Re: wireguard : plusieurs clients

Auteur: prx <prx_at_ybad.name>
Date: Wed, 19 Aug 2020 14:03:33 +0200
* dam <dam_at_d4m.fr> le [18-08-2020 19:59:48 +0200]:
> 
> Le 18/08/2020 à 13:09, prx a écrit :
> > Bonjour,
> Bonsoir prx,
> > Je cherche à configurer plusieurs clients sur une interface
> > wireguard en -current.
> >
> > Voici le contenu du fichier /etc/hostname.wg0 sur le serveur : 
> >
> > 	wgkey G....o4SJryNGpjbQG+rA=
> > 	wgport 443
> > 	wgpeer V3p.......GT7QGDDCZ3O26kY3A= wgaip 10.0.0.0/24
> > 	wgpeer k56......VFFyU1nQwph2MaBTRmeI 10.0.0.0/24
> > 	inet 10.0.0.1/24
> > 	up
> >
> >
> > J'ai fait des tests, à chaque fois, le tunnel semble bien
> > creusé puisque je vois avec `ifconfig`
> >
> > 	wg0: flags=80c3<UP,BROADCAST,RUNNING,NOARP,MULTICAST> mtu 1420
> >         index 4 priority 0 llprio 3
> >         wgport 443
> >         wgpubkey ....
> >         wgpeer V3p ...
> >                 wgendpoint 93.6.177.187 2182
> >                 tx: 34800612, rx: 2606276
> >                 last handshake: 19 seconds ago
> >                 wgaip 10.0.0.0/24
> >         wgpeer k56...
> >                 wgendpoint 93.6.177.187 17178
> >                 tx: 56168, rx: 22464
> >                 last handshake: 2 seconds ago
> >
> > Le "last handshake" montre que ça semble bon.
> > Cependant, seul le dernier client précisé dans
> > /etc/hostname.wg0 peut acéder au tunnel. Les autres ne peuvent
> > même pas "pinger" 10.0.0.1, l'adresse du serveur.
> >
> > Si j'inverse les lignes "wgpeer", je vois que c'est toujours le dernier
> > précisé qui peut effetivement utiliser le tunnel.
> >
> > Alors je sais, je pourrais configurer une nouvelle interface wg1, puis
> > wg2, puis... soit 1 par client, mais il me semblait avoir compris que
> > plusieurs clients pouvaient très bien utiliser 1 seule interface
> > sur le "server".
> >
> > Des idées?
> 
> Tu ne peux pas configurer le même wgaip sur plusieurs wgpeer. Si tes
> clients ont besoin que d'une IP tu peux très bien utiliser le /32.
> 
> Voici un exemple de configuration que j'ai en "prod" :
> 
>         mtu 1420
>         inet 10.42.42.0/32
>         wgrtable 1 wgport 51820
>         wgkey GPu...=
> 
>         #toto
>         wgpeer sBp...= wgaip 10.42.42.1/32
>         ! route add 10.42.42.1/32 -link -iface wg0
> 
>         #titi
>         wgpeer hs2...= wgaip 10.42.42.2/32
>         ! route add 10.42.42.2/32 -link -iface wg0
> 
>         #tata
>         wgpeer C43...= wgaip 192.168.42.0/24
>         ! route add 192.168.42.0/24 -link -iface wg0
> 
> 
Très intéressant, merci!

Je n'ai pas réussi à reproduire la même
configuration que toi exactement. Je pense que je m'embrouille sur les
clients pour préciser la bonne route vers le "serveur".
J'ai donc choisi de faire au plus
simple : 

	up
	inet 10.0.0.1/24
	wgkey 3qZ...=
	wgport 443
	# pc fixe
	wgpeer On...= wgaip 10.0.0.2/32
	# pc portable X
	wgpeer bla...= wgaip 10.0.0.3/32


Ainsi, si je comprends bien, chaque wgpeer est bien isolé des
autres.

Pour vous désinscrire, envoyez un message à 
    blabla+unsubscribe_at_openbsd.fr.eu.org
ReÇu le 19/08/2020 14:03

Cette archive a été créée par hypermail 2.3.0 : 11/03/2021 09:22 CET