J’aimerais installer Wireguard.
Partout, je lis qu’il faut aller dans supervisor->Add-ons store et que là, je devrais avoir Wireguard qui serait affiché.
Cependant, ça n’est pas le cas.
Qu’est-ce que j’ai loupé ?
J’avais cru comprendre que c’était un addon officiel, en fait il est dans HACS ?
D’ailleurs, dans Supervisor->Add-on store quand je fais une recherche je n’ai pas les résultats de HACS, y a vraiment des choses dites simple que je ne saisi pas dans HA je crois
HACS et Home Assistant Community add-on ce sont deux choses différentes.
L’accès à Home Assistant Community add-on est dispo dès que tu as le « superviseur ».
Il y a deux familles d’addon. Les officiels et les autres. Mais, un bon paquet des community sont packagés par Frenk (qui bosse pour HA) donc, c’est du quasi officiel.
HACS ça vient en plus, si on veut. Pour des intégrations et des card supplémentaires.
La meilleur chose à faire et déjà de parcourir les Tutoriels (même ceux qui ne t’intéressent pas), tu pourra y découvrir beaucoup (termes, façon de faire, d’appréhender) de HA
Cependant, en croisant les sources ici et de mon moteur de recherche préféré, j’ai pu trouver l’URL du dépôt à ajouter et l’addon wireguard, que je compte utiliser de façon atypique vu que je ne souhaite que l’utiliser en tant que client pour le connecter à un serveur Wiregard.
Rien d’impossible si j’ai bien compris, mais ça attendra demain
Merci pour les réponses en tout cas qui m’ont toutes aiguillé à leur manière.
J’avais bien saisi ce qu’est le HACS mais je n’avais pas saisi où trouver des dépôts s’intégrant aux add-on dans le superviseur, du coup je m’étais rabattu vers HACS pour Wireguard.
Je confirme, je pense qu’il génère le serveur VPN All generated files are stored in /ssl/wireguard. This includes the client configurations generated by this add-on.
Ce qui me laisse penser qu’il est possible de l’utiliser aussi comme client, c’est qu’il y a exactement les mêmes instructions que lorsqu’on configure un client Wireguard classique, par là je veux dire sans Home Assistant.
Par exemple, on peut définir le endpoint d’un peer.
Et la documentation spécifie également qu’il est possible de faire tout ce que Wireguard fait.
Après s’il n’y a que ça, j’ouvre quand même un serveur, que je connecte à mon serveur en peer to peer, comme ça pas besoin de migrer quoi que ce soit ailleur
Vu que Wireguard gère le P2P. Mais ça serait dommage de limiter Wireguard à un serveur vu sa souplesse.
En fait, ça marchouille il se connecte bien, en tout cas je peux envoyer un ping sur l’IP de l’interface Wireguard depuis une machine connectée au VPN.
Je peux également me connecter au port 80 pour avoir le JSON qui donne l’état de la connexion.
Par contre, j’ai un beau « connection refused » si je tente de me connecter au port 8123 via CURL ça limite un peu l’intérêt d’un seul coup.
Voici ma config :
server:
host: host-vers-mon-ip
addresses:
- 172.16.9.8/24
dns: []
private_key: "xxx" # du côté de mon serveur, j'ai renseigné la clé publique correspondante
# table: off (même en laissant le réglage par défaut ne change rien)
# post_up: off (idem)
# post_down: off (encore idem)
peers:
- name: monserveur
public_key: "xxx" # clé publique correspondant à la clé privée du serveur
addresses:
- 172.16.9.1/24
allowed_ips:
- 172.16.9.0/24
client_allowed_ips:
- 172.16.9.0/24
persistent_keep_alive: 25
endpoint: host-serveur:port_wireguard
La connexion s’établie effectivement, bien affichée autant dans le log de l’add-on que du côté du serveur.
Donc oui on peut l’utiliser seulement en tant que client mais il y a une nuance que j’ai visiblement pas saisi pour que le port 8123 soit joignable.
J’ai mis un masque 24 donc 255.255.255.0 à chaque machine connecté au VPN.
Tout arrive à communiquer.
Actuellement, je n’arrive à joindre HA que par le réseau local, sinon de l’extérieur j’arrive à le joindre par mon reverse proxy Nginx mais pas par mon VPN, si depuis une machine connectée sur le VPN je tente d’aller sur 172.16.9.8:8123 j’ai connexion refusée.
Il me semblait que l’add-on ajoutait les routes pour que justement HA soit joignable depuis le VPN, hors même en ne touchant pas aux réglages tables, post_up et post_down finalement je me retrouve avec un bête accès au container qui a Wireguard mais pas à HA lui-même.
Mais je vois les choses du bon côté, au moins on est sûr que cet add-on peut aussi être utilisé comme un client Wireguard.
On a accès à rien, mais on peut le faire en fouinant sur les forums officiels je crois comprendre qu’il faudrait router vers l’IP de HA sur le réseau local pour que ça fonctionne, solution que je procrastine
Je viens de tester sans au cas où, en tout cas la doc spécifie qu’on peut mettre des masques CIDR mais je les ai tous retiré autant pour l’adresse du peer que pour l’interface (bloque server).
Même résultat, connexion refusée.
Idem en ne mettant rien dans les allowed_ip et client_allowed_ip.
Et apparemment, de toute façon mon /24 est le comportement par défaut car dans le log j’ai [#] ip -4 address add 172.16.9.8/24 dev wg0
Alors que j’ai bien retiré tous mes /24.
Je ne sais pas ce que ça peut donner dans le container qui fait tourner l’add-on, vu qu’apparemment ça fonctionne comme ça… mais depuis SSH en faisant un ha network info j’ai bien enp0s3 mais aucun eth0.
Après je ne sais pas comment on peut savoir ce qui est pour l’add-on qui est isolé.
Oui et quand tu ne mets rien, il met /24 tout seul, l’extrait de log que j’ai copié c’est quand je ne spécifie aucun masque dans l’adresse de l’host.
Pas accès à la commande docker depuis SSH.
Et un accès en console directe sur la VM m’est impossible, non pas que je ne sais pas faire, je ne peux tout simplement pas le faire moi-même.
il se connecte bien, en tout cas je peux envoyer un ping sur l’IP de l’interface Wireguard depuis une machine connectée au VPN.