WireGuard : comment joindre le réseau local ?

[CyberFr]

Bonjour,

Je fais des tests avec un smartphone déconnecté du WI-FI qui accède à Internet avec les données cellulaires.

J'ai activé WireGuard sur ma Freebox mais je n'arrive pas à joindre le réseau local du NAS au 192.168.1.2. Je peux par contre accéder à n'importe quel site Web.

Je croyais que le VPN se connectait sur le réseau local mais ce n'est pas le cas ici. Il faut sans doute faire une redirection de port mais laquelle ?

Merci à tous ceux qui pourront m'aider.

 

Voici le fichier de config que je ne peux modifier puisque l'installation se fait avec un QR Code.

Citation

[Interface]
PrivateKey = **********************
Address = 192.168.27.65/32
DNS = 212.27.38.253
MTU = 1360

[Peer]
PublicKey = ************************
Endpoint = 82.67.97.246:52724
AllowedIPs = 0.0.0.0/0, 192.168.27.64/27, 192.168.1.0/24

 

[Mic13710]

@CyberFr que vient faire cette question dans la section concernant l'installation et la configuration des NAS ? Depuis le temps que vous êtes sur ce forum, ce genre d'erreur ne devrait plus se produire, d'autant que ce n'est pas la première fois vous concernant. Je déplace encore mais c'est la dernière fois.

Concernant le fichier de conf, il est tout à fait modifiable directement dans le client Wireguard. Les seuls éléments à ne pas altérer sont les clés, l'adresse de l'interface et l'IP publique de la freebox dans le Peer puisque ces éléments permettent d'identifier le client auprès du serveur. Pour que wireguard puisse atteindre le réseau privé, il faut autoriser le dit réseau dans les AllowedIPs du Peer et il faut aussi autoriser le trafic de l'IP du client à atteindre le réseau. C'est ce qu'on retrouve dans le fichier de conf généré par la freebox.

AllowedIPs = 0.0.0.0/0, 192.168.27.64/27,  192.168.X.0/24
(X à remplacer par la plage IP privée de la freebox)

Si vous ne voulez pas que le trafic internet passe par la freebox, il faut supprimer 0.0.0.0/0

Et pour atteindre le NAS, il faut bien évidemment que la plage d'IP de Wireguard soit autorisée dans le parefeu, ce qui devrait être le cas si vous avez suivi le tuto sur la sécurisation du NAS. Sinon, il faut y ajouter la plage 192.168.27.64/27.

[CyberFr]

Il y a 2 heures, Mic13710 a dit :

@CyberFr que vient faire cette question dans la section concernant l'installation et la configuration des NAS ? Depuis le temps que vous êtes sur ce forum, ce genre d'erreur ne devrait plus se produire, d'autant que ce n'est pas la première fois vous concernant. Je déplace encore mais c'est la dernière fois.

Mon but est de joindre l'interface d'administration de DSM en utilisant WireGuard et donc de rendre DSM inaccessible depuis Internet. C'est une mesure qui a un réel rapport avec la sécurité, c'est pourquoi j'ai posé ma question dans le forum  « Installation, Démarrage et Configuration » où je trouve qu'elle avait sa place. Je me sers actuellement d'un reverse-proxy pour joindre DSM mais un VPN est nettement plus sûr.

J'utilise un smartphone car il est plus facile à isoler du réseau local que mon Mac mais le but est, bien entendu, de pouvoir utiliser le VPN sur mon Mac. Le smartphone ne sert que pour des tests.

Il y a 2 heures, Mic13710 a dit :

Concernant le fichier de conf, il est tout à fait modifiable directement dans le client Wireguard. Les seuls éléments à ne pas altérer sont les clés, l'adresse de l'interface et l'IP publique de la freebox dans le Peer puisque ces éléments permettent d'identifier le client auprès du serveur. Pour que wireguard puisse atteindre le réseau privé, il faut autoriser le dit réseau dans les AllowedIPs du Peer et il faut aussi autoriser le trafic de l'IP du client à atteindre le réseau. C'est ce qu'on retrouve dans le fichier de conf généré par la freebox.

Je ne me rappelais pas (et pourtant je l'ai déjà fait mais ne m'en souvenais plus) que l'on peut éditer le fichier de config directement sur le. smartphone. Sur le Mac c'est facile puisqu'il suffit de disposer d'un traitement de texte.  Merci pour la piqûre de rappel.

Il y a 2 heures, Mic13710 a dit :

Si vous ne voulez pas que le trafic internet passe par la freebox, il faut supprimer 0.0.0.0/0

Bizarre parce que lorsque je le supprime, le VPN est inopérant et la Freebox ne voit aucune connexion.

Après la modification du fichier de config je parviens à mon but qui est de joindre DSM depuis Wireguard. Merci pour l'aide.

[CyberFr]

Un modérateur peut-il déplacer cette discussion dans le forum où je l'ai postée à l'origine parce que s'agissant de la sécurité de DSM, elle n'a rien à faire dans Le Bar.

[Mic13710]

@CyberFr j'entends bien le caractère sécuritaire. Pour autant cette question ne concerne pas DSM, ni de prés ni de loin. Jusqu'à preuve du contraire, Wireguard est une solution VPN qui n'est pas embarquée dans nos NAS, et c'est bien regrettable mais là n'est pas le débat.

Que vous vous en serviez pour joindre votre réseau de manière sécurisée, et donc votre NAS, n'en fait pas pour autant un sujet concernant les produits synology.

J'ai moi même beaucoup échangé sur ce protocole et je l'ai fait dans le bar. On pourrait à la limite le mettre dans internet et réseau, mais c'est tout.

Il restera donc dans ce forum.

[PiwiLAbruti]

Est-ce que le réseau VPN de la Freebox 192.168.27.64/27 est autorisé dans le pare-feu du NAS ?

[CyberFr]

J'ai autorisé 192.168.27.64 \ 255.255.255.0 sur le NAS.

J'arrive bien à me connecter depuis le smartphone sur le réseau cellulaire.

J'ai coupé le Mac du réseau local en désactivant le réseau dans les réglages système et en interdisant tout partage de connexion. J'ai activé le WI-FI sur un dongle USB, le Mac n'avait donc plus que cet accès à Internet. Lorsque je tente de joindre des sites Web, je ne rencontre aucun problème mais dés que j'active Wireguard il ne se passe plus rien et je n'arrive à joindre aucun site.

J'ai provisoirement désactivé le coupe-feu du NAS mais cela ne change rien. Et comme je ne suis pas sur le même réseau local que la Freebox, je ne peux pas y accéder pour voir ce qui se passe au niveau de la connexion VPN.

Les fichiers de config Wireguard du smartphone et du Mac sont identiques en dehors des clés d'identification.

[PiwiLAbruti]

Je ne comprends rien à ton architecture réseau.

il y a 47 minutes, CyberFr a dit :

J'ai autorisé 192.168.27.64 \ 255.255.255.0 sur le NAS.

C'est 192.168.27.64/255.255.255.224 qu'il faut autoriser (ça ne changera rien au problème, mais c'est plus précis).

[CyberFr]

il y a 26 minutes, PiwiLAbruti a dit :

C'est 192.168.27.64/255.255.255.224 qu'il faut autoriser (ça ne changera rien au problème, mais c'est plus précis).

Modification effectuée.

[Mic13710]

Il y a 1 heure, CyberFr a dit :

comme je ne suis pas sur le même réseau local que la Freebox

Est-ce à dire qu'il y a un routeur entre la freebox et le réseau du NAS ?

Si c'est le cas, alors l'accès au réseau n'est pas possible s'il n'y a pas une passerelle entre les deux. Perso, je ne sais pas s'il est possible de le faire sur une freebox. Peut-être que @PiwiLAbruti a une solution à proposer.

[CyberFr]

il y a 28 minutes, Mic13710 a dit :

Est-ce à dire qu'il y a un routeur entre la freebox et le réseau du NAS ?

Non mais lorsque j'active Wireguard aucune connexion n'est possible, que ce soit avec le réseau local de la Freebox ou avec un quelconque site Web.

J'ai bien un log mais je n'y comprends pas grand chose.

[PiwiLAbruti]

Si le VPN ne te sert qu'à accéder au réseau local, il est inutile d'y faire passer le trafic internet du mobile.

Dans ce cas, il faut retirer le réseau 0.0.0.0/0 (passerelle par défaut) de l'instruction AllowedIPs de la configuration WireGuard du client.

Pour le reste, je ne comprends toujours rien à la façon dont tu fais les tests avec le Mac. L'idéal serait de faire un partage de connexion avec un smartphone pour que le Mac ne soit pas sur le même réseau local que le NAS.

[CyberFr]

Il y a 16 heures, PiwiLAbruti a dit :

Dans ce cas, il faut retirer le réseau 0.0.0.0/0 (passerelle par défaut) de l'instruction AllowedIPs de la configuration WireGuard du client.

Je ne sais pas comment Free a implémenté Wireguard, je constate simplement sur le smartphone que lorsque je retire le réseau 0.0.0.0/0 des AllowedIPs, toute connexion avec le VPN est coupée.

Il y a 16 heures, PiwiLAbruti a dit :

Pour le reste, je ne comprends toujours rien à la façon dont tu fais les tests avec le Mac. L'idéal serait de faire un partage de connexion avec un smartphone pour que le Mac ne soit pas sur le même réseau local que le NAS.

Je confie ce rôle à un dongle WI-FI qui a son propre réseau et qui remplace le partage de connexion avec le smartphone. Le fichier de config du Mac :

[Interface]
PrivateKey = ****************
Address = 192.168.27.88/32
DNS = 212.27.38.253
MTU = 1360

[Peer]
PublicKey = ******************
PresharedKey = *****************
AllowedIPs = 0.0.0.0/0, 192.168.27.64/24, 192.168.1.0/24
Endpoint = 82.67.97.246:52724

[Mic13710]

il y a une heure, CyberFr a dit :

lorsque je retire le réseau 0.0.0.0/0 des AllowedIPs, toute connexion avec le VPN est coupée.

Cela veut simplement dire que les autres IP ne passent pas le tunnel. Et c'est bien ce qui se passe puisque vous n'arrivez pas à rejoindre le réseau.

Lorsque Wireguard est connecté, est-ce qu'il y a du transfert en réception avec et sans 0.0.0.0/0 ?

[PiwiLAbruti]

Avec le fichier de configuration suivant, seul le trafic à destination des réseaux indiqués dans AllowedIPs est envoyé sur le VPN :

[Interface]
PrivateKey = <base64>
Address = 192.168.27.x/32
DNS = 212.27.38.253
MTU = 1360

[Peer]
PublicKey = <base64>
Endpoint = <publicIP>:<port>
AllowedIPs = 192.168.27.64/27, 192.168.1.0/24
PersistentKeepalive = 30
PresharedKey = <base64>

Je viens de tester et ça fonctionne parfaitement. Il est toujours étrange que le réseau 192.168.27.64 soit en /24 dans ta configuration alors que j'ai un /27.

Il y a 1 heure, CyberFr a dit :

Je confie ce rôle à un dongle WI-FI qui a son propre réseau et qui remplace le partage de connexion avec le smartphone.

Je ne comprends toujours pas les conditions dans lesquelles tu fais les tests, mais ça pourrait être à l'origine du problème que tu rencontres.

Modifié le 27 novembre par PiwiLAbruti

[CyberFr]

il y a 50 minutes, PiwiLAbruti a dit :

Je viens de tester et ça fonctionne parfaitement. Il est toujours étrange que le réseau 192.168.27.64 soit en /24 dans ta configuration alors que j'ai un /27.

J'ai renoncé au dongle WI-FI et j'ai établi un partage de connexion entre le smartphone et le Mac.

J'ai modifié le fichier de config en prenant comme exemple celui que tu fournis :

[Interface]
PrivateKey = *****
Address = 192.168.27.88/32
DNS = 212.27.38.253
MTU = 1360

[Peer]
PublicKey = *****
PresharedKey = XYQWr4nnpiARPgOFicSCQLwlJ2aclQAmXLeXrWwv8kg=
AllowedIPs = 0.0.0.0/0, 192.168.27.64/27, 192.168.1.0/24
Endpoint = 82.67.97.246:52724

Je parviens à joindre des sites Web.

Mais lorsque je modifie les AllowedIPs en supprimant 0.0.0.0/0

AllowedIPs = 192.168.27.64/27, 192.168.1.0/24

je ne peux joindre aucun site Web pas plus que l'IP locale du NAS or c'est pour joindre DSM en local que je tente de mettre en place un VPN.

http://192.168.1.X

[PiwiLAbruti]

Une fois connecté, tu dois voir les règles de routage suivantes sur ton Mac (commande netstat -rn dans le Terminal) :

Destination réseau    Masque réseau  Adr. passerelle   Adr. interface Métrique
    192.168.27.64  255.255.255.224         On-link     192.168.27.88      5
    192.168.27.88  255.255.255.255         On-link     192.168.27.88    261
    192.168.27.95  255.255.255.255         On-link     192.168.27.88    261
      192.168.1.0    255.255.255.0         On-link     192.168.27.88      5
    192.168.1.255  255.255.255.255         On-link     192.168.27.88    261

Essaye également de faire un ping vers différentes machines de ton réseau distant (192.168.1.x).

[CyberFr]

Voilà ce qui est affiché :

Last login: Wed Nov 27 04:57:35 on console
cyberfr@LAX1 ~ % netstat -rn
Routing tables

Internet:
Destination        Gateway            Flags           Netif Expire
default            link#18            UCSg            utun3       
default            172.20.10.1        UGScIg            en1       
127                127.0.0.1          UCS               lo0       
127.0.0.1          127.0.0.1          UH                lo0       
169.254            link#6             UCS               en1      !
172.20.10/28       link#6             UCS               en1      !
172.20.10.1/32     link#6             UCS               en1      !
172.20.10.1        46:35:83:36:86:64  UHLWIir           en1   1119
172.20.10.2/32     link#6             UCS               en1      !
192.168.1          link#18            UCS             utun3       
192.168.27.64/27   link#18            UCS             utun3       
192.168.27.88      192.168.27.88      UH              utun3       
212.27.38.253      link#18            UHWIig          utun3       
224.0.0/4          link#18            UmCS            utun3       
224.0.0/4          link#6             UmCSI             en1      !
255.255.255.255/32 link#18            UCS             utun3       
255.255.255.255/32 link#6             UCSI              en1      !

Internet6:
Destination                             Gateway                         Flags           Netif Expire
default                                 fe80::%utun0                    UGcIg           utun0       
default                                 fe80::%utun1                    UGcIg           utun1       
default                                 fe80::%utun2                    UGcIg           utun2       
::1                                     ::1                             UHL               lo0       
fe80::%lo0/64                           fe80::1%lo0                     UcI               lo0       
fe80::1%lo0                             link#1                          UHLI              lo0       
fe80::%en1/64                           link#6                          UCI               en1       
fe80::4b1:94b:af64:5e71%en1             98:9e:63:4a:1:d8                UHLI              lo0       
fe80::%utun0/64                         fe80::1e45:f5ad:40ab:a6af%utun0 UcI             utun0       
fe80::1e45:f5ad:40ab:a6af%utun0         link#12                         UHLI              lo0       
fe80::%utun1/64                         fe80::e6ae:2195:7d78:335f%utun1 UcI             utun1       
fe80::e6ae:2195:7d78:335f%utun1         link#13                         UHLI              lo0       
fe80::%utun2/64                         fe80::ce81:b1c:bd2c:69e%utun2   UcI             utun2       
fe80::ce81:b1c:bd2c:69e%utun2           link#14                         UHLI              lo0       
ff00::/8                                ::1                             UmCI              lo0       
ff00::/8                                link#6                          UmCI              en1       
ff00::/8                                fe80::1e45:f5ad:40ab:a6af%utun0 UmCI            utun0       
ff00::/8                                fe80::e6ae:2195:7d78:335f%utun1 UmCI            utun1       
ff00::/8                                fe80::ce81:b1c:bd2c:69e%utun2   UmCI            utun2       
ff01::%lo0/32                           ::1                             UmCI              lo0       
ff01::%en1/32                           link#6                          UmCI              en1       
ff01::%utun0/32                         fe80::1e45:f5ad:40ab:a6af%utun0 UmCI            utun0       
ff01::%utun1/32                         fe80::e6ae:2195:7d78:335f%utun1 UmCI            utun1       
ff01::%utun2/32                         fe80::ce81:b1c:bd2c:69e%utun2   UmCI            utun2       
ff02::%lo0/32                           ::1                             UmCI              lo0       
ff02::%en1/32                           link#6                          UmCI              en1       
ff02::%utun0/32                         fe80::1e45:f5ad:40ab:a6af%utun0 UmCI            utun0       
ff02::%utun1/32                         fe80::e6ae:2195:7d78:335f%utun1 UmCI            utun1       
ff02::%utun2/32                         fe80::ce81:b1c:bd2c:69e%utun2   UmCI            utun2       
cyberfr@LAX1 ~ % 

Merci @PiwiLAbruti pour ton aide.

[PiwiLAbruti]

Il y a 3 heures, PiwiLAbruti a dit :

Essaye également de faire un ping vers différentes machines de ton réseau distant (192.168.1.x).

Ça donne quoi ?

[CyberFr]

Ça donne ça :

cyberfr@LAX1 ~ % ping 192.168.1.X
PING 192.168.1.X (192.168.1.X): 56 data bytes
Request timeout for icmp_seq 0
Request timeout for icmp_seq 1
Request timeout for icmp_seq 2
Request timeout for icmp_seq 3
^C
--- 192.168.1.X ping statistics ---
5 packets transmitted, 0 packets received, 100.0% packet loss
cyberfr@LAX1 ~ % 

Décidément, je n'arrive pas à comprendre pourquoi ça marche sur le smartphone (même si je note une redirection) et pas sur le Mac.

[PiwiLAbruti]

Même vers des appareils autres que le NAS ? (toujours adressés en 192.168.1.x)

il y a 11 minutes, CyberFr a dit :

(même si je note une redirection)

Cest-à-dire ?

[CyberFr]

Quand je tape 192.168.1.X sur le smartphone, je vois une instruction "Redirect?" qui s'ajoute à l'URL que je viens de rentrer.