GNU/Linux >> Tutoriels Linux >  >> Cent OS

Comment configurer WireGuard VPN sur CentOS 8

WireGuard est un VPN (Virtual Private Network) simple et moderne avec une cryptographie de pointe. Il est plus rapide, plus facile à configurer et plus performant que d'autres solutions similaires, comme IPsec et OpenVPN.

WireGuard est multiplateforme et peut fonctionner presque n'importe où, y compris Linux, Windows, Android et macOS. Wireguard est un VPN peer-to-peer; il n'est pas basé sur le modèle client-serveur. Selon sa configuration, un pair peut agir comme un serveur ou un client traditionnel.

WireGuard fonctionne en créant une interface réseau sur chaque appareil homologue qui fonctionne comme un tunnel. Les pairs s'authentifient en échangeant et en validant des clés publiques, imitant le modèle SSH. Les clés publiques sont mappées avec une liste d'adresses IP autorisées dans le tunnel. Le trafic VPN est encapsulé dans UDP.

Ce tutoriel décrit comment configurer WireGuard sur une machine CentOS 8 qui agira comme un serveur VPN. Nous vous montrerons également comment configurer WireGuard en tant que client. Le trafic du client sera acheminé via le serveur CentOS 8. Cette configuration peut être utilisée comme protection contre les attaques Man in the Middle, surfer sur le Web de manière anonyme, contourner le contenu géo-restreint ou permettre à vos collègues qui travaillent à domicile de se connecter au réseau de l'entreprise en toute sécurité.

Prérequis #

Vous aurez besoin d'un serveur CentOS 8 auquel vous pouvez accéder en tant que root ou compte avec les privilèges sudo.

Configuration du serveur WireGuard #

Nous allons commencer par installer WireGuard sur la machine CentOS et le configurer pour qu'il agisse en tant que serveur. Nous configurerons également le système pour y acheminer le trafic des clients.

Installation de WireGuard sur CentOS 8 #

Les outils WireGuard et le module du noyau peuvent être installés à partir des référentiels Epel et Elrepo. Pour ajouter les référentiels à votre système, exécutez la commande suivante :

sudo dnf install epel-release elrepo-release

Une fois cela fait, installez les packages WireGuard :

sudo dnf install kmod-wireguard wireguard-tools

Il peut vous être demandé d'importer les référentiels GPG Keys. Tapez y lorsque vous y êtes invité.

Configuration de WireGuard #

Les wireguard-tools le package comprend deux outils de ligne de commande nommés wg et wg-quick qui vous permettent de configurer et de gérer les interfaces WireGuard.

Nous allons stocker la configuration du serveur VPN et dans le /etc/wireguard annuaire. Sur CentOS, ce répertoire n'est pas créé lors de l'installation. Exécutez la commande suivante pour créer le répertoire :

sudo mkdir /etc/wireguard

Générer les clés publiques et privées dans le /etc/wireguard répertoire.

wg genkey | sudo tee /etc/wireguard/privatekey | wg pubkey | sudo tee /etc/wireguard/publickey

Vous pouvez afficher les fichiers avec cat ou less . La clé privée ne doit jamais être partagée avec qui que ce soit.

Maintenant que les clés sont générées, l'étape suivante consiste à configurer le périphérique de tunnel qui acheminera le trafic VPN.

L'appareil peut être configuré soit à partir de la ligne de commande en utilisant le ip et wg ou en créant le fichier de configuration avec un éditeur de texte.

Créez un nouveau fichier nommé wg0.conf et ajoutez le contenu suivant :

sudo nano /etc/wireguard/wg0.conf
/etc/wireguard/wg0.conf
[Interface]
Address = 10.0.0.1/24
SaveConfig = true
ListenPort = 51820
PrivateKey = SERVER_PRIVATE_KEY
PostUp     = firewall-cmd --zone=public --add-port 51820/udp && firewall-cmd --zone=public --add-masquerade
PostDown   = firewall-cmd --zone=public --remove-port 51820/udp && firewall-cmd --zone=public --remove-masquerade

L'interface peut être nommée comme vous le souhaitez, mais il est recommandé d'utiliser quelque chose comme wg0 ou wgvpn0 . Les paramètres de la section interface ont la signification suivante :

  • Adresse - une liste d'adresses IP v4 ou v6 séparées par des virgules pour le wg0 interface. Utilisez des adresses IP d'une plage réservée aux réseaux privés (10.0.0.0/8, 172.16.0.0/12 ou 192.168.0.0/16).

  • ListenPort - le port sur lequel WireGuard acceptera les connexions entrantes.

  • PrivateKey - une clé privée générée par le wg genkey commande. (Pour voir le contenu du fichier, lancez :sudo cat /etc/wireguard/privatekey )

  • SaveConfig - lorsqu'il est défini sur true, l'état actuel de l'interface est enregistré dans le fichier de configuration lors de l'arrêt.

  • PostUp - commande ou script qui est exécuté avant d'afficher l'interface. Dans cet exemple, nous utilisons firewall-cmd pour ouvrir le port WireGuard et activer le masquage. Cela permettra au trafic de quitter le serveur, donnant aux clients VPN un accès à Internet.

  • PostDown - commande ou script qui est exécuté avant d'arrêter l'interface. Les règles de pare-feu seront supprimées une fois l'interface désactivée.

Le wg0.conf et privatekey les fichiers ne doivent pas être lisibles par les utilisateurs normaux. Utilisez chmod pour définir les autorisations sur 600 :

sudo chmod 600 /etc/wireguard/{privatekey,wg0.conf}

Une fois fait, apportez le wg0 interface en utilisant les attributs spécifiés dans le fichier de configuration :

sudo wg-quick up wg0

La commande affichera quelque chose comme ceci :

[#] ip link add wg0 type wireguard
[#] wg setconf wg0 /dev/fd/63
[#] ip -4 address add 10.0.0.1/24 dev wg0
[#] ip link set mtu 1420 up dev wg0
[#] iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE

Pour afficher l'état et la configuration de l'interface, exécutez :

sudo wg show wg0
interface: wg0
  public key: My3uqg8LL9S3XZBo8alclOjiNkp+T6GfxS+Xhn5a40I=
  private key: (hidden)
  listening port: 51820

Vous pouvez également utiliser le ip commande pour vérifier l'état de l'interface :

ip a show wg0
4: wg0: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000
    link/none 
    inet 10.0.0.1/24 scope global wg0
       valid_lft forever preferred_lft forever

Pour amener le wg0 interface au démarrage, exécutez la commande suivante :

sudo systemctl enable wg-quick@wg0

Numéro de mise en réseau du serveur

Pour que NAT fonctionne, nous devons activer le transfert IP. Créez un nouveau fichier /etc/sysctl.d/99-custom.conf , et ajoutez la ligne suivante :

sudo nano /etc/sysctl.d/99-custom.conf
/etc/sysctl.d/99-custom.conf
net.ipv4.ip_forward=1

Enregistrez le fichier et appliquez la modification à l'aide de sysctl :

sudo sysctl -p /etc/sysctl.d/99-custom.conf
net.ipv4.ip_forward = 1

C'est ça. Le pair CentOS qui agira en tant que serveur a été configuré.

Configuration des clients Linux et macOS #

Les instructions d'installation pour toutes les plates-formes prises en charge sont disponibles sur https://wireguard.com/install/. Sur les systèmes Linux, vous pouvez installer le package à l'aide du gestionnaire de packages de distribution et sur macOS avec brew . Une fois que vous avez installé WireGuard, suivez les étapes ci-dessous pour configurer le périphérique client.

Le processus de configuration d'un client Linux et macOS est à peu près le même que pour le serveur. Commencez par générer les clés publiques et privées :

wg genkey | sudo tee /etc/wireguard/privatekey | wg pubkey | sudo tee /etc/wireguard/publickey

Créez le fichier wg0.conf et ajoutez le contenu suivant :

sudo nano /etc/wireguard/wg0.conf
/etc/wireguard/wg0.conf
[Interface]
PrivateKey = CLIENT_PRIVATE_KEY
Address = 10.0.0.2/24


[Peer]
PublicKey = SERVER_PUBLIC_KEY
Endpoint = SERVER_IP_ADDRESS:51820
AllowedIPs = 0.0.0.0/0

Les paramètres de la section interface ont la même signification que lors de la configuration du serveur :

  • Adresse :une liste d'adresses IP v4 ou v6 séparées par des virgules pour le wg0 interface.
  • PrivateKey - Pour voir le contenu du fichier sur la machine cliente, exécutez :sudo cat /etc/wireguard/privatekey

La section pair contient les champs suivants :

  • PublicKey - une clé publique du pair auquel vous souhaitez vous connecter. (Le contenu du serveur /etc/wireguard/publickey fichier).
  • Endpoint :une adresse IP ou un nom d'hôte du pair auquel vous souhaitez vous connecter suivi de deux-points, puis d'un numéro de port sur lequel le pair distant écoute.
  • AllowedIPs - une liste séparée par des virgules d'adresses IP v4 ou v6 à partir desquelles le trafic entrant pour le pair est autorisé et vers lesquelles le trafic sortant pour ce pair est dirigé. Nous utilisons 0.0.0.0/0 car nous acheminons le trafic et souhaitons que l'homologue du serveur envoie des paquets avec n'importe quelle adresse IP source.

Si vous devez configurer des clients supplémentaires, répétez simplement les mêmes étapes en utilisant une adresse IP privée différente.

Configuration des clients Windows #

Téléchargez et installez le package Windows msi à partir du site Web de WireGuard.

Une fois installé, ouvrez l'application WireGuard et cliquez sur "Ajouter un tunnel" -> "Ajouter un tunnel vide…" comme indiqué sur l'image ci-dessous :

Une paire de clés publiques est automatiquement créée et affichée à l'écran.

Saisissez un nom pour le tunnel et modifiez la configuration comme suit :

[Interface]
PrivateKey = CLIENT_PRIVATE_KEY
Address = 10.0.0.2/24


[Peer]
PublicKey = SERVER_PUBLIC_KEY
Endpoint = SERVER_IP_ADDRESS:51820
AllowedIPs = 0.0.0.0/0

Dans la section interface, ajoutez une nouvelle ligne pour définir l'adresse du tunnel client.

Dans la section pair, ajoutez les champs suivants :

  • PublicKey - la clé publique du serveur CentOS (/etc/wireguard/publickey fichier).
  • Endpoint :l'adresse IP du serveur CentOS suivie de deux-points et du port WireGuard (51820).
  • IP autorisées - 0.0.0.0/0

Une fois cela fait, cliquez sur le bouton "Enregistrer".

Ajouter le pair client au serveur #

La dernière étape consiste à ajouter la clé publique et l'adresse IP du client au serveur :

sudo wg set wg0 peer CLIENT_PUBLIC_KEY allowed-ips 10.0.0.2

Assurez-vous de changer le CLIENT_PUBLIC_KEY avec la clé publique que vous avez générée sur la machine cliente (sudo cat /etc/wireguard/publickey ) et ajustez l'adresse IP du client si elle est différente. Les utilisateurs Windows peuvent copier la clé publique depuis l'application WireGuard.

Une fois cela fait, retournez sur la machine cliente et affichez l'interface de tunnellisation.

Clients Linux et macOS #

Sur les clients Linux, exécutez la commande suivante pour afficher l'interface :

sudo wg-quick up wg0

Vous devez maintenant être connecté au serveur CentOS et le trafic de votre machine cliente doit y être acheminé. Vous pouvez vérifier la connexion avec :

sudo wg
interface: wg0
  public key: sZThYo/0oECwzUsIKTa6LYXLhk+Jb/nqK4kCCP2pyFg=
  private key: (hidden)
  listening port: 60351
  fwmark: 0xca6c

peer: My3uqg8LL9S3XZBo8alclOjiNkp+T6GfxS+Xhn5a40I=
  endpoint: XXX.XXX.XXX.XXX:51820
  allowed ips: 0.0.0.0/0
  latest handshake: 41 seconds ago
  transfer: 213.25 KiB received, 106.68 KiB sent

Vous pouvez également ouvrir votre navigateur, taper « quelle est mon adresse IP », et vous devriez voir l'adresse IP de votre serveur CentOS.

Pour arrêter le tunneling, abaissez le wg0 interface :

sudo wg-quick down wg0

Numéro de client Windows

Si vous avez installé WireGuard sous Windows, cliquez sur le bouton "Activer". Une fois les pairs connectés, le statut du tunnel passera à Actif :


Cent OS

  1. Comment installer Vagrant sur CentOS 7

  2. Comment configurer WireGuard VPN sur Ubuntu 18.04

  3. Comment configurer Wireguard VPN sur CentOS 8

  4. Comment configurer WireGuard VPN sur Ubuntu 20.04

  5. Comment configurer WireGuard VPN sur CentOS 8

Configurez votre propre serveur VPN WireGuard sur CentOS/RHEL

Comment installer et configurer Gitlab CE Server sur Centos 8

Comment installer Wireguard sur CentOS 8

Comment configurer un VPN basé sur IPsec avec Strongswan sur CentOS/RHEL 8

Comment configurer WireGuard VPN sur Debian 11

Comment configurer WireGuard VPN sur Linux