reseau:wireguard
Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente | ||
reseau:wireguard [2024/08/17 09:46] – alarig | reseau:wireguard [2025/04/23 13:39] (Version actuelle) – alarig | ||
---|---|---|---|
Ligne 10: | Ligne 10: | ||
===== Technique ===== | ===== Technique ===== | ||
- | Pour le moment le PoC se passe sur `ovpn02.grif` histoire d’éviter de spawn une VM juste pour les tests | + | On réutilise les VM ` ovpn01.grif` et `ovpn02.grif` histoire d’éviter de spawn une VM juste pour « rien ». |
+ | La redondance BGP se fait sur le routeur ID, et la synchro entre les deux se fait avec un rsync en cron. Par contre, il ne gère pas la suppression de VPN, il faut aller supprimer la conf sur les deux machines. | ||
+ | <file bash | / | ||
+ | # | ||
+ | |||
+ | die() { | ||
+ | echo " | ||
+ | exit 1 | ||
+ | } | ||
+ | |||
+ | if [ " | ||
+ | echo "The first argument must be the remote containing the production configs" | ||
+ | die "Other arguments are ignored" | ||
+ | else | ||
+ | REMOTE=" | ||
+ | fi | ||
+ | |||
+ | which rsync 1>/ | ||
+ | getent hosts " | ||
+ | |||
+ | if [ ! -d / | ||
+ | mkdir -p / | ||
+ | fi | ||
+ | |||
+ | RSYNC_OPTIONS=" | ||
+ | SSH_OPTIONS=" | ||
+ | rsync ${RSYNC_OPTIONS} -e "ssh ${SSH_OPTIONS}" | ||
+ | ${REMOTE}:/ | ||
+ | die "rsync / | ||
+ | rsync ${RSYNC_OPTIONS} -e "ssh ${SSH_OPTIONS}" | ||
+ | ${REMOTE}:/ | ||
+ | die 'rsync / | ||
+ | |||
+ | for i in / | ||
+ | # We need the file from the init.d dir | ||
+ | INITD=" | ||
+ | if [ ! -h ${INITD} ]; then | ||
+ | ln -s / | ||
+ | # We only need the file name | ||
+ | rc-update add $(basename " | ||
+ | rc-service $(basename " | ||
+ | fi | ||
+ | done | ||
+ | </ | ||
La mise en place se fait avec deux fichiers et trois commandes. Chaque utilisateur a son port que l’on extrapole du dernier bloc de l’adresse IPv6 : `2a00: | La mise en place se fait avec deux fichiers et trois commandes. Chaque utilisateur a son port que l’on extrapole du dernier bloc de l’adresse IPv6 : `2a00: | ||
Ligne 59: | Ligne 102: | ||
rc-service ip6tables save | rc-service ip6tables save | ||
``` | ``` | ||
+ | ===== Debug ===== | ||
+ | |||
+ | Wireguard étant un module kernel, il faut jouer avec le debug du kernel : | ||
+ | ``` | ||
+ | echo module wireguard +p > / | ||
+ | echo module wireguard -p > / | ||
+ | ``` | ||
+ | |||
+ | Ensuite ça se consulte avec `dmesg -Tw`. À noter que le temps dans dmesg n’est pas hyper fiable, et que ça nécessite l’option kernel `DYNAMIC_DEBUG`. | ||
+ | |||
===== Configuration côté client ===== | ===== Configuration côté client ===== | ||
Ligne 159: | Ligne 212: | ||
echo "3 - Génération de la clé wg" >&2 | echo "3 - Génération de la clé wg" >&2 | ||
- | wg genkey | tee "/ | + | wg genkey | tee "/ |
+ | wg genkey | tee "/ | ||
echo "4.1 - Génération de la configuration wg" >&2 | echo "4.1 - Génération de la configuration wg" >&2 | ||
echo " | echo " | ||
ListenPort = ${WG_PORT} | ListenPort = ${WG_PORT} | ||
- | PrivateKey = $(cat / | + | PrivateKey = $(cat / |
[Peer] | [Peer] | ||
- | PublicKey = $(cat / | + | PublicKey = $(cat / |
AllowedIPs = ${LAST_VPN_V4}/ | AllowedIPs = ${LAST_VPN_V4}/ | ||
Ligne 216: | Ligne 270: | ||
[Interface] | [Interface] | ||
- | PrivateKey = $(cat / | + | PrivateKey = $(cat / |
DNS = 89.234.186.4, | DNS = 89.234.186.4, | ||
[Peer] | [Peer] | ||
Endpoint = wg.grifon.fr: | Endpoint = wg.grifon.fr: | ||
- | PublicKey = $(cat / | + | PublicKey = $(cat / |
AllowedIPs = 0.0.0.0/0, ::/0 | AllowedIPs = 0.0.0.0/0, ::/0 | ||
Ligne 244: | Ligne 298: | ||
" | / | " | / | ||
</ | </ | ||
+ | |||
+ | ===== Suppression de VPN ===== | ||
+ | |||
+ | Pour supprimer un VPN il faut : | ||
+ | - Désactiver le service d’init | ||
+ | - Supprimer la conf réseau | ||
+ | - Supprimer la conf wireguard | ||
+ | |||
+ | ==== Désactiver le service d’init ==== | ||
+ | |||
+ | `rc-update del net.wg42 && rc-service net.wg42 stop && rm / | ||
+ | |||
+ | |||
+ | ==== Supprimer la conf réseau ==== | ||
+ | |||
+ | `rm / | ||
+ | |||
+ | ==== Supprimer la conf wireguard ==== | ||
+ | |||
+ | `rm / |
reseau/wireguard.1723888011.txt.gz · Dernière modification : 2024/08/17 09:46 de alarig