{"id":2637,"date":"2022-10-07T20:02:57","date_gmt":"2022-10-07T18:02:57","guid":{"rendered":"https:\/\/fabsk.eu\/blog\/?p=2637"},"modified":"2023-08-06T09:22:33","modified_gmt":"2023-08-06T07:22:33","slug":"un-vpn","status":"publish","type":"post","link":"https:\/\/fabsk.eu\/blog\/2022\/10\/07\/un-vpn\/","title":{"rendered":"Un VPN sur odroid M1 avec Wireguard"},"content":{"rendered":"\n<figure class=\"wp-block-image size-large\"><a href=\"https:\/\/fabsk.eu\/blog\/wp-content\/uploads\/2023\/08\/reseau-cables-swat.jpg\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"344\" src=\"https:\/\/fabsk.eu\/blog\/wp-content\/uploads\/2023\/08\/reseau-cables-swat-1024x344.jpg\" alt=\"Gros plan sur des c\u00e2bles \u00e9lectroniques noirs sur une surface \u00e9galement sombre. Parmi eux se trouvent de petites figurines du SWAT \u00e0 tenue bleu marine et casque jaune. \u00c9quipements \u00e9lectroniques en fond\" class=\"wp-image-2904\" srcset=\"https:\/\/fabsk.eu\/blog\/wp-content\/uploads\/2023\/08\/reseau-cables-swat-1024x344.jpg 1024w, https:\/\/fabsk.eu\/blog\/wp-content\/uploads\/2023\/08\/reseau-cables-swat-300x101.jpg 300w, https:\/\/fabsk.eu\/blog\/wp-content\/uploads\/2023\/08\/reseau-cables-swat-768x258.jpg 768w, https:\/\/fabsk.eu\/blog\/wp-content\/uploads\/2023\/08\/reseau-cables-swat-624x210.jpg 624w, https:\/\/fabsk.eu\/blog\/wp-content\/uploads\/2023\/08\/reseau-cables-swat.jpg 1280w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/a><figcaption class=\"wp-element-caption\">L&rsquo;\u00e9quipe a s\u00e9curis\u00e9 le r\u00e9seau, je r\u00e9p\u00e8te, l&rsquo;\u00e9quipe a s\u00e9curis\u00e9 le r\u00e9seau.<\/figcaption><\/figure>\n\n\n\n<p>J&rsquo;ai configur\u00e9 un serveur de VPN Wireguard sur mon <a href=\"https:\/\/fabsk.eu\/blog\/2022\/10\/02\/odroid-m1-premieres-impressions\/\" data-type=\"post\" data-id=\"2604\">Odroid M1<\/a> (alternative du Raspberry Pi). Cela me permet me connecter \u00e0 Internet avec mon t\u00e9l\u00e9phone de mani\u00e8re s\u00e9curis\u00e9e et confidentielle quand je suis sur un Wi-Fi auquel je n&rsquo;ai pas confiance. Voici la configuration (j&rsquo;esp\u00e8re ne pas avoir oubli\u00e9 d&rsquo;\u00e9tape).<\/p>\n\n\n\n<!--more-->\n\n\n\n<p>Mon r\u00e9seau local est en 192.168.x.x. Donc j&rsquo;ai choisi 172.16.0.x comme r\u00e9seau d\u00e9di\u00e9 \u00e0 Wireguard. Je n&rsquo;ai pas\/plus d&rsquo;IPV6 (les fac\u00e9ties de mon modem\/routeur).<\/p>\n\n\n\n<p>J&rsquo;ai plus ou moins suivi <a href=\"https:\/\/www.digitalocean.com\/community\/tutorials\/how-to-set-up-wireguard-on-ubuntu-22-04\">ce guide<\/a>, avec de petites diff\u00e9rences. Les commandes sont \u00e0 ex\u00e9cuter en root (sudo su -).<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Sur le t\u00e9l\u00e9phone:\n<ul class=\"wp-block-list\">\n<li>Installation du client Wireguard pour Android (via le magasin d&rsquo;applications libres <a href=\"https:\/\/fr.wikipedia.org\/wiki\/F-Droid\">f-droid<\/a> pour moi).<\/li>\n\n\n\n<li>Dans l&rsquo;app, je cr\u00e9e un tunnel \u00e0 partir de z\u00e9ro.<\/li>\n\n\n\n<li>J&rsquo;appuie sur le bouton \u00e0 c\u00f4t\u00e9 du champ \u00ab\u202f<em>Cl\u00e9 priv\u00e9e<\/em>\u202f\u00bb pour en cr\u00e9er une.<\/li>\n\n\n\n<li>Je copie la valeur du champ \u00ab\u202fCl\u00e9 publique\u202f\u00bb (comme j&rsquo;ai <a href=\"https:\/\/en.wikipedia.org\/wiki\/KDE_Connect\">Kde Connect<\/a> sur mon t\u00e9l\u00e9phone et mon PC, la valeur est automatiquement mise dans le presse-papier de mon PC), pour la mettre plus tard dans un fichier de config du serveur.<\/li>\n\n\n\n<li>Je remplis le champ \u00ab\u202f<em>Interface \/ Addresses<\/em>\u202f\u00bb avec \u00ab\u202f<em>172.16.0.2<\/em>\u202f\u00bb.<\/li>\n\n\n\n<li>\u00abInterface \/\u202fPort d&rsquo;\u00e9coute\u202f\u00bb : <em>51820<\/em><\/li>\n\n\n\n<li>\u00ab <em>Pair \/ Cl\u00e9 publique<\/em> \u00bb : le contenu du fichier de cl\u00e9 publique du serveur.<\/li>\n\n\n\n<li>\u00ab\u202f<em>Point de terminaison<\/em>\u202f\u00bb : l&rsquo;adresse IP&nbsp;publique et le port sur lequel le serveur de VPN \u00e9coute (ex: <em>1.2.3.4:51820<\/em>)<\/li>\n\n\n\n<li>\u00ab <em>Adresses IP autoris\u00e9es<\/em> \u00bb : <em>0.0.0.0\/0<\/em><\/li>\n<\/ul>\n<\/li>\n\n\n\n<li>Sur le serveur:\n<ul class=\"wp-block-list\">\n<li>apt install wireguard<\/li>\n\n\n\n<li>wg genkey | sudo tee \/etc\/wireguard\/private.key<\/li>\n\n\n\n<li>chmod go= \/etc\/wireguard\/private.key<\/li>\n\n\n\n<li>cat \/etc\/wireguard\/private.key | wg pubkey | sudo tee \/etc\/wireguard\/public.key<\/li>\n\n\n\n<li>nano \/etc\/sysctl.conf<\/li>\n\n\n\n<li>mettre \u00ab\u202f<em>net.ipv4.ip_forward=1<\/em>\u202f\u00bb dedans et sauver.<\/li>\n\n\n\n<li>sysctl -p<\/li>\n\n\n\n<li>ufw allow 51820\/udp<\/li>\n\n\n\n<li>ufw disable;ufw enable<\/li>\n\n\n\n<li>dans \u00ab\u00a0\/etc\/wireguard\/wg0.conf\u00a0\u00bb<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>&#91;Interface]\nAddress = 172.16.0.1\/24\nSaveConfig = true\nPostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE; ufw route allow in on %i to any\nPostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE; ufw route delete allow in on %i to any\nListenPort = 51820\nPrivateKey = CL\u00c9_PRIV\u00c9E_DU_SERVEUR_VPN_ICI\nTable = off\n\n&#91;Peer]\nPublicKey = CL\u00c9_PUBLIQUE_DU_CLIENT_ANDROID\nAllowedIPs = 0.0.0.0\/0\nEndpoint = IP_PUBLIQUE_DE_MON_MODEM_ROUTEUR:51820<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>systemctl enable wg-quick@wg0.service<\/li>\n<\/ul>\n\n\n\n<p>Si votre r\u00e9seau local est en NAT derri\u00e8re un modem-routeur, vous aurez besoin de rediriger le trafic arrivant sur votre routeur sur le port 51820 vers le serveur de VPN.<\/p>\n\n\n\n<p>Par rapport au guide de DigitalOcean, j&rsquo;ai d\u00fb mettre \u00ab\u202f<em>Table = off<\/em>\u202f\u00bb, sinon plus aucune connexion sortante du odroid ne marchait une fois Wireguard (que ce soit un \u00ab\u202f<em>curl<\/em>\u202f\u00bb vers l&rsquo;ext\u00e9rieur, ou bien des pages web ouvertes depuis mon t\u00e9l\u00e9phone). Par contre j&rsquo;arrivais \u00e0 acc\u00e9der au r\u00e9seau local depuis mon t\u00e9l\u00e9phone en 4G.<\/p>\n\n\n\n<p>Avec un peu de chance, vous pouvez activer sur votre t\u00e9l\u00e9phone le nouveau tunnel. Pour tester, on peut se mettre en 4G et:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>constater en cherchant <a href=\"https:\/\/duckduckgo.com\/?kl=fr-fr&amp;q=my+ip&amp;ia=answer\">\u00ab\u202fmy ip\u202f\u00bb dans duckduckgo<\/a> que \u00e7a affiche l&rsquo;IP publique de l&rsquo;acc\u00e8s Internet fixe.<\/li>\n\n\n\n<li>acc\u00e9der aux machines du r\u00e9seau priv\u00e9.<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>J&rsquo;ai configur\u00e9 un serveur de VPN Wireguard sur mon Odroid M1 (alternative du Raspberry Pi). Cela me permet me connecter \u00e0 Internet avec mon t\u00e9l\u00e9phone de mani\u00e8re s\u00e9curis\u00e9e et confidentielle quand je suis sur un Wi-Fi auquel je n&rsquo;ai pas confiance. Voici la configuration (j&rsquo;esp\u00e8re ne pas avoir oubli\u00e9 d&rsquo;\u00e9tape).<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6,19,52],"tags":[],"class_list":["post-2637","post","type-post","status-publish","format-standard","hentry","category-informatique","category-linux","category-odroid"],"_links":{"self":[{"href":"https:\/\/fabsk.eu\/blog\/wp-json\/wp\/v2\/posts\/2637","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fabsk.eu\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fabsk.eu\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fabsk.eu\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/fabsk.eu\/blog\/wp-json\/wp\/v2\/comments?post=2637"}],"version-history":[{"count":17,"href":"https:\/\/fabsk.eu\/blog\/wp-json\/wp\/v2\/posts\/2637\/revisions"}],"predecessor-version":[{"id":2925,"href":"https:\/\/fabsk.eu\/blog\/wp-json\/wp\/v2\/posts\/2637\/revisions\/2925"}],"wp:attachment":[{"href":"https:\/\/fabsk.eu\/blog\/wp-json\/wp\/v2\/media?parent=2637"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fabsk.eu\/blog\/wp-json\/wp\/v2\/categories?post=2637"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fabsk.eu\/blog\/wp-json\/wp\/v2\/tags?post=2637"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}