Passer au contenu principal

Créer VPN Wireguard

Pour faciliter l’accès a distance de notre infrastructure, nous devons passer par VPN et dans une infrastructure ou une VM sert d’accès VPN, elle peux être problématique en car d’arrêt car la machine peux ne pas redémarrer directement ou peux être bloqué par conséquent, nous ne pouvons plus accéder a notre infra a distance. Pour limiter le risque, un VPN sur notre pare-feu peux être une solution. 

Pour commencer on va ce rendre dans VPN -> Wireguard et créer une instance pour notre serveur VPN : 

Capture d’écran 2025-10-07 à 17.33.10.png

On définit un Nom pour notre instance, on genere une clé publique et une clé privée avec l'engrenage et on choisi notre port d'ecoute de notre serveur Wireguard. Celui par defaut et le 51820, en cas de changement il faudra juste s'en rappeler. On ajoute une adresse IP pour notre tunnel, ici nous pouvons choisir celui par defaut 10.0.0.1/24 mais il faut absolument que l'adresse reseau qu'on choisit ne soit pas une adresse existante dans notre infrastructure. Si nous avons un CARP (avec une adresse IP Virtuel) on la choisie et on laisse ensuite le Paires par defaut car nous n'en avons pas. 
Une fois notre instance créer on clique bien sur le bouton Appliquer.

Maintenant on ce rend dans générateur de pairs pour créer notre utilisateur. On choisi le point de terminaison qui est un FQDN ou notre adresse IP publique suivi de notre port d'écoute : 

Capture d’écran 2025-10-07 à 17.42.21.png

On définit aussi le nom de notre utilisateur, automatiquement l'adresse passe en .2, on laisse par conséquent par défaut, on clé une clé pré-partagée avec l’engrenage, on autorise des sous réseaux ou des adresse de machine dans notre LAN ou on laisse en 0.0.0.0/0 pour laisser tous le trafic réseaux (si vous utilisez pas d'IPV6 on peux retirer ::/0). 
En intervalle de maintient on peux laisser par défaut ou mettre 25 secondes en persistant. On entre aussi notre DNS interne ou des DNS publique comme 1.1.1.1. 
On sauvegarde notre configuration ou alors on scan le QRcode car il ne sera pas ré-afficher apres avoir sauvegarder la configuration. 

Pour que Wireguard fonctionne nous devons lui créer une interface dans OpnSense dédié donc on ce rend dans Interfaces -> Assignations et on ajoute l'interface wg0 en lui donnant une description : 

Capture d’écran 2025-10-07 à 17.54.53.png

On ce rend dans notre interface et on l'active puis on sauvegarde et applique les changements : 

Capture d’écran 2025-10-07 à 17.56.32.png

Dans nos règles de NAT on créer une nouvelle règles dans redirection de port avec notre port Wireguard en UDP avec en "rediriger l'IP de destination" notre serveur de tunnel en .1 ainsi que notre port Wireguard. (si vous avec une VIP il la mettre dans Destination)

Capture d’écran 2025-10-07 à 17.59.35.png

Maintenant dans Pare-feu -> NAT -> Sortant on ajoute une règle manuelle en choisissant l'interface WAN, l'adresse source Wireguard Net. (si vous avez une VIP, il faut la rajouter dans Translation / destination) On clique sur sauvegarder et appliquer.

Capture d’écran 2025-10-07 à 18.07.40.png

Pour gerer toutes nos connexions nous pouvons Pare-feu -> Règles -> Wireguard (Groupe) gérer les accès ou non de nos utilisateur (accéder a tel réseau ou a tel machine même si notre utilisateur change sa configuration dans le logiciel Wireguard)

 

Retour en haut