Activer & configurer Wireguard sur OPNsense

by Johan ALBORNOZon Posted on

Salut à tous ! Aujourd’hui, je vous montre comment mettre en place un VPN WireGuard sur votre pare-feu OPNsense. Je vous montre d’ailleurs ma version du firmware au début de la vidéo pour vous confirmer que WireGuard est désormais directement intégré au système. C’est plus propre et plus performant.

Créer une instance WireGuard (Serveur)

Je commence par générer la configuration du serveur (clés, port, IP du tunnel).

Aller dans VPN/Wireguard.

Activer WireGuard

Ne pas oublier de cocher l’option en bas Enable Wireguard et cliquer sur Apply.

Créer les Peers (Clients)

J’ai utilisé le Peer Generator pour générer le contenu du fichier .conf du VPN.

Endpoint : [IP_publique]:[port_utilisé]

Name : nom du client

Allowed IPs : les réseaux auxquels on souhaite autoriser l’accès

Ensuite, on copie les configurations générées.
Sur le client, il suffit d’ajouter un nouveau tunnel, de lui donner un nom, puis de coller la configuration.

Assigner l'interface WG0

Je me rends dans les assignations pour déclarer l’interface “WG0” proprement.

Activer l'interface WG0

Je n’oublie pas de l’activer et de la configurer pour qu’elle soit utilisable.

Configuration du NAT

Je configure les règles de traduction d’adresses afin que le trafic sorte correctement vers Internet.
Sur ma box, je ne peux pas ajouter de routes statiques, donc le trafic provenant du réseau 10.10.10.0/24 sortirait bien par OPNsense, mais le retour ne fonctionnerait pas : la box ne saurait pas où se situe ce réseau.

Mise en place des règles de filtrage

Je crée les règles de pare-feu (sur le WAN, le LAN et sur l’interface WG0) pour autoriser les connexions. Dans ce contexte de test, j’ouvre tous les flux afin de ne pas complexifier la mise en place.

Test de connexion

On termine par le moment de vérité en connectant un client pour vérifier que tout fonctionne.

Depuis mon PC, connecté sur le réseau 192.168.1.0/24, j’arrive bien à pinguer :

-L’instance WireGuard (10.20.20.1) côté OPNsense

-Ainsi que le PC 10.10.10.25 dans le LAN.

 

⚠️ Attention : n’oubliez pas d’ouvrir le port du serveur WireGuard sur votre box, sinon vous ne pourrez pas atteindre OPNsense depuis Internet.