LXC 208 – WireGuard¶

Informations générales¶

• Nom : WireGuard
• IP : 192.168.1.208
• Type : LXC
• OS : Debian
• Rôle : VPN site-à-site et accès distant sécurisé

Services installés¶

• WireGuard
• VPN rapide et sécurisé (chiffrement moderne)
• Port par défaut : 51820/UDP
• Interface réseau : wg0

Configuration¶

• Fichiers principaux :
• /etc/wireguard/wg0.conf – configuration serveur

• /etc/wireguard/*.conf – éventuelles configs client

• Exemple d’interface serveur : ```ini [Interface] Address = 10.10.0.1/24 ListenPort = 51820 PrivateKey =

[Peer] PublicKey = AllowedIPs = 10.10.0.2/32 ````

• Clients :

• Chaque client possède un fichier .conf contenant :

  [Interface]
  PrivateKey = <clé_privée_client>
  Address = 10.10.0.2/24
  DNS = 192.168.1.201   # AdGuard
  
  [Peer]
  PublicKey = <clé_publique_serveur>
  Endpoint = vpn.mondomaine.tld:51820
  AllowedIPs = 0.0.0.0/0, ::/0
  

  * Distribués sous forme de fichier .conf ou QR Code (mobile)

Sauvegardes¶

À inclure dans les sauvegardes :

• /etc/wireguard/ (configs serveur + clients, clés privées/publiques)

⚠️ Les clés privées sont critiques → à stocker chiffré (ex. backup GPG).

Supervision¶

• Vérifier que le port 51820/UDP est ouvert sur le firewall/box
• Vérifier état de l’interface WireGuard :

wg show

• Vérification ouverture du port 51820
• Vérification tunnel VPN actif (ping IP 10.10.0.2/24)

Commandes utiles¶

# Vérifier état WireGuard
wg show

# Démarrer/arrêter
systemctl start wg-quick@wg0
systemctl stop wg-quick@wg0
systemctl restart wg-quick@wg0

# Vérifier interface
ip a show wg0

# Logs
journalctl -u wg-quick@wg0 -f

Notes¶

• Le DNS des clients VPN pointe vers AdGuard (192.168.1.201).

• Pour ajout d’un nouveau client :

• Générer une paire de clés avec wg genkey / wg pubkey.

• Ajouter le bloc [Peer] dans wg0.conf serveur.
• Fournir le fichier .conf au client.
• Automatisable avec scripts WireGuard + QR Code pour mobiles.