Fedora-Fr - Communauté francophone Fedora - Linux

Communauté francophone des utilisateurs de la distribution Linux Fedora.

  

Dernière news : Fedora 34 n'est plus maintenu

#1 09/08/2021 15:40:51

VINDICATORs
RédactWikix and the graphicatorix!
Modérateur
Lieu : Toulouse(31) France
Inscription : 23/11/2004
Messages : 18 820
Site Web

Wireguard VPN et les clients...

Je me mets en place des VPN perso. Cependant j'ai eu quelques déboires sur les clients "Fedora" (linux en général soit dit en passant) dont je vais donner la solution.

Sur mon smartphone pas de problème, l'outil pour gérer wireguard tourne sans problème.

Par contre de suivre la procédure pour le client sous Fedora pose des problèmes :
- Pas de configuration des routes : Du coup il y a un souci de communication soit/et avec les ip interne/externe.
Du coup il faut rajouter 2 routes à l'interface Wireguard (ex: 192.168.x.0/24 -> 0.0.0.0 et 0.0.0.0/0 -> 192.168.x.0)
J'ai utilisé l'interface de KDE pour le faire (je me refais une machine avec interface graphique), mais c'est possible aussi avec les commandes "nmcli" (wireguard n'apparait pas sur l'interface graphique en ligne de commande "nmtui").

- Il semble que la procédure ci-dessous avec la création d'un fichier de configuration et l'utilisation du service "wg-quick" soit incomplet. Par contre je ne sais pas ce qui manque par rapport à l'interface de KDE (même celle de gnome ne semble bancale...).
https://fedoramagazine.org/build-a-virt … wireguard/

Je dois le déployer sur une autre machine courant de la semaine. Je ferais peut être une petite doc sur le sujet si je trouve une solution complète commune (avec toutes les bonnes commandes "nmcli" par exemple).


AMD R7 5800x, MSI Pro Carbon X470, 64Go DDR4 3.6Ghz Kingston Renegarde C17, RX5700XT MSI OC, SSD : 1xPNY LXR8 1To + 1x970EVO 500Go + 2x500Go 860EVO, 3x1To 860EVO, HDD WD 2To + 4To Black, BeQuiet Dark 900 + Ppower 1kW plat
AMD R7 2700x + 32Go DDR4 3.2Ghz, 1xPNY LXR8 1To, 2x1To 860QVO, rx6500xt 4Go, BMT MBox Q300L
AMD R5 2600, 32Go DDR4 1.8Ghz, 1x250GO SSD, 3x 2To RAID5 WDBlue, 1030GT 2Go, BCubes Chieftec + AMD A6 9500, 16Go DDR4 2.1Ghz, SSD 250Go,3To Red

Hors ligne

#2 09/08/2021 22:58:52

Jules-Marie-84
Membre
Inscription : 28/10/2012
Messages : 487

Re : Wireguard VPN et les clients...

Merci pour ces infos VINDICATORs, c'est vrai que les clients VPN sous Linux ce n'est pas le top, hélas.
PAr exemple celui de NordVPN, qui certes fonctionne sous Gnome, quand on le lance en terminal, mais qui, et c'est gênant et dommage, ne signale pas l'état du VPN dans l'interface de Gnome.
Coté routes j'ai des difficultés, personnellement, même si j'arrive à configurer mon VPN.
Un tuto détaillé sera un gros plus pour beaucoup de monde, j'en suis convaincu.
Au passage, j'ai des choses bizarres sur mes paramètres de connexion (filaire) depuis mon passage à F34, mais j'ouvrirai un sujet dessus, ce sera plus clair.
Bonne soirée.


Jules-Marie-84

Fedora Linux 35 Workstation - AMD FX 8350 - Gigabyte GA 970 gaming - 16Gb ram DDR3 1600 - Vidéo Sapphire Nitro Radeon RX 480 - 4 Go - NVMe Samsung 980 Pro 1To «système» - SSD Crucial MX500 2To «datas».

Hors ligne

#3 10/08/2021 09:42:29

VINDICATORs
RédactWikix and the graphicatorix!
Modérateur
Lieu : Toulouse(31) France
Inscription : 23/11/2004
Messages : 18 820
Site Web

Re : Wireguard VPN et les clients...

Je pense surtout que c'est parce que wireguard est intégré nativement maintenant et donc utiliser le service/fichier wg-quick n'est plus nécessaire. Mais bon je n'ai pas trouvé grand chose pour la partie "serveur", donc à voir...

Après par contre pour l'histoire des routes c'est un peu étrange, mais pas tant que cela. De plus c'est un peu normal que dans certain cas il soit nécessaire de le faire pour gérer le réseau interne (les joies de la conf réseaux...). Par contre c'est bizarre qu'il n'est pas au moins créé celle pour allez sur l'Internet.
C'était sans doute aussi là qu'était le problème avec le service wg-quick.

A voir par la suite si il ne serait pas préférable d'avoir deux interfaces wireguard, une pour le service Internet et l'autre pour celui du réseau interne...

Je suis pas trop pour des VPN du style dont tu parle, surtout en farfouillant un peu sur l'entreprise derrière... Mais bon niveau client je trouve quand même que l'outil fourni avec KDE est pas mal niveau interface(c'est aussi le cas pour celui coté gnome ;) ), sans compter que la commande nmcli est quand même très complète. Après a voir ce qui est fourni et demandé par l'entreprise du VPN... Souvent ils utilisent que du linux,  mais derrière ne savent gérer que des clients Ms et pomme croqué avec un peu de droïd (pourtant sur base GNU/Linux...).

Perso au pire un petit serveur VPS/dédié chez kimsuffi (par exemple), une centos/fedora/rockyos, wireguard et hop. C'est pas toujours plus chère, mais au moins tu sais ce qu'il y a derrière...


AMD R7 5800x, MSI Pro Carbon X470, 64Go DDR4 3.6Ghz Kingston Renegarde C17, RX5700XT MSI OC, SSD : 1xPNY LXR8 1To + 1x970EVO 500Go + 2x500Go 860EVO, 3x1To 860EVO, HDD WD 2To + 4To Black, BeQuiet Dark 900 + Ppower 1kW plat
AMD R7 2700x + 32Go DDR4 3.2Ghz, 1xPNY LXR8 1To, 2x1To 860QVO, rx6500xt 4Go, BMT MBox Q300L
AMD R5 2600, 32Go DDR4 1.8Ghz, 1x250GO SSD, 3x 2To RAID5 WDBlue, 1030GT 2Go, BCubes Chieftec + AMD A6 9500, 16Go DDR4 2.1Ghz, SSD 250Go,3To Red

Hors ligne

#4 11/08/2021 09:58:14

VINDICATORs
RédactWikix and the graphicatorix!
Modérateur
Lieu : Toulouse(31) France
Inscription : 23/11/2004
Messages : 18 820
Site Web

Re : Wireguard VPN et les clients...

Bon il semble plus judicieux de créer une connexion wireguard directement avec nmcli.

Je n'ai pas trouvé de solution en ligne de commande avec nmcli  pour modifier la connexion "wgX" qui une fois relancé avec le service "wg-quik@wgX.service"n'est pas prit en compte...

Du coup le client voit le serveur avec son ip interne (et pas l'ip du VPN), mais le serveur lui ne voit pas le client toujours avec son ip interne. Par contre pas de souci avec l'IP VPN.

De plus les modifications sur l'interface wgX avec numcli sont balayés au redémarrage du service wg-quick@wgX.service et ne sont prises en compte :

Exemple :

nmcli connection modify wg0 +ipv4.routes "0.0.0.0/0 xx.xx.2.1"
wgX: connecté (en externe) à wgX
        "wgX"
        wireguard, sw, mtu 1420
        inet4 xx.xx.2.1/24
        route4 xx.xx.2.0/24
        inet6 fdXX:7::1/48
        route6 fdXX:7::/48

Alors que sur le client oui :

IP4.ADDRESS[1]:                         xx.xx.2.2/32
IP4.GATEWAY:                            --
IP4.ROUTE[1]:                           dst = 0.0.0.0/0, nh = 0.0.0.0, mt = 50, table=52053
IP4.ROUTE[2]:                           dst = xx.xx.1.0/24, nh = 0.0.0.0, mt = 50
IP4.ROUTE[3]:                           dst = xx.xx.2.0/24, nh = 0.0.0.0, mt = 50
IP4.ROUTE[4]:                           dst = 0.0.0.0/8, nh = xx.xx.2.1, mt = 50

Après ma commande est peut être foireuse...

A voir pourquoi je n'obtiens rien de bien avec la commande route...


AMD R7 5800x, MSI Pro Carbon X470, 64Go DDR4 3.6Ghz Kingston Renegarde C17, RX5700XT MSI OC, SSD : 1xPNY LXR8 1To + 1x970EVO 500Go + 2x500Go 860EVO, 3x1To 860EVO, HDD WD 2To + 4To Black, BeQuiet Dark 900 + Ppower 1kW plat
AMD R7 2700x + 32Go DDR4 3.2Ghz, 1xPNY LXR8 1To, 2x1To 860QVO, rx6500xt 4Go, BMT MBox Q300L
AMD R5 2600, 32Go DDR4 1.8Ghz, 1x250GO SSD, 3x 2To RAID5 WDBlue, 1030GT 2Go, BCubes Chieftec + AMD A6 9500, 16Go DDR4 2.1Ghz, SSD 250Go,3To Red

Hors ligne

#5 11/08/2021 10:09:41

Refuznik
Membre
Inscription : 31/01/2007
Messages : 8 079

Re : Wireguard VPN et les clients...

Si tue s chez Free tu as un vpn wireguard inclue dans la box si tu veux ou même en rajouter en externe.

Hors ligne

#6 11/08/2021 10:15:36

VINDICATORs
RédactWikix and the graphicatorix!
Modérateur
Lieu : Toulouse(31) France
Inscription : 23/11/2004
Messages : 18 820
Site Web

Re : Wireguard VPN et les clients...

Non je ne suis pas chez free.

Si je dois rediriger les services sur des ip VPN plutôt que sur des ip interne ce n'est pas un problème, juste c'est un peu plus casse pied wink .


AMD R7 5800x, MSI Pro Carbon X470, 64Go DDR4 3.6Ghz Kingston Renegarde C17, RX5700XT MSI OC, SSD : 1xPNY LXR8 1To + 1x970EVO 500Go + 2x500Go 860EVO, 3x1To 860EVO, HDD WD 2To + 4To Black, BeQuiet Dark 900 + Ppower 1kW plat
AMD R7 2700x + 32Go DDR4 3.2Ghz, 1xPNY LXR8 1To, 2x1To 860QVO, rx6500xt 4Go, BMT MBox Q300L
AMD R5 2600, 32Go DDR4 1.8Ghz, 1x250GO SSD, 3x 2To RAID5 WDBlue, 1030GT 2Go, BCubes Chieftec + AMD A6 9500, 16Go DDR4 2.1Ghz, SSD 250Go,3To Red

Hors ligne

#7 11/08/2021 11:10:05

VINDICATORs
RédactWikix and the graphicatorix!
Modérateur
Lieu : Toulouse(31) France
Inscription : 23/11/2004
Messages : 18 820
Site Web

Re : Wireguard VPN et les clients...

Bon après les ports sont bloqué sur la box de l'autre site. Du coup j'ai certains services qui passent pas :P


AMD R7 5800x, MSI Pro Carbon X470, 64Go DDR4 3.6Ghz Kingston Renegarde C17, RX5700XT MSI OC, SSD : 1xPNY LXR8 1To + 1x970EVO 500Go + 2x500Go 860EVO, 3x1To 860EVO, HDD WD 2To + 4To Black, BeQuiet Dark 900 + Ppower 1kW plat
AMD R7 2700x + 32Go DDR4 3.2Ghz, 1xPNY LXR8 1To, 2x1To 860QVO, rx6500xt 4Go, BMT MBox Q300L
AMD R5 2600, 32Go DDR4 1.8Ghz, 1x250GO SSD, 3x 2To RAID5 WDBlue, 1030GT 2Go, BCubes Chieftec + AMD A6 9500, 16Go DDR4 2.1Ghz, SSD 250Go,3To Red

Hors ligne

#8 15/08/2021 19:00:53

VINDICATORs
RédactWikix and the graphicatorix!
Modérateur
Lieu : Toulouse(31) France
Inscription : 23/11/2004
Messages : 18 820
Site Web

Re : Wireguard VPN et les clients...

J'ai totalement occulté le service wg-quick à la réinstallation de mon client (je l'ai refais vu que l'installation du groupe plasma/kde omet pas mal de paquets de base... du coup c'est inexploitable sans chercher longtemps quoi reinstaller!). J'en ai profité pour repartir sur une base propre avec btrfs et tout.

Du coup pas de problème à la mise en place du client wireguard directement avec les outils "graphique" de KDE. J'ai tenté en ligne de commande, mais j'avais fais des erreurs avec les différentes clefs qui m'ont envoyé sur des fausses pistes... Mais bon sans cela tout doit bien fonctionner. Par contre c'est plus long et il faut fouiller pas mal pour avoir toutes les options pour la commande, voir pour utiliser un fichier qui les réunit...

Enfin cela fonctionne très bien, je n'ai plus qu'un souci coté serveur, mais redéfinir certaines routes provoque pas mal de sueur froide. Comme je n'ai pas de puce graphique dessus, il faut rebooter la machine pour retrouver les accès :'( .

Enfin bref j'avance bien, ne reste plus que les accès coté box de l'autre site à faire et c'est tout bon :) .


AMD R7 5800x, MSI Pro Carbon X470, 64Go DDR4 3.6Ghz Kingston Renegarde C17, RX5700XT MSI OC, SSD : 1xPNY LXR8 1To + 1x970EVO 500Go + 2x500Go 860EVO, 3x1To 860EVO, HDD WD 2To + 4To Black, BeQuiet Dark 900 + Ppower 1kW plat
AMD R7 2700x + 32Go DDR4 3.2Ghz, 1xPNY LXR8 1To, 2x1To 860QVO, rx6500xt 4Go, BMT MBox Q300L
AMD R5 2600, 32Go DDR4 1.8Ghz, 1x250GO SSD, 3x 2To RAID5 WDBlue, 1030GT 2Go, BCubes Chieftec + AMD A6 9500, 16Go DDR4 2.1Ghz, SSD 250Go,3To Red

Hors ligne

#9 20/08/2021 18:47:25

VINDICATORs
RédactWikix and the graphicatorix!
Modérateur
Lieu : Toulouse(31) France
Inscription : 23/11/2004
Messages : 18 820
Site Web

Re : Wireguard VPN et les clients...

Bon avec un mixte fichier wgX.conf->import nmcli -> modif des routes dans /etc/NetworkManager/system-connections/wgX et c'est bon!

Je vais me pencher sur cette histoire que les commande numcli ipv4.routes ne soient pas permanente. Parce que bon si il faut modifier le fichier de conf à chaque fois... C'est peut être une option que j'ai zappé comme pour firewalld-cmd où il faut mettre --permanent pour que ce soit enregistré.

Du coup mon raspberry pi4 est lui aussi sous VPN. Du coup je vais pouvoir revoir mon infra en profondeur tongue.


AMD R7 5800x, MSI Pro Carbon X470, 64Go DDR4 3.6Ghz Kingston Renegarde C17, RX5700XT MSI OC, SSD : 1xPNY LXR8 1To + 1x970EVO 500Go + 2x500Go 860EVO, 3x1To 860EVO, HDD WD 2To + 4To Black, BeQuiet Dark 900 + Ppower 1kW plat
AMD R7 2700x + 32Go DDR4 3.2Ghz, 1xPNY LXR8 1To, 2x1To 860QVO, rx6500xt 4Go, BMT MBox Q300L
AMD R5 2600, 32Go DDR4 1.8Ghz, 1x250GO SSD, 3x 2To RAID5 WDBlue, 1030GT 2Go, BCubes Chieftec + AMD A6 9500, 16Go DDR4 2.1Ghz, SSD 250Go,3To Red

Hors ligne

Pied de page des forums