Rechercher
SupportConsoleDéveloppeursCommencer un essaiContact

8.13. Configuration d'un client WireGuard à l'aide de nm-connection-editor

download PDF

Vous pouvez configurer un client WireGuard en créant un profil de connexion dans NetworkManager. Utilisez cette méthode pour laisser NetworkManager gérer la connexion WireGuard.

Conditions préalables

  • Vous avez généré les clés publique et privée pour le serveur et le client.

  • Vous connaissez les informations suivantes :

    • La clé privée du client
    • Les adresses IP du tunnel statique et les masques de sous-réseau du client
    • La clé publique du serveur
    • Les adresses IP du tunnel statique et les masques de sous-réseau du serveur

Procédure

  1. Ouvrez un terminal et entrez : 

    # nm-connection-editor
  2. Ajoutez une nouvelle connexion en cliquant sur le bouton .
  3. Sélectionnez le type de connexion WireGuard et cliquez sur Créer.
  4. Optionnel : Mettre à jour le nom de la connexion.
  5. Optionnel : Dans l'onglet General, sélectionnez Connect automatically with priority.

  6. Dans l'onglet WireGuard:

    1. Entrez le nom de l'interface virtuelle, telle que wg0, que NetworkManager doit attribuer à la connexion.
    2. Saisir la clé privée du client.

    3. Cliquez sur Ajouter pour ajouter des pairs :

      1. Entrez la clé publique du serveur.

      2. Définissez le champ Allowed IPs. Par exemple, définissez-le comme suit :

        • Les adresses IP du tunnel du serveur afin que seul le serveur puisse communiquer avec ce client.

        • 0.0.0.0/0;::/0; pour permettre à n'importe quelle adresse IPv4 et IPv6 distante de communiquer avec ce client. Utilisez ce paramètre pour acheminer tout le trafic à travers le tunnel et utiliser le serveur WireGuard comme passerelle par défaut.

          Notez que l'acheminement de tout le trafic via le tunnel peut avoir un impact sur la connectivité avec d'autres hôtes en fonction du routage du serveur et de la configuration du pare-feu.

      3. Entrez le nom d'hôte ou l'adresse IP et le port du serveur WireGuard dans le champ Endpoint. Utilisez le format suivant : hostname_or_IP:port_number
      4. Facultatif : si vous utilisez le client dans un réseau avec traduction d'adresse réseau (NAT) ou si un pare-feu ferme la connexion UDP après un certain temps d'inactivité, définissez un intervalle de maintien en vie persistant en secondes. Dans cet intervalle, le client envoie un paquet de maintien en vie au serveur.
      5. Cliquez sur Appliquer.

  7. Dans l'onglet IPv4 Settings:

    1. Sélectionnez Manual dans la liste Method.
    2. Cliquez sur Ajouter pour entrer l'adresse IPv4 du tunnel et le masque de sous-réseau.

    3. Si vous souhaitez acheminer tout le trafic via le tunnel, indiquez l'adresse IPv4 du serveur dans le champ Gateway. Sinon, laissez le champ vide.

      Pour acheminer tout le trafic IPv4 via le tunnel, vous devez inclure 0.0.0.0/0 dans le champ Allowed IPs sur ce client.

  8. Dans l'onglet IPv6 Settings:

    1. Sélectionnez Manual dans la liste Method.
    2. Cliquez sur Ajouter pour entrer l'adresse IPv6 du tunnel et le masque de sous-réseau.

    3. Si vous souhaitez acheminer tout le trafic via le tunnel, définissez l'adresse IPv6 du serveur dans le champ Gateway. Sinon, laissez le champ vide.

      Pour acheminer tout le trafic IPv4 via le tunnel, vous devez inclure ::/0 dans le champ Allowed IPs sur ce client.

  9. Cliquez sur Enregistrer pour sauvegarder le profil de connexion.

Vérification

  1. Effectuer un sondage (ping) des adresses IP du serveur : 

    # ping 192.0.2.1
# ping6 2001:db8:1::1

  2. Affichez la configuration de l'interface de l'appareil wg0: 

    # wg show wg0
interface: wg0
  public key: bnwfQcC8/g2i4vvEqcRUM2e6Hi3Nskk6G9t4r26nFVM=
  private key: (hidden)
  listening port: 51820

peer: UtjqCJ57DeAscYKRfp7cFGiQqdONRn69u249Fa4O6BE=
  endpoint: server.example.com:51820
  allowed ips: 192.0.2.1/32, 2001:db8:1::1/128
  latest handshake: 1 minute, 41 seconds ago
  transfer: 824 B received, 1.01 KiB sent
  persistent keepalive: every 20 seconds

    Pour afficher la clé privée dans la sortie, utilisez la commande WG_HIDE_KEYS=never wg show wg0 pour afficher la clé privée dans la sortie.

    Notez que la sortie ne contient les entrées latest handshake et transfer que si vous avez déjà envoyé du trafic via le tunnel VPN.

  3. Affichez la configuration IP de l'appareil wg0: 

    # ip address show wg0
10: wg0: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000
    link/none
    inet 192.0.2.2/24 brd 192.0.2.255 scope global noprefixroute wg0
       valid_lft forever preferred_lft forever
    inet6 2001:db8:1::2/32 scope global noprefixroute
       valid_lft forever preferred_lft forever
    inet6 fe80::73d9:6f51:ea6f:863e/64 scope link noprefixroute
       valid_lft forever preferred_lft forever

Ressources supplémentaires

  • La page de manuel wg(8)
Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.