Aller au contenu

WireGuard : comment joindre le réseau local ?


CyberFr

Messages recommandés

Bonjour,

Je fais des tests avec un smartphone déconnecté du WI-FI qui accède à Internet avec les données cellulaires.

J'ai activé WireGuard sur ma Freebox mais je n'arrive pas à joindre le réseau local du NAS au 192.168.1.2. Je peux par contre accéder à n'importe quel site Web.

Je croyais que le VPN se connectait sur le réseau local mais ce n'est pas le cas ici. Il faut sans doute faire une redirection de port mais laquelle ?

Merci à tous ceux qui pourront m'aider.

 

Voici le fichier de config que je ne peux modifier puisque l'installation se fait avec un QR Code.

Citation

[Interface]
PrivateKey = **********************
Address = 192.168.27.65/32
DNS = 212.27.38.253
MTU = 1360

[Peer]
PublicKey = ************************
Endpoint = 82.67.97.246:52724
AllowedIPs = 0.0.0.0/0, 192.168.27.64/27, 192.168.1.0/24

 

pJ1.jpg

Lien vers le commentaire
Partager sur d’autres sites

@CyberFr que vient faire cette question dans la section concernant l'installation et la configuration des NAS ? Depuis le temps que vous êtes sur ce forum, ce genre d'erreur ne devrait plus se produire, d'autant que ce n'est pas la première fois vous concernant. Je déplace encore mais c'est la dernière fois.

Concernant le fichier de conf, il est tout à fait modifiable directement dans le client Wireguard. Les seuls éléments à ne pas altérer sont les clés, l'adresse de l'interface et l'IP publique de la freebox dans le Peer puisque ces éléments permettent d'identifier le client auprès du serveur. Pour que wireguard puisse atteindre le réseau privé, il faut autoriser le dit réseau dans les AllowedIPs du Peer et il faut aussi autoriser le trafic de l'IP du client à atteindre le réseau. C'est ce qu'on retrouve dans le fichier de conf généré par la freebox.

AllowedIPs = 0.0.0.0/0, 192.168.27.64/27,  192.168.X.0/24
(X à remplacer par la plage IP privée de la freebox)

Si vous ne voulez pas que le trafic internet passe par la freebox, il faut supprimer 0.0.0.0/0

Et pour atteindre le NAS, il faut bien évidemment que la plage d'IP de Wireguard soit autorisée dans le parefeu, ce qui devrait être le cas si vous avez suivi le tuto sur la sécurisation du NAS. Sinon, il faut y ajouter la plage 192.168.27.64/27.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 2 heures, Mic13710 a dit :

@CyberFr que vient faire cette question dans la section concernant l'installation et la configuration des NAS ? Depuis le temps que vous êtes sur ce forum, ce genre d'erreur ne devrait plus se produire, d'autant que ce n'est pas la première fois vous concernant. Je déplace encore mais c'est la dernière fois.

Mon but est de joindre l'interface d'administration de DSM en utilisant WireGuard et donc de rendre DSM inaccessible depuis Internet. C'est une mesure qui a un réel rapport avec la sécurité, c'est pourquoi j'ai posé ma question dans le forum  « Installation, Démarrage et Configuration » où je trouve qu'elle avait sa place. Je me sers actuellement d'un reverse-proxy pour joindre DSM mais un VPN est nettement plus sûr.

J'utilise un smartphone car il est plus facile à isoler du réseau local que mon Mac mais le but est, bien entendu, de pouvoir utiliser le VPN sur mon Mac. Le smartphone ne sert que pour des tests.

Il y a 2 heures, Mic13710 a dit :

Concernant le fichier de conf, il est tout à fait modifiable directement dans le client Wireguard. Les seuls éléments à ne pas altérer sont les clés, l'adresse de l'interface et l'IP publique de la freebox dans le Peer puisque ces éléments permettent d'identifier le client auprès du serveur. Pour que wireguard puisse atteindre le réseau privé, il faut autoriser le dit réseau dans les AllowedIPs du Peer et il faut aussi autoriser le trafic de l'IP du client à atteindre le réseau. C'est ce qu'on retrouve dans le fichier de conf généré par la freebox.

Je ne me rappelais pas (et pourtant je l'ai déjà fait mais ne m'en souvenais plus) que l'on peut éditer le fichier de config directement sur le. smartphone. Sur le Mac c'est facile puisqu'il suffit de disposer d'un traitement de texte.  Merci pour la piqûre de rappel.

Il y a 2 heures, Mic13710 a dit :

Si vous ne voulez pas que le trafic internet passe par la freebox, il faut supprimer 0.0.0.0/0

Bizarre parce que lorsque je le supprime, le VPN est inopérant et la Freebox ne voit aucune connexion.

Après la modification du fichier de config je parviens à mon but qui est de joindre DSM depuis Wireguard. Merci pour l'aide.

Lien vers le commentaire
Partager sur d’autres sites

@CyberFr j'entends bien le caractère sécuritaire. Pour autant cette question ne concerne pas DSM, ni de prés ni de loin. Jusqu'à preuve du contraire, Wireguard est une solution VPN qui n'est pas embarquée dans nos NAS, et c'est bien regrettable mais là n'est pas le débat.

Que vous vous en serviez pour joindre votre réseau de manière sécurisée, et donc votre NAS, n'en fait pas pour autant un sujet concernant les produits synology.

J'ai moi même beaucoup échangé sur ce protocole et je l'ai fait dans le bar. On pourrait à la limite le mettre dans internet et réseau, mais c'est tout.

Il restera donc dans ce forum.

Lien vers le commentaire
Partager sur d’autres sites

J'ai autorisé 192.168.27.64 \ 255.255.255.0 sur le NAS.

J'arrive bien à me connecter depuis le smartphone sur le réseau cellulaire.

J'ai coupé le Mac du réseau local en désactivant le réseau dans les réglages système et en interdisant tout partage de connexion. J'ai activé le WI-FI sur un dongle USB, le Mac n'avait donc plus que cet accès à Internet. Lorsque je tente de joindre des sites Web, je ne rencontre aucun problème mais dés que j'active Wireguard il ne se passe plus rien et je n'arrive à joindre aucun site.

J'ai provisoirement désactivé le coupe-feu du NAS mais cela ne change rien. Et comme je ne suis pas sur le même réseau local que la Freebox, je ne peux pas y accéder pour voir ce qui se passe au niveau de la connexion VPN.

Les fichiers de config Wireguard du smartphone et du Mac sont identiques en dehors des clés d'identification.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 1 heure, CyberFr a dit :

comme je ne suis pas sur le même réseau local que la Freebox

Est-ce à dire qu'il y a un routeur entre la freebox et le réseau du NAS ?

Si c'est le cas, alors l'accès au réseau n'est pas possible s'il n'y a pas une passerelle entre les deux. Perso, je ne sais pas s'il est possible de le faire sur une freebox. Peut-être que @PiwiLAbruti a une solution à proposer.

Lien vers le commentaire
Partager sur d’autres sites

il y a 28 minutes, Mic13710 a dit :

Est-ce à dire qu'il y a un routeur entre la freebox et le réseau du NAS ?

Non mais lorsque j'active Wireguard aucune connexion n'est possible, que ce soit avec le réseau local de la Freebox ou avec un quelconque site Web.

J'ai bien un log mais je n'y comprends pas grand chose.

Lien vers le commentaire
Partager sur d’autres sites

Si le VPN ne te sert qu'à accéder au réseau local, il est inutile d'y faire passer le trafic internet du mobile.

Dans ce cas, il faut retirer le réseau 0.0.0.0/0 (passerelle par défaut) de l'instruction AllowedIPs de la configuration WireGuard du client.

Pour le reste, je ne comprends toujours rien à la façon dont tu fais les tests avec le Mac. L'idéal serait de faire un partage de connexion avec un smartphone pour que le Mac ne soit pas sur le même réseau local que le NAS.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 16 heures, PiwiLAbruti a dit :

Dans ce cas, il faut retirer le réseau 0.0.0.0/0 (passerelle par défaut) de l'instruction AllowedIPs de la configuration WireGuard du client.

Je ne sais pas comment Free a implémenté Wireguard, je constate simplement sur le smartphone que lorsque je retire le réseau 0.0.0.0/0 des AllowedIPs, toute connexion avec le VPN est coupée.

Il y a 16 heures, PiwiLAbruti a dit :

Pour le reste, je ne comprends toujours rien à la façon dont tu fais les tests avec le Mac. L'idéal serait de faire un partage de connexion avec un smartphone pour que le Mac ne soit pas sur le même réseau local que le NAS.

Je confie ce rôle à un dongle WI-FI qui a son propre réseau et qui remplace le partage de connexion avec le smartphone. Le fichier de config du Mac :

[Interface]
PrivateKey = ****************
Address = 192.168.27.88/32
DNS = 212.27.38.253
MTU = 1360

[Peer]
PublicKey = ******************
PresharedKey = *****************
AllowedIPs = 0.0.0.0/0, 192.168.27.64/24, 192.168.1.0/24
Endpoint = 82.67.97.246:52724
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.