VPN site-à-site avec Wireguard sur pfSense

Pour créer un tunnel VPN site-à-site, on utilise traditionnellement IPSec. Mais rien n'empêche d'utiliser d'autres protocoles. Cet article présente comment faire un tunnel site-à-site avec Wireguard sur pfSense.

Cet article est fortement inspiré de la documentation officielle de Netgate. Il est principement destiné à un usage personnel pour une future référence, je vous invite à consulter la documentation très biuen construite de Netgate pour plus de détails.

Wireguard est un protocole VPN Open-Source très efficace, basé sur un chiffrement asymétrique avec clé privée/clé publique sur chaque hôte. pfSense intègre Wireguard parmis ses packages additionnels officiels.

Il n’y a cependant pas de configuration automatique pour un VPN site-à-site avec Wireguard sur pfSense, il faut donc le configurer manuellement. Les étapes générales pour la mise en place sont expliquées à la suite. Chaque étape est à répéter sur chaque site.

Initialiser le tunnel Wireguard

Ajouter les pairs

Il faut renseigner la clé publique et les adresses IP distantes autorisées à communiquer à travers le tunnel

Interfaces

On assigne le tunnel à une interface de pfSense pour configurer son adressage IP et ses règles de pare-feu

Pare-Feu

  • Autoriser l’accès au port choisi pour Wireguard sur le WAN.
  • Autoriser ICMP sur les interfaces pfSense internes au tunnel, pour la fonction « Gateway monitoring » de pfSense.
  • Autoriser les trafics nécessaires aux fonctionnalités recherchées. Ici, j’autorise le NAS distant à accéder au NAS principal en SSH tous les soirs entre 3h et 5h.

Routage

Il faut manuellement ajouter des routes statiques sur chaque pfSense pour lui indiquer de passer par le tunnel VPN pour contacter le réseau distant.

Ainsi, le tunnel configuré permet d’avoir une communication stable et sécurisée entre les deux sites pour la sauvegarde des données.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *