Wireguard est un logiciel de tunnellisation VPN open-source, fiable et avancé que vous pouvez installer et utiliser dès maintenant pour créer une connexion point à point sécurisée à un serveur. Il est multiplateforme et peut fonctionner presque n'importe où, y compris Linux, Windows, Android et macOS. Wireguard est un VPN peer-to-peer. il n'utilise pas le modèle client-serveur. Selon sa configuration, un pair peut agir comme un serveur ou un client traditionnel.
Chez LinuxAPT, dans le cadre de nos services de gestion de serveur, nous aidons régulièrement nos clients à effectuer des requêtes d'installation de logiciels connexes.
Dans ce contexte, nous verrons comment installer Wireguard sur Ubuntu 20.04 LTS.
Étapes pour installer et configurer Wireguard sur Ubuntu 20.04 LTS Focal Fossa
1. Effectuez la mise à jour du système
Tout d'abord, assurez-vous que tous vos packages système sont à jour en exécutant les commandes apt suivantes dans le terminal :
$ sudo apt update
$ sudo apt upgrade
2. Installez Wireguard sur le système
WireGuard est disponible à partir des référentiels Ubuntu par défaut. Exécutez les commandes suivantes pour l'installer :
$ sudo apt install wireguard
3. Configurer WireGuard
Tout d'abord, exécutez la commande suivante pour générer la paire de clés :
$ wg genkey | sudo tee /etc/wireguard/privatekey | wg pubkey | sudo tee /etc/wireguard/publickey
Ensuite, créez un nouveau fichier nommé wg0.conf et ajoutez le contenu suivant :
$ sudo nano /etc/wireguard/wg0.conf
[Interface]
Address = 10.0.0.1/24
SaveConfig = true
ListenPort = 51820
PrivateKey = SERVER_PRIVATE_KEY
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o ens3 -j MASQUERADE
Les termes ci-dessus du fichier wg0.conf sont définis ci-dessous :
- Adresse :une liste d'adresses IP v4 ou v6 séparées par des virgules pour l'interface wg0. Utilisez des adresses IP d'une plage réservée aux réseaux privés (10.0.0.0/8, 172.16.0.0/12 ou 192.168.0.0/16).
- ListenPort - le port sur lequel WireGuard acceptera les connexions entrantes.
- PrivateKey - une clé privée générée par la commande wg genkey. (Pour voir le contenu du fichier, lancez :sudo cat /etc/wireguard/privatekey)
- SaveConfig :lorsqu'il est défini sur true, l'état actuel de l'interface est enregistré dans le fichier de configuration lors de l'arrêt.
- PostUp – commande ou script exécuté avant l'activation de l'interface. Dans cet exemple, nous utilisons iptables pour activer le masquage. Cela permettra au trafic de quitter le serveur, donnant aux clients VPN un accès à Internet.
- PostDown – commande ou script exécuté avant l'arrêt de l'interface. Les règles iptables seront supprimées une fois l'interface arrêtée.
Les fichiers wg0.conf et la clé privée ne doivent pas être lisibles par les utilisateurs normaux. Utilisez chmod pour définir les autorisations sur 600 :
$ sudo chmod 600 /etc/wireguard/{privatekey,wg0.conf} Une fois cela fait, affichez l'interface wg0 en utilisant les attributs spécifiés dans le fichier de configuration :
$ sudo wg-quick up wg0
[#] ip link add wg0 type wireguard
[#] wg setconf wg0 /dev/fd/63
[#] ip -4 address add 10.0.0.1/24 dev wg0
[#] ip link set mtu 1420 up dev wg0
[#] iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE
Pour amener l'interface WireGuard au démarrage, exécutez la commande suivante :
$ sudo systemctl enable wg-quick@wg0
4. Configurer le pare-feu
Vous devez ouvrir le trafic UDP sur le port 51820 :
$ sudo ufw allow 51820/udp
Enfin, nous pouvons démarrer le service Wireguard à l'aide de la commande suivante :
$ sudo wg-quick up wg0