Installer WireGuard VPN sur Debian 12

Wireguard est une alternative de protocole VPN open-source à IPSec, IKEv2 et OpenVPN. Wireguard est conçu pour les systèmes d’exploitation Linux et Unix, il fonctionne dans l’espace noyau Linux, ce qui rend Wireguard plus rapide et plus fiable. Wireguard est utilisé pour créer des connexions de tunnel sécurisées entre deux ordinateurs ou plus.

Wireguard vise à remplacer les protocoles VPN tels que IPSec, IKEv2 et OpenVPN. Wireguard est plus léger, plus rapide, facile à configurer et plus efficace. En même temps, Wireguard n’a pas sacrifié l’aspect sécurité du protocole VPN. Wireguard prend en charge la cryptographie moderne comme le cadre de protocole Noise, Curve25519, ChaCha20, Poly1305, BLAKE2, SipHash24, HKDF et des constructions de confiance sécurisées.

Ce guide vous montrera comment installer Wireguard VPN sur le serveur Debian 12 et configurer le client Wireguard sur une machine Linux.

Prérequis

Avant de commencer, assurez-vous d’avoir ces exigences :

• Un serveur Linux exécutant Debian 12.
• Un utilisateur non-root avec des privilèges sudo.
• Une machine cliente - Dans ce cas, utilisant la distribution basée sur Debian.

Préparation du système

Avant d’installer Wireguard, vous devez préparer votre serveur Debian en effectuant les modifications suivantes :

• Activer le transfert de port via /etc/sysctl.conf
• Installer et configurer UFW

Maintenant, commençons.

Activer le transfert de port

Pour activer le transfert de port, vous devez activer le module noyau net.ipv4.ip_forward pour IPv4 ou net.ipv6.conf.all.forwarding pour IPv6. Ces modules noyau peuvent être activés via le fichier /etc/sysctl.conf.

Ouvrez le fichier /etc/sysctl.conf en utilisant la commande suivante de l’éditeur nano.

sudo nano /etc/sysctl.conf

Insérez la configuration suivante pour activer le transfert de port pour IPv4 et IPv6 (si nécessaire).

# Transfert de port pour IPv4  
net.ipv4.ip_forward=1  
  
# Transfert de port pour IPv6  
net.ipv6.conf.all.forwarding=1

Enregistrez le fichier et quittez l’éditeur une fois terminé.

Maintenant, appliquez les modifications via la commande sysctl ci-dessous.

sudo sysctl -p

Installation de UFW

Le pare-feu par défaut sur Debian est iptables, et maintenant vous allez installer UFW. Vous utiliserez à la fois UFW et iptables pour le serveur Wireguard.

Exécutez la commande apt ci-dessous pour mettre à jour votre dépôt et installer UFW sur votre système Debian.

sudo apt update && sudo apt install ufw -y

Ensuite, exécutez la commande ufw ci-dessous pour ajouter le profil d’application OpenSSH et activer UFW. Tapez y et appuyez sur ENTRER pour confirmer, et vous devriez recevoir le message “ Le pare-feu est actif et activé au démarrage du système “.

sudo ufw allow OpenSSH  
sudo ufw enable

Enfin, vérifiez l’état de UFW en utilisant la commande ci-dessous.

sudo ufw status

Si cela fonctionne, vous devriez obtenir la sortie “ Statut : actif. Vous verrez également que le profil d’application OpenSSH est ajouté à UFW.

Installation du serveur Wireguard

Après avoir configuré le serveur Debian, vous êtes prêt à créer un serveur VPN Wireguard sur votre machine Debian. Complétez les tâches suivantes pour y parvenir :

• Installer Wireguard
• Générer la clé du serveur Wireguard
• Générer la clé du client Wireguard
• Configurer l’interface Wireguard
• Configurer NAT pour l’interface Wireguard

Faisons cela.

Installer Wireguard

Tout d’abord, installez le paquet wireguard sur votre serveur Debian en exécutant la commande suivante.

sudo apt install wireguard

Tapez y pour procéder à l’installation.

Générer la clé du serveur Wireguard

Après l’installation du paquet wireguard, la prochaine tâche consiste à générer des certificats de serveur, ce qui peut être fait en utilisant l’outil de ligne de commande wg.

Exécutez la commande suivante pour générer la clé privée du serveur wireguard dans /etc/wireguard/server.key. Ensuite, changez la permission de la clé privée du serveur à 0400, ce qui signifie que vous désactiverez l’accès en écriture au fichier.

wg genkey | sudo tee /etc/wireguard/server.key  
sudo chmod 0400 /etc/wireguard/server.key

Ensuite, exécutez la commande suivante pour générer la clé publique du serveur wireguard dans /etc/wireguard/server.pub.

sudo cat /etc/wireguard/server.key | wg pubkey | sudo tee /etc/wireguard/server.pub

Maintenant que vous avez généré la clé privée dans /etc/wireguard/server.key et la clé publique dans /etc/wireguard/server.pub pour votre serveur wireguard. Vous pouvez exécuter la commande cat ci-dessous pour afficher le contenu des clés privées et publiques.

cat /etc/wireguard/server.key  
cat /etc/wireguard/server.pub

Vous pouvez avoir une sortie différente, mais les clés générées ressemblent à ce qui suit :

Générer la clé du client Wireguard

Avec la clé du serveur wireguard générée, la prochaine tâche consiste à générer des clés pour les clients. Vous pouvez générer des clés de client pour chaque utilisateur, mais vous pouvez également utiliser une seule clé pour plusieurs utilisateurs.

Dans cet exemple, vous allez générer une clé de client pour un utilisateur spécifique alice.

Pour commencer, exécutez la commande suivante pour créer un nouveau répertoire pour stocker les clés des clients. Dans ce cas, les clés publiques et privées pour l’utilisateur alice seront générées dans le répertoire /etc/wireguard/clients/alice.

mkdir -p /etc/wireguard/clients/alice

Maintenant, exécutez la commande suivante pour générer la clé privée /etc/wireguard/clients/alice/alice.key et la clé publique /etc/wireguard/clients/alice/alice.pub pour l’utilisateur alice.

wg genkey | tee /etc/wireguard/clients/alice/alice.key  
cat /etc/wireguard/clients/alice/alice.key | wg pubkey | tee /etc/wireguard/clients/alice/alice.pub

Enfin, exécutez la commande ci-dessous pour afficher le contenu des clés privées et publiques pour l’utilisateur alice.

cat /etc/wireguard/clients/alice/alice.key  
cat /etc/wireguard/clients/alice/alice.pub

La sortie similaire à ce qui suit sera affichée :

Configurer l’interface Wireguard

Maintenant que vous avez généré des clés privées et publiques pour le serveur et le client, la prochaine tâche consiste à configurer l’interface et le pair Wireguard. Vous allez configurer une interface pour le réseau VPN Wireguard et un pair qui sera établi entre le client et le serveur.

Créez une nouvelle configuration Wireguard /etc/wireguard/wg0.conf en utilisant la commande suivante de l’éditeur nano.

sudo nano /etc/wireguard/wg0.conf

Insérez la configuration suivante dans le fichier.

[Interface]  
# Clé privée du serveur Wireguard - server.key  
PrivateKey = cNBb6MGaKhmgllFxSq/h9BdYfZOdyKvo8mjzb2STbW8=  
  
# L'interface Wireguard sera exécutée à 10.10.0.1  
Address = 10.10.0.1/24  
  
# Les clients se connecteront au port UDP 51820  
ListenPort = 51820  
  
# Assurez-vous que tout changement sera enregistré dans le fichier de configuration Wireguard  
SaveConfig = true

Voici les paramètres détaillés qui seront utilisés dans la section [Interface] :

• PrivateKey : Saisissez le contenu de la clé privée du serveur wireguard server.key.
• Address : l’adresse IP qui sera attribuée à l’interface Wireguard. Dans ce cas, l’interface wireguard aura une adresse IP de 10.10.0.1.
• ListenPort : C’est le port qui sera utilisé par le client pour se connecter au serveur wireguard. Dans ce cas, le port 51820 sera utilisé.
• SaveConfig : la valeur true signifie que tout changement sera enregistré depuis l’état actuel de l’interface jusqu’à l’arrêt.

Ajoutez maintenant la section [Peer] suivante pour les clients wireguard.

[Peer]  
# Clé publique du client Wireguard - alice.pub  
PublicKey = 3ZoaoVgHOioZnKzCrF/XALAv70V4vyJXpl/UO7AKYzA=  
  
# adresses IP VPN des clients que vous autorisez à se connecter  
# possible de spécifier le sous-réseau ⇒ [10.10.0.0/24]  
AllowedIPs = 10.10.0.2/24

Voici les paramètres utilisés dans la section [Peer] :

PublicKey : Saisissez la clé publique du client wireguard dans ce paramètre. Dans ce cas, le contenu de la clé publique alice.pub.
AllowedIPs : Définissez l’adresse IP pour le client et routez le trafic vers l’interface wireguard.

Enregistrez et fermez le fichier lorsque vous avez terminé.

Enfin, exécutez la commande suivante pour ouvrir le port 51820/udp pour les connexions des clients.

sudo ufw allow 51820/udp

Configurer NAT pour l’interface Wireguard

Tout d’abord, exécutez la commande suivante pour afficher l’interface de passerelle par défaut utilisée pour se connecter à Internet.

sudo ip route list default

Dans ce cas, la passerelle réseau Internet par défaut est l’interface eth0.

Maintenant, ouvrez la configuration wireguard /etc/wireguard/wg0.conf en utilisant la commande suivante de l’éditeur nano.

sudo nano /etc/wireguard/wg0.conf

Ajoutez la configuration suivante sous la section [Interface], et assurez-vous de changer l’interface eth0 avec l’interface de passerelle Internet par défaut.

[Interface]  
...  
  
PostUp = ufw route allow in on wg0 out on eth0  
PostUp = iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE  
PostUp = ip6tables -t nat -I POSTROUTING -o eth0 -j MASQUERADE  
  
PreDown = ufw route delete allow in on wg0 out on eth0  
PreDown = iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE  
PreDown = ip6tables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

Enregistrez et fermez le fichier lorsque vous avez terminé.

À ce stade, vous avez configuré votre serveur Wireguard.

Gestion du service Wireguard

Maintenant que l’installation et la configuration du serveur Wireguard sont terminées, vous êtes prêt à démarrer le service Wireguard sur votre système Debian. Cela peut être fait via la commande systemctl ou en utilisant l’utilitaire wg-quick.

Pour démarrer et activer le serveur wireguard, exécutez la commande systemctl suivante. Avec le nom de service wg-quick@wg0, vous allez démarrer Wireguard dans l’interface wg0, qui est basée sur la configuration /etc/wireguard/wg0.conf.

sudo systemctl start [email protected]  
sudo systemctl enable [email protected]

Maintenant, vérifiez le service wirguard@wg0 en utilisant la commande suivante.

sudo systemctl status [email protected]

Si le service fonctionne, la sortie suivante sera affichée.

Ensuite, exécutez la commande ip ci-dessous pour afficher les détails de l’interface wireguard wg0. Et vous devriez voir que l’interface wireguard wg0 a une adresse IP 10.10.0.1.

sudo ip a show wg0

Vous pouvez également démarrer ou arrêter le wireguard manuellement via la commande wg-quick ci-dessous.

sudo wg-quick up /etc/wireguard/wg0.conf  
sudo wg-quick down /etc/wireguard/wg0.conf

Avec cela, vous avez configuré le serveur wireguard et l’avez démarré en arrière-plan via la commande systemctl. Votre client est maintenant prêt à se connecter au serveur wireguard.

Configurer le client Wireguard sur une distribution basée sur Debian

Dans la section suivante, vous allez configurer le client wireguard pour la distribution basée sur Debian. Vous allez installer les outils wireguard, créer une configuration de client wireguard, vous connecter au serveur wireguard, vérifier la connexion via l’utilitaire wg et accéder à Internet.

Installez le paquet wireguard-tools sur la machine cliente via APT. La machine cliente est une distribution basée sur Debian, donc le gestionnaire de paquets APT sera utilisé.

sudo apt install wireguard-tools resolvconf

Après avoir installé les outils wireguard, créez une nouvelle configuration de client wireguard /etc/wireguard/wg-alice.conf en utilisant l’éditeur nano suivant.

sudo nano /etc/wireguard/wg-alice.conf

Insérez la configuration suivante dans le fichier.

[Interface]  
# Définir l'adresse IP pour le client - doit correspondre à wg0 sur le serveur Wireguard  
Address = 10.10.0.2/24  
  
# serveur DNS spécifique  
DNS = 1.1.1.1  
  
# Clé privée pour le client - alice.key  
PrivateKey = cPDg6SQHz/3l2R83lMWPzmR6/mMKnKp9PNImbtB6nGI=  
  
[Peer]  
# Clé publique du serveur Wireguard - server.pub  
PublicKey = APyBQvTkYVm0oakzcQUQViarwx1aIYz5wb/g2v2xdUE=  
  
# Autoriser tout le trafic à être routé via Wireguard VPN  
AllowedIPs = 0.0.0.0/0  
  
# Adresse IP publique du serveur Wireguard  
Endpoint = 192.168.128.15:51820  
  
# Envoi de Keepalive toutes les 25 secondes  
PersistentKeepalive = 25

Enregistrez et fermez le fichier lorsque vous avez terminé.

Voici quelques-uns des paramètres dans la section [Interface] pour les clients wireguard :

• Address : spécifiez l’adresse IP interne de l’interface wireguard sur la machine cliente.
• DNS : configurez le serveur DNS par défaut pour le client.
• PrivateKey : la clé privée du client wireguard, dans ce cas, est alice.key.

Et dans la section [Peer] de la configuration du client wireguard :

• PublicKey : c’est la clé publique du serveur wireguard, qui est server.pub.
• AllowedIPs : Autoriser tout accès à être routé via l’interface wireguard.
• Endpoint : l’adresse IP et le port du serveur wireguard.
• PersistentKeepalive : envoyer un keepalive toutes les x secondes pour maintenir la connexion.

Ensuite, exécutez la commande wg-quick ci-dessous pour démarrer le wireguard sur l’interface wg-alice.

sudo wg-quick up wg-alice

Si tout se passe bien, la sortie similaire ci-dessous sera affichée.

Après cela, exécutez la commande ip ci-dessous pour vérifier les détails de l’interface wg-alice. Et vous devriez voir l’interface wg-alice avec l’adresse IP locale 10.10.0.2.

sudo ip a show wg-alice

Ensuite, vérifiez la connexion Internet de la machine cliente en exécutant la commande suivante.

ping -c3 10.10.0.1  
ping -c3 1.1.1.1  
ping -c3 duckduckgo.com

Si l’installation de votre serveur wireguard est réussie, vous recevrez une réponse de chaque serveur cible comme suit :

De plus, vous pouvez également détailler les connexions entre le serveur wireguard et le client en exécutant la commande suivante sur le serveur wireguard ou la machine cliente.

wg show

La sortie similaire ci-dessous sera affichée.

Enfin, pour arrêter la connexion wireguard sur la machine cliente, exécutez la commande wg-quick ci-dessous.

sudo wg-quick down wg-alice

Conclusion

Pour conclure, vous avez maintenant terminé l’installation de Wireguard VPN sur le serveur Debian 12 étape par étape. Vous avez également configuré une machine cliente basée sur Debian avec Wireguard et vous êtes connecté au serveur Wireguard. Avec cela en tête, vous pouvez maintenant ajouter plus de clients en ajoutant plus de clés Wireguard et de configurations de pair.