Migration OpenVPN vers WireGuard

Walloo · Février 16, 2025, 6:25

Salut à tous,

Je penche maintenant à migrer d’OpenVPN sur WireGuard au regard des excellents débits permis par cette solution.

Actuellement j’ai 3 réseaux connectés en site to site :

serveur VPN bricolé sur mon NAS SYNOLOGY DS220+ permettant un accès site-to-site pour les 3 reseaux, avec instabilité potentielle en cas de mise à jour du paquet officiel VPNServer, derrière un routeur ASUS (un peu vieux et incompatible MERLIN ou OpenWRT)
2 routeurs ASUS clients (mêmes modèle)
plusieurs clients mobiles (smartphones)

Pour information mon DS220+ (avec plusieurs apps en container manager comme AdGuard Home) et tous les systèmes connexes (notamment une instance Home Assistant sur RPi4) ne sont pas ouverts en direct HTTPS mais accessibles uniquement via OpenVPN.

L’idée serait donc de remplacer les routeurs des 3 réseaux par des modèles compatibles WireGuard et de delocaliser le serveur sur celui où le NAS est connecté.

Je ne sais trop sur quel type de routeur partir : Asus (que je connais bien), TP-LINK, un modèle compatible Merlin ou OpenWRT (jamais pratiqué).

L’idée réside bien entendu à ce que les 3 reseaux deviennent un réseau global étendu et que chaque machine de ces 3 reseaux puisse se connecter à une autre en « site to site to site ».

Certains clients mobiles comme les smartphones seront aussi reliés au tunnel pour l’ensemble des connexions extérieurs pour bénéficier de AdGuard Home.

Je suis donc preneur si l’un d’entre vous a des conseils de matériel à me communiquer sachant que mettre les mains dans le cambouis n’est pas trop un problème dans la mesure du possible en fonction de mes capacités !

Merci et bonne journée (et bon dimanche)

kellogs · Février 19, 2025, 10:02

Bonsoir,

J’ai longtemps utilisé IPsec et ensuite OpenVPN et depuis que j’utilise Wireguard, JAMAIS je ne reviendrais en arrière. Ceci dit je ne peux pas donner plus de conseils, car je suis sous Mikrotik.

Bon hack.

Walloo · Février 21, 2025, 7:35

Salut merci pour l’information

Jhesite entre 2 solutions :

3 routeurs ASUS avec wireguard intégré
3 routeurs GL.iNet Flint2 avec wireguard integré (fork de OpenWRT) et apparemment possibilité d’installer adguard home (actuellement en docker sur mon nas)
Pour cette derniere solution je ne sais pas trop ce qu’il advient des mises a jour de adguard home car cela semble dependre du firmware du routeur

kellogs · Février 21, 2025, 8:43

J’utilise Wireguard entre ma résidence principale et ma résidence secondaire.

Wireguard est installé en démon sur un routeur dans ma résidence principale. Le routeur de la campagne se connecte en client.

Ensuite, j’informe les routeurs des routes à suivre, ce qui me permet de router tout mon réseau des deux côtés. Cela me permet d’accéder à Home Assistant sur réseau local des deux côtés du réseau. Au niveau de chaque routeur/firewall, j’ai des règles de sécurité qui gèrent l’accès en fonction des vlan, mais c’est une autre affaire.

Je te recommande une solution qui route tes réseaux, c’est beaucoup plus intéressant pour une utilisation personnelle (hors entreprise) quand on veut se simplifier la vie.

Par ailleurs, j’ai installé Wireguard sur mon téléphone et sur mon ordinateur personnel. A tout moment quand je suis en déplacement, le wireguard fonctionne et je me retrouve sur mon réseau local, donc j’ai accès à Home Assistant derrière mon firewall, comme si j’étais connecté en direct. Cette fonction s’appelle le « roaming ».

Walloo · Février 21, 2025, 9:11

C’est tout à fait ce que j’ai actuellement mais en OpenVPN :

serveur sur mon NAS
Clients : 2 routeurs distants et smartphones, avec accès routes pour l’ensemble des 3 réseaux locaux

L’idée c’est de transférer tout ça sur WireGuard qui est beaucoup plus rapide.
Problème : mes 3 routeurs ASUS ne sont pas compatibles avec WireGuard d’où la nécessité de les remplacer

Maintenant soit je reste sur ASUS qui est performant et avec DDNS ASUS et certificat LET’S ENCRYPT automatique, soit je bascule sur une solution plus ouverte comme le FLINT 2 qui permettrait aussi de basculer AdGuard Home du NAS sur le routeur directement

J’étudie encore

kellogs · Février 22, 2025, 12:09

J’ai eu successivement des routeurs sous OPNsense et OpenWRT, mais maintenant je suis sous RouterOS. Tu peux aussi cibler un Mikrotik (RouterOS), par exemple un RB5009 ou un CCR2004, mais c’est un matos semi-professionnel aux larges possibilités, intéressant quand on veut se former. J’ai des VLAN et je filtre entre les VLAN et à l’entrée du WAN en 10Gbit/s, chose impossible avec un routeur OpenWRT. Ce matériel s’achète et se revend très facilement en 24 heures sur LBC, tu peux commencer par un RB5009 et si cela te plaît upgrader vers un CCR2004.

Certains matériels Mikrotik disposent d’un chip hardware pour gérer le switch, dans ces cas la vitesse est encore plus importante, comme par exemple le :

Avec un CCR2004 côté serveur Wireguard et un RB5009 côté client, j’arrive à 280Mbit/s.

iperf3 -c XXXXXXXXXXXXXXXXX
Connecting to host XXXXXXXXXXXXXX port 5201
[  5] local 10.90.20.101 port 45498 connected to 192.168.10.199 port 5201
[ ID] Interval           Transfer     Bitrate         Retr  Cwnd
[  5]   0.00-1.00   sec  38.5 MBytes   323 Mbits/sec  156    457 KBytes       
[  5]   1.00-2.00   sec  32.9 MBytes   276 Mbits/sec    0    508 KBytes       
[  5]   2.00-3.00   sec  31.1 MBytes   261 Mbits/sec    3    410 KBytes       
[  5]   3.00-4.00   sec  30.6 MBytes   257 Mbits/sec    0    458 KBytes       
[  5]   4.00-5.00   sec  34.6 MBytes   290 Mbits/sec    0    504 KBytes       
[  5]   5.00-6.00   sec  36.2 MBytes   304 Mbits/sec   25    393 KBytes       
[  5]   6.00-7.00   sec  27.8 MBytes   233 Mbits/sec    0    452 KBytes       
[  5]   7.00-8.00   sec  32.8 MBytes   275 Mbits/sec    0    496 KBytes       
[  5]   8.00-9.00   sec  37.4 MBytes   313 Mbits/sec    0    540 KBytes       
[  5]   9.00-10.00  sec  35.6 MBytes   299 Mbits/sec   18    422 KBytes       
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bitrate         Retr
[  5]   0.00-10.00  sec   338 MBytes   283 Mbits/sec  202            sender
[  5]   0.00-10.01  sec   334 MBytes   280 Mbits/sec                  receiver

C’est suffisant pour faire passer tous les flux. Par exemple à la campagne, je n’ai plus aucun équipement RED/SFR et je regarde la télé sur l’application Free OQEE. A l’époque où c’était interdit de regarder la télé Free sur une ligne SFR, je redirigeais les flux.

Le CCR2004 est capable de performances supérieures en Wireguard, la limite vient je pense du RB5009, qui est un matériel bon marché, mais qui dispose de toutes les fonctionnalités RouterOS et que tu peux cibler pour la phase d’apprentissage. Au pire tu le revends au bout de quelques mois.

Tous ces matériels sont rackables et comme j’ai une armoire rack 19 pouces dans ma cave, c’est sympa. Tous ces matériels disposent d’un ventilateur, mais dans mon cas qui les ait également utilisé dans mon salon, les ventilateurs ne se déclenchent JAMAIS. Auparavant certains utilisateurs se plaignaient du bruit du CCR2004 et ont changé les ventilateurs, mais Mikrotik a depuis mis un option de gestion des ventilateurs dans la conf et on peut choisir le mode « quiet ». Il faut cependant éviter les modules SPF+ en 10Gbit cuivre car ils chauffent à 80°C et là le ventilateur se déclenche. Pour ma part, je suis tout en fibre, donc pas de problème de chauffe.

D’occasion un RB5009 se négocie 150€ et un CCR2004-16G-2S+PC 300€ environ. Le CCR2004-16G-2S+PC dispose de l’accélération matérielle sur le switch, donc c’est un matos très rapide que tu peux cibler pour ton usage.

Walloo · Février 22, 2025, 9:19

Merci pour ce retour complet
Le matériel que tu me propose me semble trop spécifique
Je vais partir sur un GL.iNet flint 2 pour voir ce que je peux faire
Si ca colle jen achèterais 2 de +
Merci en tout cas

kellogs · Février 23, 2025, 2:50

C’est une bonne piste. Moi aussi j’ai débuté sous OpenWRT (GL.iNet utilise exclusivement OpenWRT).

Walloo · Mars 2, 2025, 8:27

Routeur reçu.
Mise en place assez simple sauf pour un « bug » à cause de la Livebox en amont qui ne permet pas le bridge.
Donc DHCP et DMZ sur le routeur comme pour l’ancien routeur ASUS mais le FLINT2 n’avait pas accès à internet alors que le LAN si…
Problème de DNS fourni par la Livebox mais réglé au bout de plusieurs heures après recherches en ligne et grâce à l’interface LuCI pour y ajouter un DNS manuellement.

J’ai pu mettre en place AdGuard Home dessus qui remplace aisément l’instance en docker sur mon NAS Synology.
Version mise à jour via un script trouvé sur les forums de GL.iNet.

Serveur WireGuard mis en place aussi mais pour le moment en simple avec les smartphones.
J’attends 2 autres FLINT 2 pour les instances distantes afin de faire du site-to-site.
Tellement plus pratique qu’OpenVPN à mettre en place !!
Je n’ai pas encore testé les débits mais ça devrait être bien plus efficace qu’OVPN.

Donc pour le moment expérience positive !