8.2. Comment WireGuard utilise les adresses IP des tunnels, les clés publiques et les points de terminaison distants
Lorsque WireGuard envoie un paquet réseau à un pair :
- WireGuard lit l'adresse IP de destination du paquet et la compare à la liste des adresses IP autorisées dans la configuration locale. Si le pair n'est pas trouvé, WireGuard laisse tomber le paquet.
- Si le pair est valide, WireGuard crypte le paquet en utilisant la clé publique du pair.
- L'hôte expéditeur recherche l'adresse IP Internet la plus récente de l'hôte et lui envoie le paquet crypté.
Lorsque WireGuard reçoit un paquet :
- WireGuard décrypte le paquet en utilisant la clé privée de l'hôte distant.
- WireGuard lit l'adresse source interne du paquet et vérifie si l'IP est configurée dans la liste des adresses IP autorisées dans les paramètres du pair sur l'hôte local. Si l'adresse IP source est sur la liste des adresses autorisées, WireGuard accepte le paquet. Si l'adresse IP n'est pas sur la liste, WireGuard laisse tomber le paquet.
L'association des clés publiques et des adresses IP autorisées est appelée Cryptokey Routing Table. Cela signifie que la liste des adresses IP se comporte comme une table de routage lors de l'envoi de paquets et comme une sorte de liste de contrôle d'accès lors de la réception de paquets.
