Différences

Ci-dessous, les différences entre deux révisions de la page.

--- documentation:internet:vpn [2024/02/28 16:17] – gauthier67
+++ documentation:internet:vpn [2024/11/21 15:51] (Version actuelle) – ajout section WireGuard pour systemd-networkd ibis
@@ Ligne 5: / Ligne 5: @@
   * Aller dans le config panel et charger le fichier vpnXXX.conf
   * Et tada !!!
-===== Sur Linux mint =====
+===== Sur Linux (NetworkManager) =====
   * Télécharger le fichier sur le bureau
   * Lancer "nmcli connection import type wireguard file Bureau/vpnXXX.conf"
+===== Sur Linux (systemd-networkd version > 250) =====
+La configuration suivante résultera en la redirection de tout le flux internet via le VPN ARN
+  * Créer deux fichiers accessibles au groupe **systemd-network** en lecture et contenant la PrivateKey et la PresharedKey. Ce sont des fichiers sensibles le mieux est de leur donner un chmod 640.
+  * Créer les fichiers de configuration suivants en reportant :
+    * **les deux adresses** depuis la configuration fournie par ARN
+    * corriger les chemins **PrivateKeyFile et PresharedKeyFile** pour correspondre aux fichiers de la première étape
+  * Recharger systemd-networkd pour prendre en compte la nouvelle configuration
+    * systemctl restart systemd-networkd
+  ######################################
+  # /etc/systemd/network/10-wg0.netdev #
+  ######################################
+  [NetDev]
+  Kind=wireguard
+  MTUBytes=1450
+  Name=wg0
+  [WireGuard]
+  # Doit être accessible par le groupe systemd-network
+  PrivateKeyFile=/run/keys/wireguard-privkey
+  # Crée automatiquement une route par défaut dans une table secondaire
+  RouteTable=2468
+  # Marque les paquets d'infra Wireguard pour les envoyer sur l'interface physique
+  FirewallMark=1234
+  [WireGuardPeer]
+  AllowedIPs=0.0.0.0/0
+  AllowedIPs=::/0
+  Endpoint=89.234.141.83:8095
+  PersistentKeepalive=15
+  # Doit être accessible par le groupe systemd-network
+  PresharedKeyFile=/run/keys/wireguard-psk.key
+  PublicKey=t3+JkBfXI1uw8fa9P6JfxXJfTPm9cOHcgIN215UHg2g=
+  #######################################
+  # /etc/systemd/network/10-wg0.network #
+  #######################################
+  [Match]
+  Name=wg0
+  [Network]
+  # A remplacer par ses IP attribuées
+  Address=X.X.X.X/32
+  Address=X:X:X:X::X/128
+  # Règle qui envoie tout le trafic dans le VPN
+  # Traduction en commande ip rule:
+  #     ip rule add not fwmark 1234 table 2468
+  #
+  [RoutingPolicyRule]
+  # Conditions en mode not
+  InvertRule=true
+  # La marque que seul Wireguard lui-même utilise
+  # et qui indique les paquets qui ne doivent pas
+  # être envoyés dans le tunnel
+  FirewallMark=1234
+  # Envoi du trafic IPv4 et IPv6 dans le tunnel
+  Family=both
+  Table=2468
+  Priority=10
+  # Envoi du traffic local dans la table de routage par défaut
+  # Traduction en commande ip rule:
+  #     ip rule add table main suppress_prefixlength 0
+  #
+  [RoutingPolicyRule]
+  SuppressPrefixLength=0
+  Family=both
+  Priority=9
+==== Troubleshoot ====
+  ip a
+La commande ip doit montrer une nouvelle interface wg0 qui porte l'IP donnée par ARN
+  journalctl -xeu systemd-networkd
+Le journal de systemd-networkd peut contenir des informations en cas de problème (exemple: la version de networkd est trop ancienne et ne supporte pas les options utilisées)
+  wg show
+La commande wg permet de voir l'état du tunnel.
+Si la valeur received de la ligne transfer est nulle cela indique un soucis (configuration, réseau, ...).
+Vérifiez les différents paramètres (votre adresse, vos clés de connexion, les chemins des clés, les droits d'accès aux clés) contenus dans vos fichiers /etc/systemd/network/10-wg0.*
 ====== Configuration VPN ARN OpenVPN ======