Wireguard

• https://github.com/pirate/wireguard-docs
• https://dev.to/tangramvision/what-they-don-t-tell-you-about-setting-up-a-wireguard-vpn-1h2g
• Four ways to view WireGuard logs
• WireGuard, protocole de communication chiffré sur UDP et logiciel libre
• WireGuard and Linux network namespaces
• Bridging Networks Across VPS With Wireguard and VXLAN on FreeBSD
• WG-Easy : l'interface web simplifiée pour WireGuard
• Split tunneling using Wireguard and namespaces
• Wireguard VPN with Guix

Installer le paquet wireguard.

Wireguard: hub-and-spoke configuration

A et B sont tous les deux derrière un NAT et un pare-feu et ont une adresse IP publique dynamique. Ils vont communiquer via Wireguard par le biais d'un serveur C, accessible publiquement, avec une adresse IP fixe.

Sur chaque machine, générer une paire de clés publique/privée:

(umask 077; wg genkey > endpoint-a.key)
wg pubkey < endpoint-a.key > endpoint-a.pub

Les fichiers ne sont pas nécessaires, c'est ce qu'ils contiennent qui va être nécessaire dans les fichiers de configuration.

Sur le serveur C:

/etc/wireguard/wg0.conf

# la configuration de C, le serveur
[Interface]
PrivateKey = <la clé privée de C>
Address = 10.0.0.1/32
ListenPort = 51823
 
# la configuration de A, un client
[Peer]
PublicKey = <la clé publique de A>
AllowedIPs = 10.0.0.2/32
 
# la configuration de B, un autre client
[Peer]
PublicKey = <la clé publique de B>
AllowedIPs = 10.0.0.3/32

Ajouter net.ipv4.ip_forward=1 à /etc/sysctl.conf.

Sur le client A:

/etc/wireguard/wg0.conf

# la configuration de A, un client
[Interface]
PrivateKey = <la clé privée de A>
Address = 10.0.0.2/32
ListenPort = 51823
 
# la configuration de C, le serveur
[Peer]
PublicKey = <la clé publique de C>
Endpoint = 192.168.1.100:51823
AllowedIPs = 10.0.0.1/32, 10.0.0.3/32
PersistentKeepalive = 25

• AllowedIPs contient les adresses IP que le serveur C va router au sein du VPN.
• PersistentKeepalive permet d'initier automatiquement la connexion des clients au serveur et de la maintenir fonctionnelle. Sans cela, A ne pourra parler à B en passant par C que si B a déjà parlé à C auparavant (un article qui en parle: https://jrs-s.net/2018/08/05/routing-between-wg-interfaces-with-wireguard/)

Adapter pour le client B.

Sur toutes les machines:

sudo systemctl enable wg-quick@wg0.service
sudo systemctl start wg-quick@wg0.service
sudo journalctl -u wg-quick@wg0.service

Objectif : que deux machines chacune derrière leur NAT puisse établir un tunnel sans faire passer tout le trafic par un serveur central (on a besoin d'un serveur central servant de point de rencontre pour partager les informations de connexion).

• Headscale : implémentation libre et auto-hébergée du serveur Tailscale, qui semble pouvoir répondre à ce besoin
• https://github.com/anderspitman/awesome-tunneling
• Create a private network with Headscale and Tailscale
• https://fossorial.io/Getting%20Started/quick-install
• https://netbird.io/
• https://github.com/darksunstealth/multi-vpn-routing
• Testing "exotic" p2p VPN

Une solution est de faire du NAT-hole-punching :

• https://github.com/malcolmseyd/natpunch-go
• https://github.com/hoyho/wg-wormhole
• https://github.com/alex14fr/wgsig
• WireGuard Endpoint Discovery and NAT Traversal using DNS-SD
• https://github.com/connet-dev/connet