8.8. Configuration d'un serveur WireGuard à l'aide du service wg-quick
Vous pouvez configurer le serveur WireGuard en créant un fichier de configuration dans le répertoire /etc/wireguard/
. Cette méthode permet de configurer le service indépendamment de NetworkManager.
Cette procédure suppose les paramètres suivants :
Serveur :
-
Clé privée :
YFAnE0psgIdiAF7XR4abxiwVRnlMfeltxu10s/c4JXg=
-
Adresse IPv4 du tunnel :
192.0.2.1/24
-
Adresse IPv6 du tunnel :
2001:db8:1::1/32
-
Clé privée :
Client :
-
Clé publique :
bnwfQcC8/g2i4vvEqcRUM2e6Hi3Nskk6G9t4r26nFVM=
-
Adresse IPv4 du tunnel :
192.0.2.2/24
-
Adresse IPv6 du tunnel :
2001:db8:1::2/32
-
Clé publique :
Conditions préalables
- Vous avez généré les clés publique et privée pour le serveur et le client.
Vous connaissez les informations suivantes :
- La clé privée du serveur
- Les adresses IP du tunnel statique et les masques de sous-réseau du client
- La clé publique du client
- Les adresses IP du tunnel statique et les masques de sous-réseau du serveur
Procédure
Installez le paquetage
wireguard-tools
:# dnf install wireguard-tools
Créez le fichier
/etc/wireguard/wg0.conf
avec le contenu suivant :[Interface] Address = 192.0.2.1/24, 2001:db8:1::1/32 ListenPort = 51820 PrivateKey = YFAnE0psgIdiAF7XR4abxiwVRnlMfeltxu10s/c4JXg= [Peer] PublicKey = bnwfQcC8/g2i4vvEqcRUM2e6Hi3Nskk6G9t4r26nFVM= AllowedIPs = 192.0.2.2, 2001:db8:1::2
La section
[Interface]
décrit les paramètres WireGuard de l'interface sur le serveur :-
Address
: Une liste d'adresses IP du tunnel du serveur, séparées par des virgules. -
PrivateKey
: La clé privée du serveur. ListenPort
: Le port sur lequel WireGuard écoute les connexions UDP entrantes.Définissez toujours un numéro de port fixe sur les hôtes qui reçoivent les connexions entrantes de WireGuard. Si vous ne définissez pas de port, WireGuard utilise un port libre aléatoire à chaque fois que vous activez l'interface
wg0
.
-
Chaque section du site
[Peer]
décrit les paramètres d'un client :-
PublicKey
: La clé publique du client. -
AllowedIPs
: Les adresses IP du tunnel du client qui sont autorisées à envoyer des données à ce serveur.
-
Activer et démarrer la connexion WireGuard :
# systemctl enable --now wg-quick@wg0
Le nom de l'instance systemd doit correspondre au nom du fichier de configuration dans le répertoire
/etc/wireguard/
sans le suffixe.conf
. Le service utilise également ce nom pour l'interface réseau virtuelle.
Prochaines étapes
Vérification
Affichez la configuration de l'interface de l'appareil
wg0
:# wg show wg0 interface: wg0 public key: UtjqCJ57DeAscYKRfp7cFGiQqdONRn69u249Fa4O6BE= private key: (hidden) listening port: 51820 peer: bnwfQcC8/g2i4vvEqcRUM2e6Hi3Nskk6G9t4r26nFVM= allowed ips: 192.0.2.2/32, 2001:db8:1::2/128
Pour afficher la clé privée dans la sortie, utilisez la commande
WG_HIDE_KEYS=never wg show wg0
pour afficher la clé privée dans la sortie.Affichez la configuration IP de l'appareil
wg0
:# ip address show wg0 20: wg0: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000 link/none inet 192.0.2.1/24 scope global wg0 valid_lft forever preferred_lft forever inet6 2001:db8:1::1/32 scope global valid_lft forever preferred_lft forever
Ressources supplémentaires
-
La page de manuel
wg(8)
-
La page de manuel
wg-quick(8)