Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

Comment installer le VPN Wireguard facilement ?

Vous le savez, je suis un grand supporter des VPN, surtout ceux qu’on héberge nous-mêmes. Seulement, quand on n’est pas un technicien chevronné, ce n’est pas forcément très simple de mettre en place ce genre de choses. Heureusement, il y a toujours des méthodes simples qui permettent d’installer des VPN facilement sans trop se prendre la tête et en automatisant la config. Le succès de mon article sur l’installation d’OpenVPN pour les nuls en est le parfait exemple.

Et aujourd’hui, j’ai envie de changer et je vous emmène à la découverte de Wireguard. J’étais l’un des premiers à vous en parler il y a quelques années, mais faute de documentation, je n’avais pas pu le tester à l’époque.

Wireguard est donc un logiciel libre qui permet d’établir des tunnels chiffrés de bout en bout (VPN) avec des outils et protocoles robustes et modernes comme le framework NoiseCurve25519ChaCha20Poly1305BLAKE2SipHash24HKDF…etc., le tout avec des performances de dingue comparé à OpenVPN ou encore IPSec.

Le projet est encore jeune (2015) par rapport à ses concurrents (donc moins testé) donc à vous de voir si vous décidez de lui faire confiance ou non. Toutefois, sa surface d’attaque a été réduite au maximum avec peu de code et une facilité d’implémentation.

Alors, comment installer Wireguard sur un serveur Ubuntu sans se prendre le chou ? Et bien pour cela, il existe piVPN qui est un script d’installation permettant d’installer au choix OpenVPN ou WireGuard sans aucune compétence technique.

Destiné au Raspberry Pi (Raspbian) ce script fonctionne aussi parfaitement sur une Debian ou une Ubuntu en mode VPS ou ordinateur personnel. Personnellement, je l’ai déployé sur une instance Ubuntu chez OVH.

Ça vous dit ? Alors c’est parti !

Lancez le script comme ceci :

git clone https://github.com/pivpn/pivpn.git
sudo bash pivpn/auto_install/install.sh

Suivez ensuite le déroulé de l’installation…

Votre serveur aura besoin d’une adresse IP statique pour que vous puissiez vous y connecter. Choisissez ensuite l’utilisateur local qui fera tourner le serveur VPN :

Choisissez ensuite le VPN de votre choix. Wireguard ou OpenVPN. Pour ce tuto, nous allons partir sur Wireguard.

Le script va alors installer le dépôt, Wireguard et toutes les dépendances nécessaires. Puis il vous demandera un port. Laissez par défaut.

Choisissez ensuite le fournisseur de DNS de votre choix.

Pour ma part, j’ai choisi les DNS de Cloudflare.

Ensuite, laissez le choix par défaut pour la connexion à l’IP du serveur par le client :

Des clés vont alors être générées…

L’installeur recommande ensuite d’activer les mises à jour « unattended » pour plus de sécurité (car un port ouvert sur le net, toussa toussa…etc.) et indique aussi que vous allez devoir rebooter.

Vous acceptez et voilà ! Wireguard est installé !

Une fois que c’est terminé, relancez votre serveur.

Ensuite, une fois redémarré, tout se passe avec la commande « pivpn ».

On va ajouter un client avec la commande suivante.:

pivpn -a

On lui donne un nom et y’a plus qu’à aller voir dans le répertoire /home/ubuntu/configs pour retrouver sa configuration.

Si pour un smartphone, vous voulez générez un QR Code à scanner avec le client, entrez la commande :

pivpn -qr

Les clients Wireguard sont tous téléchargeables ici. Il y en a pour Linux, pour macOS, pour Windows, pour iOS, pour Android…

Ensuite dans le client, vous pouvez soit importer le fichier de config qui se trouve dans /home/ubuntu/configs, soit en copier coller le contenu, soit scanner le QR Code.

Voici à quoi ressemble ma conf :

Que vous pouvez coller dans le client (ici le client macOS). Notez que si vous cochez la case « On-Demand », la connexion s’effectuera d’elle-même et se relancera en cas de coupure sur les interfaces réseau (ethernet ou wifi) voulues. Pratique si vous vous connectez à des réseaux wifi qui ne vous appartiennent pas et que vous avez peur d’oublier.

D’ailleurs sur les smartphones cette option On-Demand est intéressante, car vous pouvez choisir d’établir une connexion Wireguard sur les réseaux wifi automatiquement, mais pas quand vous êtes uniquement sur la 4G.

Et voilà ! Vous êtes connecté ! Bravo !

Je vous ai fait un tuto vidéo aussi.

Amusez-vous bien !



Réponses notables

  1. Ça me titille un tantinet le Wireguard est plus rapide que truc … Lave plus blanc que blanc, oui ! Sous openvpn je n’ai aucune incidence (en terme de bande passante) sur bien des VPN, alors c’est qui le chef ?

    Perso j’attend l’intégration de wireguard au noyaux linux, on verra après si ça se tient … Mais bon j’en ai un (autre) à vie qui me convient complètement.

  2. Avatar for Korben Korben says:

    Faut toujours tester dans la vie. Ça permet de se faire une opinion. :wink:
    De mon côté ça fait peu de temps mais je surpris de la rapidité de WireGuard. Après ça vient peut être de mon serveur. Difficile à dire.

  3. Avatar for dextou dextou says:

    Bonjour a tous, j’ai testé Wireguard sur Unraid , il a rien a voir avec Openvpn.
    Il y a aucune latence , on a même l’impression qu’on est sur notre connexion sans vpn , tellement c’est fluide.
    J’ai testé sur ma connexion fibre Free .

  4. Avatar for iMano iMano says:

    Bonjour,

    J’utilise Wireguard depuis bientôt 1 an, voila mon retour.

    Déjà le contexte : Ayant un débit ADSL proche du néant, j’utilise la 4G avec des forfaits prévus pour les téléphones.
    Pour ne pas subir de coupure lié à mon usage et pour pouvoir avoir un accès à mon réseau local à l’extérieur (par d’IP publique sur la 4G pour les offres que j’utilise car double NAT), j’ai mis en place un VPN site à site de mon routeur (Ubiquiti ER-X) vers un VPS.

    L’ER-X n’a pas beaucoup de ressource. Sans OpenVPN, mon débit est de 100Mb/s en down. Avec OpenVPN, le débit chute à 20Mb/s.
    Avec WireGuard, mon débit est à … 100Mb/s. Ce que je peux dire après presque un an d’utilisation c’est que non seulement WireGuard est beaucoup plus rapide qu’OpenVPN (car beaucoup moins gourmand en ressource), mais il est également très fiable/stable ! Depuis qu’il est en place, je ne m’en occupe jamais. En cas de coupure élec ou reboot ou autres, la connexion remonte toute seule sans aucune intervention de ma part. Par expérience, sur OpenVPN ce n’est pas le cas.

  5. Réponse à @guifeca et @milsabords dans la lancée …

    L’article de @Korben n’a rien d’un tuto à jamais gravé dans le marbre, les choses évolues, les logiciels libres d’un jour se font racheter et deviennent « à license » et même Korben à maintenant une … « barbe » …

    Soyez-donc un tant soit peu tolérant, surtout que l’information qui vous a conduit ici, qui vous a fait vous inscrire à un forum, est gratuite , et ce depuis … (j’en sais rien, mais c’est à peu près depuis toujours puisque Manuel, officie depuis '95 (d’après ce que j’ai pu comprendre) ) .

    @milsabords Wireguard n’est pas un VPN, c’est un protocole (si j’ai bien compris) il y aurait éventuellement un « abus de langage » quand au titre de l’article, il est plus ou moins matière à confusion, surtout quand on le déterre 6 mois plus tard. Ce n’est pas un reproche, loin de là, les articles de @korben sont fait pour ça, en parler, partager, s’entraider, etc.

    Votre problème (si l’installation de wireguard est correcte sur votre plateforme ) n’est lié qu’au fournisseurs (apparemment l’ex IPredator, Njalla) du tunnel qui utilise « le protocole WireGuard » et que vous avez payé. Le fichier de configuration du tunnel peut-être délicat, c’était déjà le cas sous OpenVpn p.e. (Perso incapable pendant plusieurs années de configurer des VPN sur une box pourtant faite (aussi) pour ça, depuis, j’ai abandonné l’idée :’( )

    Njalla ne vous à pas vendu un balais à poil dur, il vous fourni un tuyau ! Pour lui et c’est tout à fait défendable, il agit à la manière d’un FAI. Un fournisseur de tuyau(x) point barre.

    Sachez que si la solution WireGuard ne fonctionne pas chez eux, il y a tout un tas d’autres protocoles à utiliser. Au passage, je ne savais pas qu’Ipredator n’était plus lui même mais Njalla. Je peux affirmer que c’était un excellent produit et très en avance concernant l’anonymat (encore une fois, rien n’est est éternel, surtout dans le monde de la tech, il est bon de se renseigner sur la législation très évolutive dans le monde des NTIC ) : j’étais abo dés le lancement du projet, devenu entreprise et racheté ?; l’aide à toujours été au premier plan.

    Pour @guifeca, tout ce que je peux dire c’est que le screen joint ne sert à rien, n’y voyez pas une attaque quelconque, mais tant que vous n’indiquez pas votre configuration et les logs de cette installation, je doute que quiconque puisse vous aider. De plus je me permet d’ajouter qu’OVH a un plutôt bon service d’accompagnement (on ne peut parler de SAV ! ) Et que je doute grandement que quiconque ici prenne le temps d’analyser vos logs.

Continuer la discussion sur Korben Communauté

14 commentaires supplémentaires dans les réponses

Participants