Hmmm, effectivement, je vais essayer de voir.
Il y a bien un fichier de configuration de configuration pour wirerguard
Situé dans /etc/wireguard/wg0.conf
ufw ne semble pas faire sauté les règles iptables après activation (ce n’est pas plus mal)
Je vais faire quelques recherches, mais dans l’immédiat, ça semble fonctionné.
et effectivement ce n’est pas ce qu’il y a de plus propre j’imagine
Comment le VPN est-il lancé ?
via la comand systctl
systemctl start wg-quick@wg0
il et en auto lancement grâce a systemctl enable wg-quick@wg0 sa a permis de le mettre en lancement automatique
mais je vais finalement évité
up iptables -t mangle -A OUTPUT -s 192.168.42.0/24 -j MARK --set-mark 0xca6c
fait fuité l’ip publique de la box donc des bout de trafique semble passé hors vpn et ceux malgré ufw qui est sensé bloqué les port entré sorti sur ens18 (Sauf pour 443 80 53 et wireguard alors que ça devrait rester derrière le vpn
par contre avec up ip rule add from 192.168.42.0/24 priority 0 table main || true
je n’est pas se problème de fuite et en plus j’ai accès a l’interface web sur le lan
Quelle commande systctl ? Quel rapport avec le lancement du VPN ?
Qu’est-ce qui fait « fuiter l’IP réel » ? (je suppose que tu parles de l’adresse IP publique de la box)
j’ai réédité mon message même moi, je ne pas ce que j’avais écrie, vraiment désolé, pour mon écriture en principe, je vérifie toujours et je passe tout au correcteur.
quand je parle d’ip effectivement je parle de l’ip publique de la box
Mais il semblerait que via ip rule add from 192.168.42.0/24 priority 0 table main || true
Je ne rencontre pas ce souci, et que j’ai accès à mon interface web comme prévu.
donc dans l’immediat mettre cette ligne dans /etc/network/interfaces est la solution (pas vraiment propre j’imagine effectivement)
up ip rule add from 192.168.42.0/24 priority 0 table main || true
Semble donc faire l’affaire dans ma situation.
je vais vérifié pendant quelques temps voir si j’ai des désagréments
mais ce qui est sur c’est que je pense que iptables prend le dessus sur ufw
Tu peux montrer la sortie de ip rule avec la règle créée par l’option up et le VPN monté ?
Si le VPN est lancé avec wg-quick, d’après sa page de manuel on devrait pouvoir utiliser les options PostUp et PreDown dans wg0.conf pour ajouter la règle (sans priorité) lorsque le VPN a démarré et la supprimer lorsqu’il est arrêté.
Hello
voici la sortie de la commande ip rule avec la regle
up ip rule add from 192.168.42.0/24 priority 0 table main || true qui a été lancé au boot via /etc/network/interfaces
et wireguard lancé
0: from all lookup local
0: from 192.168.42.0/24 lookup main
0: not from all fwmark 0xca6c lookup 51820
0: from all lookup main suppress_prefixlength 0
32766: from all lookup main
32767: from all lookup defaultComme je le prévoyais dans l’EDIT d’un message précédent, l’ordre des deux règles de routage ajoutées par wireguard est inversé. Cela risque de perturber les communications vers les autres machines du réseau local : si le processus émetteur ne fixe pas explicitement l’adresse source, alors la règle n° 2 ne s’applique pas et la règle n° 3 s’applique et route dans le VPN alors que c’est la règle n° 4 qui devrait s’appliquer et utiliser la table de routage normale. Ce n’est pas propre. Il vaudrait mieux gérer la règle avec les options PostUp et PreDown dans wg0.conf.
Bonjour,
Désolé pour les délais de réponse vu que tout fonctionne, j’avoue ne pas avoir suivi
Du coup, si je comprends bien, ça peut me créer des ennuis su un jour, à tout hasard, j’ajoute un samba par exemple. ou tout autre chose passant par le réseau local
Que dois-je faire pour éviter tout problématique futur ?
et surtout que ce sois propre
merci d’avance
Cordialement,
encore désolé pour la non réponse de ma part
Je l’ai écrit dans mon message précédent : utiliser les options PostUp et PreDown dans wg0.conf pour ajouter la règle (sans priorité) lorsque le VPN a démarré et la supprimer lorsqu’il est arrêté.
donc il faut que j’ajoute cette regle la en gros
dans mon wg0.conf
PostUp iptables -t mangle -A OUTPUT -s 192.168.42.0/24 -j MARK --set-mark 0xca6c
et pareil pour PreDown ?
je refais une lecture des anciens message de mon coté pour être sur de tout comprendre
Plutôt la commande ip rule sans priorité.
donc ça ressemblerais a sa du coup ?
si je comprend bien ?
ip rule add from 192.168.42.0/24 table main || true
Pas besoin de || true.
ok je vois
pour résumé j’ajoute
dans mon wg0.conf
deux ligne
PostUp = ip rule add from 192.168.42.0/24 table main
PreDown = ip rule del from 192.168.42.0/24 table main
je retire évidement
up ip rule add from 192.168.42.0/24 priority 0 table main || true
de
/etc/network/interfaces
et je reboot et je vois si c’est OK
Dans Predown il faut supprimer la règle donc « ip rule del ».
j’ai re modifié mon poste précédent ma syntaxe été erroné
j’avais mis
PostUp ip rule add from 192.168.42.0/24 table main
PreDown ip rule del from 192.168.42.0/24 table main
alors que c’est
PostUp = ip rule add from 192.168.42.0/24 table main
PreDown = ip rule del from 192.168.42.0/24 table main
bon les test semble concluant sa fonctionne pas de fuite ou autre
je vais test quelques heure s voir ce que sa donne et j’indiquerais la résolution
Tu peux exécuter ip rule lorsque le VPN est démarré puis lorsqu’il est arrêté pour vérifier la bonne mise en place des règles de routage.
voici le retour de la commande ip rule lorsque le vpn est ON
0: from all lookup local
32763: from 192.168.42.0/24 lookup main
32764: from all lookup main suppress_prefixlength 0
32765: not from all fwmark 0xca6c lookup 51820
32766: from all lookup main
32767: from all lookup default
et le retour de la commande ip rule lorsque le vpn est OFF
0: from all lookup local
32766: from all lookup main
32767: from all lookup default
cela me semble pas trop mal pour le coup 
donc la solution serais donc de rajouté deux ligne dasn le wg0.conf dans la partie [interface]
PostUp = ip rule add from 192.168.42.0/24 table main
PreDown = ip rule del from 192.168.42.0/24 table main
ce qui donne dans la configuration final
(au cas ou j’ai modifier les info elle sont fausse) pour tout ce qui est clef publique est autre
[Interface]
Address = 10.19.10.12/32
PrivateKey = private_key
DNS = 10.19.10.1
PostUp = ip rule add from 192.168.42.0/24 table main
PreDown = ip rule del from 192.168.42.0/24 table main
[Peer]
PublicKey = publique_key
PresharedKey = Pre_shared_Key
Endpoint = exemple.ex:58920
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 5Oui, l’ordre des règles est correct et c’est propre.