n
                        • Nom : \u00ab\u00a0VPN_GW<\/strong>\u00ab\u00a0<\/li>\n\n\n\n
                        • Interface : \u00ab\u00a0WG_VPN<\/strong>\u00ab\u00a0<\/li>\n\n\n\n
                        • IP : 10.6.210.1<\/strong><\/li>\n<\/ul>\n\n\n\n
                          \n

                          Note : La Gateway c\u00f4te serveur doit \u00eatre l’IP de la patte WG_VPN c\u00f4te client.<\/p>\n<\/blockquote>\n\n\n\n

                          \"\"<\/figure>\n\n\n\n

                          F. Cr\u00e9ation des routes<\/h3>\n\n\n\n

                          F.1. C\u00f4t\u00e9 Serveur<\/h4>\n\n\n\n

                          1. System > Routing > Static Routes puis +Add<\/strong><\/p>\n\n\n\n

                          Renseignez les information de la route :<\/p>\n\n\n\n

                            \n
                          • Network : r\u00e9seau quel on veut acc\u00e9der (ici 192.168.13.0\/24, soit le r\u00e9seau \u00ab\u00a0client\u00a0\u00bb)<\/li>\n\n\n\n
                          • Gateway : Indiquer la passerelle du client (ici 10.6.210.1)<\/li>\n<\/ul>\n\n\n\n

                            2. Sauvegarder avec Save<\/strong><\/p>\n\n\n\n

                            \"\"<\/figure>\n\n\n\n

                            F.2. C\u00f4t\u00e9 Client<\/h4>\n\n\n\n

                            1. System > Routing > Static Routes puis +Add<\/strong><\/p>\n\n\n\n

                            Renseignez les information de la route :<\/p>\n\n\n\n

                              \n
                            • Network : r\u00e9seau quel on veut acc\u00e9der (ici 192.168.12.0\/24, soit le r\u00e9seau \u00ab\u00a0serveur\u00a0\u00bb)<\/li>\n\n\n\n
                            • Gateway : Indiquer la passerelle du client (ici 10.6.210.2)<\/li>\n<\/ul>\n\n\n\n

                              2. Sauvegarder avec Save<\/strong><\/p>\n\n\n\n

                              \"\"<\/figure>\n\n\n\n

                              V\u00e9rifier le bon fonctionnement du VPN WireGuard<\/h2>\n\n\n\n

                              Aller dans Status > WireGuard<\/p>\n\n\n\n

                              \"\"<\/figure>\n\n\n\n

                              La connexion en vert indique que le VPN est actif et connect\u00e9.<\/p>\n\n\n\n

                              <\/p>\n","protected":false},"excerpt":{"rendered":"

                              WireGuard est un outil VPN plus rapide, plus simple et plus l\u00e9ger qu’un outil comme OpenVPN. Alors qu’OpenVPN a l’avantage de la long\u00e9vit\u00e9. Il est l’un des protocoles VPN des plus r\u00e9cent et des...<\/p>\n","protected":false},"author":1,"featured_media":1630,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4,8,40],"tags":[27,82,184],"class_list":["post-1625","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-securite","category-tech-tips","category-tutoriel","tag-pfsense","tag-vpn","tag-wireguard"],"_links":{"self":[{"href":"https:\/\/www.delixirpro.com\/blog\/wp-json\/wp\/v2\/posts\/1625","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.delixirpro.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.delixirpro.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.delixirpro.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.delixirpro.com\/blog\/wp-json\/wp\/v2\/comments?post=1625"}],"version-history":[{"count":43,"href":"https:\/\/www.delixirpro.com\/blog\/wp-json\/wp\/v2\/posts\/1625\/revisions"}],"predecessor-version":[{"id":1777,"href":"https:\/\/www.delixirpro.com\/blog\/wp-json\/wp\/v2\/posts\/1625\/revisions\/1777"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.delixirpro.com\/blog\/wp-json\/wp\/v2\/media\/1630"}],"wp:attachment":[{"href":"https:\/\/www.delixirpro.com\/blog\/wp-json\/wp\/v2\/media?parent=1625"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.delixirpro.com\/blog\/wp-json\/wp\/v2\/categories?post=1625"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.delixirpro.com\/blog\/wp-json\/wp\/v2\/tags?post=1625"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}