Installer Wireguard

golfvert · Février 10, 2021, 7:08

Voilà ce que je verrais comme config:

server:
  host: host-vers-mon-ip
  addresses:
    - 172.16.9.8
  dns: []
  private_key: "xxx" # du côté de mon serveur, j'ai renseigné la clé publique correspondante
#  table: off (même en laissant le réglage par défaut ne change rien)
#  post_up: off (idem)
#  post_down: off (encore idem)
peers:
  - name: monserveur
    public_key: "xxx" # clé publique correspondant à la clé privée du serveur
    addresses:
      - 172.16.9.1
    allowed_ips:
      - 172.16.9.0/24
    client_allowed_ips:
      - 172.16.9.0/24
    persistent_keep_alive: 25
    endpoint: host-serveur:port_wireguard

Des /24 seulement pour les subnets mais pas pour les déclarations d’adresse de host.

Et je ne connais pas l’adressage des containers docker dans ton environnement. Il ne faut pas que ce soit un 172.16.9.x sinon, ça ne marche pas…

pepite · Février 10, 2021, 8:20

Bonjour,

Je tenterais bien de mettre le server.post_up à off puis passer les iptables avec le bon nom de carte réseau

github.com

hassio-addons/addon-wireguard/blob/main/wireguard/DOCS.md#option-serverpost_up-optional

# Home Assistant Community Add-on: WireGuard

[WireGuard®][wireguard] is an extremely simple yet fast and modern VPN that
utilizes state-of-the-art cryptography. It aims to be faster, simpler, leaner,
and more useful than IPsec, while avoiding the massive headache.

It intends to be considerably more performant than OpenVPN. WireGuard is
designed as a general-purpose VPN for running on embedded interfaces and
supercomputers alike, fit for many different circumstances.

Initially released for the Linux kernel, it is now cross-platform (Windows,
macOS, BSD, iOS, Android) and widely deployable,
including via an Hass.io add-on!

WireGuard is currently under heavy development, but already it might be
regarded as the most secure, easiest to use, and the simplest VPN solution
in the industry.

## Installation

This file has been truncated. show original

golfvert · Février 10, 2021, 8:25

Réflexion faite, le eth0 est le nom de la carte réseau dans le container, je pense. Donc, c’est pour ça qu’on peut le considérer fixe…

pepite · Février 10, 2021, 8:31

dans ce cas, oui alors suggestion inutile

Nardol · Février 10, 2021, 9:51

Sauf erreur de ma part, ce que tu dis va justement dans mon sens le /24 que je mettais est de toute façon ce qu’il fait lorsque l’add-on met l’interface wg0 en place, à savoir un mask /24, le masque est spécifié dans cette ligne de commande.
Sauf si le log est différent de ce que l’add-on fait mais là ça serait un peu problématique… Donc selon ce que je lis dans le log, ma configuration ne spécifie aucun masque mais l’add-on met un masque /24, donc effectivement ça ne servait à rien que je le face.

Ce qui me ramène à ce que j’ai écrit ci-dessus, à en croire le log que j’avais sans spécifier de mask quand il fait son ip address add il spécifie un mask /24, sauf si je suis (encore) à côté de la plaque

Là encore, je ne peux que me fier à ce que propose l’accès SSH que propose Home Assistant OS.
Et un ha network info ne me donne que des adresses en 172.30 pour ce qui est de docker et mon réseau local n’est évidemment pas dans ce sous-réseau.

Et apparemment Home Assistant est sur l’adresse 172.30.32.1, du coup peut-être qu’il faudrait créer une route vers 172.30.32.1 ?

golfvert · Février 10, 2021, 10:05

Normalement non. ce qui est dans le post_up rend ça inutile. l’add-on va NATter les adresses des clients sur l’adresse IP du container wireguard.

Et pour les /24 c’est un grand mystère.

Nardol · Février 19, 2021, 5:13

Hello,

Entre temps, commençant à me faire au fait que plus j’en apprends et plus j’en ai à apprendre avec HA et que du coup je cherche un peu mieux, j’ai installé l’autre addon qui donne accès à un terminal SSH et du coup, à Docker.
Du coup, un ip addr exécuté sur le container de l’add-on Wireguard m’indique une interface qui commence par eth0 mais qui n’a jamais le même nom puisque suffixée par @xx ou xx est un nombre variable.

Il ne me semble pas que le paramètre -i de Iptables spécifie un nom partiel pour l’interface. Du coup, soit je me trompe et ça devrait fonctionner et du coup ça reste un mystère, ou alors dernière possibilité on ne peut tout simplement pas faire de masquerading sur cette interface vu que son nom varie.