Version 34 - Historique - Wireguard - Aquilenet - L'atelier d'Aquilenet

Wireguard » Historique » Version 34

xavier, 15/08/2019 21:23
fixme

-xavier
+{{>toc}}
-sacha
+# Wireguard
-sacha
+Le VPN Kiss, utilisant les dernières règles de l'art, construit pour être audité & performant ! au revoir IPSec & OpenVPN !
 xavier
-xavier
+Aquilenet utilise Wireguard avec succès depuis mi-2019, pour interconnecter une partie de ses [[îlots]] à son [[infrastructure:|cœur de réseau]].
-xavier
+## *Work In Progress*
-xavier
+Le site officiel de Wireguard est clair, c'est pas sec, même si ça marche bien :
 > WireGuard is not yet complete. You should not rely on this code. It has not undergone proper degrees of security auditing and the protocol is still subject to change. We're working toward a stable 1.0 release, but that time has not yet come. There are experimental snapshots tagged with "0.0.YYYYMMDD", but these should not be considered real releases and they may contain security vulnerabilities (which would not be eligible for CVEs, since this is pre-release snapshot software). If you are packaging WireGuard, you must keep up to date with the snapshots.
 Le principal auteur de Wireguard recommande aux utilisateurs de ne **pas** employer le client [TunSafe](http://tunsafe.com/), dont le [code source](https://github.com/TunSafe/TunSafe) est à cette date (août 2019) à l'arrêt depuis au moins 7 mois.
-xavier
+## Chez Aquilenet
 Wireguard n'est pas un remplacement complet d'une solution comme OpenVPN.
 Notamment, c'est une solution conçue en « pair à pair » et de « niveau 3 », donc pas de DHCP possible ;  le protocole n'offre pas (encore ?) d'alternative pour l'adressage des hôtes.
-xavier
+Nous avons configuré chaque pair « en dur » dans les fichiers de configuration des tunnels, avec des adresses IP publiques.  Cet adressage est déjà à revoir : au delà du pair que nous utilisons actuellement comme nœud de mise en relation ([[infrastructure:hypnos]]), les autres n'ont pas vocation à être joignables publiquement (hors des tunnels, ils ne sont joignables que sur des IP hors de notre contrôle).
 xavier
-sacha
+## Installation
 https://www.wireguard.com/install/
 xavier
 Dans le Kernel Linux : via DKMS pour l'instant (2019-08-15) et en userspace écrit en GO (en cours de migration en Rust) sur les autres plateformes (*BSD, OpenWRT, Android, Windows).
 Pour Debian stable, au départ « Stretch » 9.8 et dorénavant « Buster » 10.0, des paquets `wireguard{,-dkms,-modules}` sont installables depuis le dépôt `unstable` (uniquement).  Les mises à jour y sont fréquentes, par exemple les versions disponibles au 2019-03-07 étaient les 0.0.20190227-1, celles disponibles au 2019-07-19 étaient les 0.0.20190702-1.
 sacha
-xavier
+ATTENTION : sous Debian Stretch, [une bogue](https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=934763) introduite dans la dernière mise à jour du paquet des entêtes du noyau (2019-09-14), casse la compilation du module Wireguard.  Il reste possible de compiler le module avec la version précédente, puis de l'utiliser avec la dernière version du noyau.
-sacha
+## Configuration
-xavier
+**FIXME : tout ce qui suit est à vérifier/réviser/modifier ou déplacer vers les pages de [[infrastructure:hypnos]], [[infrastructure:thanatos]], [[infrastructure:meca]] ou [[infrastructure:pom]].**
-sacha
+### Serveur
 ~~~
 umask 077
 wg genkey > /etc/wireguard/private
 wg genkey | tee /etc/wireguard/private | wg pubkey > /etc/wireguard/publickey
 wg set wg0 private-key /etc/wireguard/private
 ip link set wg0 up
 cat << EOF > /etc/wireguard/wireguard.conf
 [Interface]
 ListenPort = 50000
 PrivateKey = `cat /etc/wireguard/private`
 [Peer]
 PublicKey = Va0X1zOpRc9471Aa3DEUUy7UkAv5aq5SojtIPqOSqwg=
 AllowedIPs = 10.33.33.0/24
 Endpoint = 185.233.100.19:50000
 EOF
 ~~~
 ### Client
 ~~~
 umask 077
 wg genkey | tee /etc/wireguard/private | wg pubkey > /etc/wireguard/publickey
 wg set wg0 private-key /etc/wireguard/private
-stephanie.vieville
+ip link add dev wg0 type wireguard
-sacha
+ip link set wg0 up
 stephanie.vieville
-sacha
+~~~
 sacha
-louis.leveque
+### Config serveur (Hypnos)
 ~~~
 #!/bin/bash
 set -x -e
 # Creating the wireguard interface
 ip link add dev wg0 type wireguard
 # Setting the IP on the wireguard interface
 ip address add dev wg0 185.233.101.127/24
 # Configuring the wireguard server
 wg set wg0 listen-port 50000 private-key /etc/wireguard/private
 # Starting up the wireguard interface
 ip link set up dev wg0
 # Add Client
 wg set wg0 peer W/iRbRNZhftkcmkfS/pUNcyDJ1YHB0cBEDigzed6+B0= allowed-ips 185.233.101.126/32
 # Create the static route for the client
 ip route add 185.233.101.126/32 dev wg0 proto static
 ~~~
 ### Config client
 ~~~
 #!/bin/bash
 set -e -x
 # Creating the wireguard interface
 ip link add dev wg0 type wireguard
 # Setting the IP on the wireguard interface
 ip address add dev wg0 185.233.101.126/24
 # Configuring wireguard
 wg set wg0 private-key ./private
 # Starting up the wireguard interface
 ip link set up dev wg0
 # Connect to the server
 wg set wg0 peer 'XRhI4WqBipwY21pxPZ9Q7EWkypnQCKKtJjqu2tUUTVo=' allowed-ips 0.0.0.0/0 endpoint 185.233.100.9:50000
 ~~~
-sacha
+### 1er test: @Sacha's Home (Fibre Bouygues) --> @Hypnos (VM Aquilenet)
 sacha
-sacha
+~~~
 root@hypnos:/etc/wireguard# iperf3 -s
 -----------------------------------------------------------
 Server listening on 5201
 -----------------------------------------------------------
 Accepted connection from 10.33.33.2, port 60038
 [  5] local 10.33.33.1 port 5201 connected to 10.33.33.2 port 60040
 [ ID] Interval           Transfer     Bandwidth
 [  5]   0.00-1.00   sec  15.1 MBytes   127 Mbits/sec
 [  5]   1.00-2.00   sec  19.9 MBytes   167 Mbits/sec
 [  5]   2.00-3.00   sec  20.1 MBytes   169 Mbits/sec
 [  5]   3.00-4.00   sec  20.1 MBytes   169 Mbits/sec
 [  5]   4.00-5.00   sec  19.7 MBytes   166 Mbits/sec
 [  5]   5.00-6.00   sec  20.0 MBytes   168 Mbits/sec
 [  5]   6.00-7.00   sec  20.2 MBytes   169 Mbits/sec
 [  5]   7.00-8.00   sec  20.2 MBytes   170 Mbits/sec
 [  5]   8.00-9.00   sec  20.1 MBytes   169 Mbits/sec
 [  5]   9.00-10.00  sec  20.2 MBytes   169 Mbits/sec
 [  5]  10.00-10.03  sec   566 KBytes   165 Mbits/sec
 - - - - - - - - - - - - - - - - - - - - - - - - -
 [ ID] Interval           Transfer     Bandwidth
 [  5]   0.00-10.03  sec  0.00 Bytes  0.00 bits/sec                  sender
 [  5]   0.00-10.03  sec   196 MBytes   164 Mbits/sec                  receiver
 -----------------------------------------------------------
 Server listening on 5201
 -----------------------------------------------------------
 ~~~
 ~~~
 root@hypnos:/etc/wireguard# wg
 interface: wg0
   public key: Va0X1zOpRc9471Aa3DEUUy7UkAv5aq5SojtIPqOSqwg=
   private key: (hidden)
   listening port: 50000
 peer: VEfmgnq/aXPX3qBB7Q2fgxAawQdfUYZDRKEQSPC8tnA=
   endpoint: 5.51.0.155:3418
   allowed ips: 10.33.33.0/24
   latest handshake: 4 minutes, 30 seconds ago
   transfer: 208.75 MiB received, 6.68 MiB sent
 ~~~
 sacha
 ## InstallDebian sur Apu2
 https://blog.pgeiser.com/posts/2017/04/installing-debian-stretch-on-a-machine-without-a-graphic-card/
 sacha
-xavier
+~~~
-sacha
+apt-get install aptitude \
-xavier
+     dhcpd resolvconf \
      curl dnsutils htop iperf3 tcpdump tmux whois \
-sacha
+     debian-security-support debsums needrestart
-xavier
+~~~
 sacha
 ~~~
 #!/bin/bash
 gw=`ip  route | awk '/default/ { print $3 }'`
-sacha
+sysctl -w net.ipv4.ip_forward=1
-sacha
+ip link add dev wg0 type wireguard
 ip address add dev wg0 10.33.33.2/24
 ip link set up dev wg0
 ip route add 185.233.100.19/32 via $gw dev enp1s0
 ip route del default
 ip route add default dev wg0
 wg setconf wg0 /etc/wireguard/wg0.conf
 ~~~
 sacha
 https://git.zx2c4.com/WireGuard/about/src/tools/man/wg-quick.8
 https://git.zx2c4.com/WireGuard/about/src/tools/wg.8
 sacha
 https://vincent.bernat.ch/fr/blog/2018-vpn-wireguard-route

Projet

Général

Profil

Aquilenet

Wireguard » Historique » Version 34