Différences

Ci-dessous, les différences entre deux révisions de la page.

--- reseau:wireguard [2024/08/17 00:04] – [Configuration côté client] alarig
+++ reseau:wireguard [2025/04/23 13:39] (Version actuelle) – alarig
@@ Ligne 10: / Ligne 10: @@
 ===== Technique =====
-Pour le moment le PoC se passe sur `ovpn02.grif` histoire d’éviter de spawn une VM juste pour les tests
+On réutilise les VM ` ovpn01.grif` et `ovpn02.grif` histoire d’éviter de spawn une VM juste pour « rien ».
+La redondance BGP se fait sur le routeur ID, et la synchro entre les deux se fait avec un rsync en cron. Par contre, il ne gère pas la suppression de VPN, il faut aller supprimer la conf sur les deux machines.
+<file bash | /usr/local/sbin/rsync-wg.sh>
+#!/usr/bin/env bash
+die() {
+	echo "$1"
+	exit 1
+}
+if [ "$1" = "" ]; then
+	echo "The first argument must be the remote containing the production configs"
+	die "Other arguments are ignored"
+else
+	REMOTE="$1"
+fi
+which rsync 1>/dev/null || die "This script needs rsync"
+getent hosts "${REMOTE}" 1>/dev/null || die "The remote ${REMOTE} is not resolvable"
+if [ ! -d /etc/wireguard/ ]; then
+	mkdir -p /etc/wireguard/
+fi
+RSYNC_OPTIONS="-aX"
+SSH_OPTIONS="-o PreferredAuthentications=publickey"
+rsync ${RSYNC_OPTIONS} -e "ssh ${SSH_OPTIONS}" \
+	${REMOTE}:/etc/wireguard/ /etc/wireguard/ || \
+	die "rsync /etc/wireguard/ failed"
+rsync ${RSYNC_OPTIONS} -e "ssh ${SSH_OPTIONS}" \
+	${REMOTE}:/etc/conf.d/net.wg* /etc/conf.d/ || \
+	die 'rsync /etc/conf.d/net.wg* failed'
+for i in /etc/conf.d/net.wg*; do
+	# We need the file from the init.d dir
+	INITD="${i/conf/init}"
+	if [ ! -h ${INITD} ]; then
+		ln -s /etc/init.d/net.lo "${INITD}"
+		# We only need the file name
+		rc-update add $(basename "${INITD}")
+		rc-service $(basename "${INITD}") start
+	fi
+done
+</file>
 La mise en place se fait avec deux fichiers et trois commandes. Chaque utilisateur a son port que l’on extrapole du dernier bloc de l’adresse IPv6 : `2a00:5884:8316::/48` donne `printf '%d\n' '0x8316'` soit 33558.
@@ Ligne 24: / Ligne 67: @@
 PublicKey = YtTa180Wgh3HiV4iVxoFL8vb3E+NueGpv4BLGuN3Zgs=
 AllowedIPs = 89.234.186.78/32, 2a00:5884:8316::/48
-PersistentKeepalive = 25
 </file>
@@ Ligne 60: / Ligne 102: @@
 rc-service ip6tables save
 ```
+===== Debug =====
+Wireguard étant un module kernel, il faut jouer avec le debug du kernel :
+```
+echo module wireguard +p > /sys/kernel/debug/dynamic_debug/control # activation
+echo module wireguard -p > /sys/kernel/debug/dynamic_debug/control # desactivation
+```
+Ensuite ça se consulte avec `dmesg -Tw`. À noter que le temps dans dmesg n’est pas hyper fiable, et que ça nécessite l’option kernel `DYNAMIC_DEBUG`.
 ===== Configuration côté client =====
@@ Ligne 87: / Ligne 139: @@
 De toutes façons on fournira un fichier de conf client d’exemple comme on le faisait pour OpenVPN.
+===== Script de génération =====
+Voici la v1 du script de génération de VPN wg. C’est une adaptation bête de celui d’OpenVPN.
+<file bash /usr/local/sbin/add-wg>
+#!/bin/sh
+usage() {
+    printf "Usage:\n"
+    printf "\t-h, --help    Affiche ce message d’aide\n"
+    printf "\t-u, --user    Identifiant de connexion au VPN\n"
+    printf "\t-i, --id  Numéro servant à la génération des IPs\n"
+    printf "\t-m, --email   Adresse mail à qui envoyer les informations de
+connexion\n"
+}
+OPTS=$(getopt -o u:,m:,h -l user:,email:,help -- "$@")
+if [ $? != 0 ]; then
+    exit 1
+fi
+if [ $1 ]; then
+    if [ $1 = '-h' ] || [ $1 = '--help' ]; then
+        usage
+        exit 0
+    elif [ $# -lt 4 ]; then
+        echo "Paramètre manquant"
+        usage
+        exit 1
+    fi
+else
+    echo "Paramètre manquant"
+    usage
+    exit 1
+fi
+eval set -- "$OPTS"
+while :; do
+    case "$1" in
+        -h | --help)    usage;
+                exit 0;;
+        -u | --user)    user="$2";
+                shift 2;;
+        -m | --email)   EMAIL="$2";
+                shift 2;;
+        --)     shift; break;;
+    esac
+done
+mailregex=$(echo $EMAIL | egrep '[^.]+@[^.]+\.[^.]+')
+if [ ${#mailregex} != ${#EMAIL} ]; then
+    echo "Adresse mail invalide"
+    exit 1
+fi
+echo "1 - Récupération last IPv4"
+LAST_VPN_V4=$(add-ovpn.netbox.py -a ipv4 -u "${user}")
+V4_RETURN=$?
+echo ${LAST_VPN_V4}
+if [ ${V4_RETURN} = 1 ]; then
+	exit 1
+fi
+echo "2 - Récupération last IPv6"
+LAST_VPN_V6=$(add-ovpn.netbox.py -a ipv6 -u "${user}")
+echo ${LAST_VPN_V6}
+WG_PORT=$(printf '%d' "0x$(echo ${LAST_VPN_V6} | cut -d ':' -f 3)")
+echo "3 - Génération de la clé wg" >&2
+wg genkey | tee "/etc/wireguard/wg${WG_PORT}-srv.key" | wg pubkey > "/etc/wireguard/wg${WG_PORT}-srv.pub"
+wg genkey | tee "/etc/wireguard/wg${WG_PORT}-clt.key" | wg pubkey > "/etc/wireguard/wg${WG_PORT}-clt.pub"
+echo "4.1 - Génération de la configuration wg" >&2
+echo "[Interface]
+ListenPort = ${WG_PORT}
+PrivateKey = $(cat /etc/wireguard/wg${WG_PORT}-srv.key)
+[Peer]
+PublicKey = $(cat /etc/wireguard/wg${WG_PORT}-clt.pub)
+AllowedIPs = ${LAST_VPN_V4}/32, ${LAST_VPN_V6}" > "/etc/wireguard/wg${WG_PORT}.conf"
+echo "4.2 - Génération de la configuration ip" >&2
+echo "wireguard_wg${WG_PORT}=\"/etc/wireguard/wg${WG_PORT}.conf\"
+config_wg${WG_PORT}=\"null\"
+routes_wg${WG_PORT}=\"
+${LAST_VPN_V4}/32
+${LAST_VPN_V6}
+\"
+postup () {
+	ip link set wg${WG_PORT} alias \"Cust: ${user}\"
+}" > "/etc/conf.d/net.wg${WG_PORT}"
+echo "4.3 - Activation du VPN" >&2
+ln -s /etc/init.d/net.lo /etc/init.d/net.wg${WG_PORT}
+rc-update add net.wg${WG_PORT}
+rc-service net.wg${WG_PORT} start
+echo "5 - Envoi du mail" >&2
+SUBJECT=$(perl -wse "use utf8; use Encode qw(encode); print encode(\"MIME-Q\",\
+\"Votre VPN wireguard vient d’être créé\");")
+echo "Date: $(date --rfc-2822)
+Content-Type: text/plain; charset=UTF-8
+MIME-Version: 1.0
+Content-Transfer-Encoding: 8bit
+From: Adminsys grifon <adminsys@grifon.fr>
+To: <$EMAIL>
+Subject: $SUBJECT
+Organization: Grifon
+Message-ID: <$(date | md5sum | cut -d ' ' -f 1)@wg.grifon.fr>
+Bonjour,
+Votre VPN vient d’être créé.
+Vous avez l’IPv4 $LAST_VPN_V4 et le subnet IPv6 $LAST_VPN_V6.
+Votre configuration se trouve à la fin de ce mail.
+Si vous souhaitez regénérer votre clé, n’hésitez pas à nous envoyer votre
+nouvelle clé publique.
+Si vous voulez un reverse DNS sur votre VPN, merci d’envoyer un mail à
+adminsys@grifon.fr contenant votre choix, ou les serveurs à qui déléguer les
+zones.
+##### DÉBUT DU FICHIER DE CONFIGURATION #####
+[Interface]
+PrivateKey = $(cat /etc/wireguard/wg${WG_PORT}-clt.key)
+DNS = 89.234.186.4, 89.234.186.5, 2a00:5884::7, 2a00:5884::9
+[Peer]
+Endpoint = wg.grifon.fr:${WG_PORT}
+PublicKey = $(cat /etc/wireguard/wg${WG_PORT}-srv.pub)
+AllowedIPs = 0.0.0.0/0, ::/0
+##### FIN DU FICHIER DE CONFIGURATION #####
+Cordialement,
+--
+Les adminsys de grifon" | /usr/sbin/sendmail -f adminsys@grifon.fr -t
+SUBJECT=$(perl -wse "use utf8; use Encode qw(encode); print encode(\"MIME-Q\",\
+\"Création du VPN wg de $user\");")
+echo "From: Adminsys grifon <adminsys@grifon.fr>
+To: adminsys@grifon.fr
+Content-Type: text/plain; charset=UTF-8
+Subject: ${SUBJECT}
+IPv4 : ${LAST_VPN_V4}
+IPv6 : ${LAST_VPN_V6}
+" | /usr/sbin/sendmail -f adminsys@grifon.fr -t
+</file>
+===== Suppression de VPN =====
+Pour supprimer un VPN il faut :
+  - Désactiver le service d’init
+  - Supprimer la conf réseau
+  - Supprimer la conf wireguard
+==== Désactiver le service d’init ====
+`rc-update del net.wg42 && rc-service net.wg42 stop && rm /etc/init.d/net.wg42`
+==== Supprimer la conf réseau ====
+`rm /etc/conf.d/net.wg42`
+==== Supprimer la conf wireguard ====
+`rm /etc/wireguard/wg42`