OPNSense : Wireguard VPN

Configuration du VPN

Installer le package Wireguard via System → Firmware → Plugins
Faire F5 dans le navigateur pour faire apparaître le nouveau menu VPN Wireguard
Dans VPN → Wireguard → Local appuyez sur le + pour créer une nouvelle entité
Créer la configuration de la sorte:
1. Name: Nom de la connexion
2. Public Key & Private Key: peuvent être laissés vides, ils seront remplis après avoir pressé Save
3. DNS Server: Indiquer le serveur DNS que vous souhaitez utilisez
4. Tunnel address: Définir un subnet qui autorise la communication entre l'entité et le Peer. De préférénce un CDIR 24
5. Peer: On devra retourner et choisir le Peer autorisé une fois créé
Dans VPN → Wireguard → Endpoints appuyez sur le + pour créer une nouvelle Peer
Créer la configuration de la sorte:
1. Name: Donner un nom
2. Public Key: doit être la clée publique générée par le client
3. Shared Secret: optionnel, permet de mettre un mot de passe sur la connexion
4. Allowed IP, on prend une adresse dans le Tunnel Address, en CDIR 32
5. Enpoint Address & Endpoint Port: si il s'agit d'une configuration en RoadWarrior, ces deux champs peuvent rester vide
Retourner dans VPN → Wireguard → Local et éditer l'entité créée pour sélectionner le Peer distant.
Dans VPN → Wireguard → General, activer WireGuard et faire Save

Règles Firewall

Prévoir une règle dans Firewall → Rules → WireGuard pour autoriser le trafic désiré. Un Accept All est envisageable pour un test.
Dans Firewall → Rules → Wan: créer une règle qui accepte le port UDP 51820 sur ce firewall

Configuration d'un client Windows en mode RoadWarrior

Dans le client Windows, créer un nouveau tunnel vide. Il créera directement une clé privée et publique
Récupérer la clé publique pour la configuration du Peer/Endpoint dans OpenVPN

Ajouter les éléments suivant après le privatekey

Address = 172.31.33.2/32
DNS = 10.0.0.211

[Peer]
PublicKey = LA_CLE_PUBLIQUE_DU_SERVEUR_OPNSENSE
AllowedIPs = 0.0.0.0/0
Endpoint = LADRESSE_DU_SERVEUR_OPNSENSE:51820