Jump to content

Wireguard site à site


ginotator

Recommended Posts

Bonjour,

 

J'ai commencé à rechercher comment mettre en place une connexion VPN site à site avec Wireguard.

J'ai 2 serveurs sur chaque site avec RaspiOS. J'ai configuré wireguard pour mettre en place une connexion site à site.

Mais pour l'instant je rencontre un problème : les paquets ne vont pas plus loin que le serveur VPN (problème identifier avec traceroute)

Actuellement le serveur VPN 1 arrive bien à communiquer aux machines derrières le VPN 2, mais les pc derrière le VPN 1 n'accèdent pas aux ordi derrière le VPN 2.

 

Avez vous déjà réussi à mettre en place ça avec wireguard ?

Link to comment
Share on other sites

Voici la config site A :[

Interface]
Address = 10.10.0.1/24
ListenPort = 54321
PrivateKey = priv key site A


[Peer]
PublicKey = pub key site B
AllowedIPs = 10.10.0.2/32, 192.168.1.0/24
Endpoint = nddsiteB:54321

 

 

Et la config site B

[Interface]
Address = 10.10.0.2/24
PostUp = iptables -t filter -A INPUT -p udp --dport 54321 -j ACCEPT ; iptables -A FORWARD -i wg3 -j ACCEPT ; iptables -A FORWARD -o wg3 -j ACCEPT ; iptables -t nat -A POSTROUTING -s 10.10.0.0/24 -o eth0 -j MASQUERADE
PostDown = iptables -t filter -D INPUT -p udp --dport 54321 -j ACCEPT ; iptables -D FORWARD -i wg3 -j ACCEPT ; iptables -D FORWARD -o wg3 -j ACCEPT ; iptables -t nat -D POSTROUTING -s 10.10.0.0/24 -o eth0 -j MASQUERADE
ListenPort = 54321
PrivateKey = priv key site B


[Peer]
PublicKey = pub key site A
AllowedIPs = 10.10.0.1/32, 192.168.2.0/24
Endpoint = nddsiteA:54321

 

A la base je n'avais pas de PostUp ni Down, mais lorsque j'ai rajouté ces lignes, traceroute m'indiquait que les paquets arrivaient jusqu'à un pc sur le site B depuis le serveur wireguard du site A (mais pas depuis un pc du site A)

 

Link to comment
Share on other sites

J'ai ajouté une route statique sur la box du site A :

réseau de destination : 192.168.1.0 (site B)

masque de sous réseau de destination : 255.255.255.0

passerelle : 192.168.2.3 (adresse ip server VPN du site A)

interface : LAN

métrique : 1

J'ai pas fait d'erreur ?

 

Le site B, la box ne possède pas la fonction routage.

Je pense que ce n'est pas grave car j'ai besoin que l'accès ne se fasse que dans un sens : site A vers site B

 

Et j'ai rajouté une redirection sur les box du port UDP Wireguard vers les serveurs
 

J'ai configuré iptables sur les serveurs pour qu'il refuse tout ce qui est entrant et redirigé

Et j'ai ajouté ensuite les exceptions (port wireguard et ssh, ip réseau...)

 

Link to comment
Share on other sites

Depuis un pc du site A (192.168.2.2) vers un pc site B (192.168.1.21) :

 

traceroute 192.168.1.21
traceroute to 192.168.1.21 (192.168.1.21), 30 hops max, 46 byte packets
 1  192.168.2.1 (192.168.2.1)  0.651 ms  0.215 ms  0.418 ms                <--- IP de la box site A
 2  192.168.2.3 (192.168.2.3)  0.892 ms  0.677 ms  0.924 ms
 3  10.10.0.2 (10.10.0.2)  7.034 ms  8.622 ms  8.161 ms
 4  *  *  *
 5 *

 

Depuis le serveur vpn (192.168.2.3) du site A vers pc site B (192.168.1.21) :

traceroute 192.168.1.21
traceroute to 192.168.1.21 (192.168.1.21), 30 hops max, 60 byte packets
 1  10.10.0.2 (10.10.0.2)  8.838 ms  8.966 ms  8.861 ms
 2  192.168.1.21 (192.168.1.21)  8.776 ms  8.577 ms  8.742 ms

 

Link to comment
Share on other sites

×
×
  • Create New...