Récemment, nous avons vu comment créer un tunnel VPN L2TP/IPsec sur l’UDM. Il y a quelques semaines Ubiquiti à mis à jour l’UDM Pro SE pour lui ajouter WireGuard. Ainsi, vous pourrez maintenant utiliser Wireguard en tant que serveur VPN depuis votre matériel Ubiquiti et sans avoir à bidouiller.
Wireguard c’est quoi ?
WireGuard est un protocole VPN open source qui privilégie la sécurité et la simplicité. Il a été créé en 2017 par Jason Donenfeld, un chercheur en sécurité et développeur, en réponse aux solutions VPN existantes qu’il considérait comme lentes et compliquées.
L’un des points forts de WireGuard est son utilisation de la cryptographie moderne. Il utilise le chiffrement symétrique ChaCha20 avec Poly1305 pour l’authentification des messages. Ce chiffrement est considéré comme étant plus rapide et plus sûr que les algorithmes de chiffrement traditionnels.
WireGuard est également connu pour son utilisation de clés publiques pour l’authentification des utilisateurs. Cela signifie que les utilisateurs n’ont pas besoin de partager un mot de passe pour se connecter au réseau VPN.
Voici quelques avantages à utiliser Wireguard :
🐻Simplicité: Wireguard a une architecture simple et peu de code, ce qui le rend plus facile à comprendre et à maintenir que d’autres protocoles VPN.
⚡Performance: Wireguard est conçu pour être rapide et efficace, avec une faible latence et une utilisation réduite des ressources système.
🔒Sécurité: Wireguard utilise des protocoles de chiffrement modernes et sécurisés pour protéger les données de l’utilisateur.
📃Conformité: Wireguard est conforme aux normes industrielles et réglementaires, ce qui le rend approprié pour une utilisation dans des entreprises et des organisations qui doivent se conformer à certaines exigences de sécurité.
Nous verrons donc dans la suite de cet article, comment configurer Wireguard sur un pare-feu UDM Pro SE de chez Ubiquiti.
- Nombre de ports de commutation de base RJ-45 Ethernet: 9
- Ports Basic Type Switching RJ-45 Ethernet: Gigabit Ethernet (10/100/1000)
- Nombre de machines à sous du module SFP +: 2
- Support 10g: oui
Configuration WireGuard sur UDM Pro SE
Pour configurer votre serveur VPN Wireguard sur votre UDM Pro SE, depuis les paramètres, cliquez sur « Teleport & VPN » puis cliquez sur « Create New » dans la section VPN Server.
Vous aurez ici le choix entre deux protocoles VPN : Wireguard ou L2TP.
Dans le cas présent, nous sélectionnerons Wireguard.
Donner ensuite un nom à votre réseau VPN WireGuard, puis dans la partie « Server Address » assurez-vous que l’adresse IP WAN est bien affichée. Ici, si vous êtes en double NAT, alors cliquez sur « Enter IP Address manually » pour entrer votre adresse ip WAN. Vous pouvez retrouver votre adresse IP via ce site par exemple. Concernant le port, le plus souvent c’est le 51820 qui est utilisé, mais vous pouvez tout à fait le changer, pour rappel c’est un port UDP.
Vous pouvez ensuite cliquer sur « Add a New client » pour ajouter un utilisateur. Ajouter le nom de votre utilisateur, puis cliquez sur « Download Profile », pour terminer cliquez sur « Create User ».
Si nécessaire, vous pouvez maintenant affiner la configuration de votre VPN en sélectionnant « Manual » dans les options avancées. Ce qui vous permettra de changer le sous réseau de votre VPN, mais également d’ajouter les serveurs DNS que vous souhaitez. Terminer la configuration en cliquant sur « Apply Changes« .
Votre serveur VPN est maintenant configuré. Garder au chaud le profil téléchargé précédemment. C’est ce fichier qui vous permettra de vous connecter avec le client.
Installation et configuration du client WireGuard
Nous y voilà ! Nous allons maintenant installer le client WireGuard. C’est une des différences avec un VPN classique tel que le L2TP qui lui est déjà inclus dans Windows, macOS ou encore sur votre smartphone. Nous allons ici avoir besoin d’installer l’application WireGuard.
Télécharger WireGuardJe n’expliquerai pas ici comment installer le client puisqu’il ni a rien de sorcier. Une fois le client installé, il est nécessaire d’importer votre profil précédemment télécharger depuis l’application Network de votre UDM Pro SE.
Cliquez sur Activer pour lancer la connexion VPN.
Vous pouvez éditer le Endpoint si vous avez une adresse ip dynamique via un dynDNS par exemple.
Adaptez votre pare-feu en conséquence
Attention, par défaut, votre nouveau réseau VPN aura accès à l’ensemble de votre réseau. Si pour des besoins spécifiques vous n’avez besoin que d’accès à quelques devices ou VLAN, alors configurer votre firewall en conséquence.
Dans mon cas, j’ajoute un blocage de ce nouveau réseau sur l’ensemble de mes VLANs, cependant, je l’autorise ensuite à se connecter à quelques IP tels que mon home assistant, serveur NAS, ect…
Pour cela je vais créer une première règle de firewall pour bloquer tous les clients de mon VPN à accéder à l’ensemble de mes VLANs, nous utiliserons ici les réseaux de la RFC1918 que j’ai déjà présentée dans un précédent article.
Merci pour le tuto mais je préfère la version L2TP/IPSEC qui est native sur Windows et MacOS. (Bien aidé en cas d’UDM en DMZ)
Un grand merci pour tes magnifiques vidéos, fier admirateur de ton travail sur ce blog !
Grand merci ! 🙏
bonjour,
Merci pour votre. article.
Je suis d’accord le WireGuard me semble plus sécurisé et rapide… même que l’openvpn.
Est-il possible de connecter un UDM en tant que client sur le serveur UDM PRO Wireguard.
L’idée serait de connecter plusieurs UDM au serveur et ainsi de monter du multi site.
Avec un site A (serveur) et 2 sites B et C clients, cela me permettrait de faire communiquer B et C sans être obligé de faire 50 VPN sites à sites.
Merci.
Bonsoir,
Merci pour le tuto.
Pour ma part ça ne fonctionne pas avec le double NAT et la box NB6 de chez SFR. A tester en DMZ…
Si quelqu’un a une solution :-)
Bonne soirée à tous
Hello
En faisant du PAT depuis la box ça fonctionne pas ? perso j’ai redirigé tout le trafic en entrée de la box depuis les ports 500 et 4500 (TCP/UDP) vers l’UDM et ensuite le UDM gère.
Bonsoir,
Bravo pour tout le travail dans les vidéos.
Plus performant et simple à mettre en place mais dommage de ne pas gérer les FQDN pour mettre un nom de domaine en entrée de serveur quand nous avons une adresse dynamique, obligé d’utiliser le L2TP :(
Idem pour l’UDM avec le DDNS il ne va pas récupérer l’@IP du WAN de la box mais son @IP LAN privé donc inutilisable :(
Salut. Merci poir ce tuto très clair et facile.
J’ai mis en place wireguard sur mon udm se, cela fonctionne, mais c’est d’une lenteur incroyable. Y a t il des paramètres qui ralentiraient le debit ? J’ia une freebox delta en entrée sur laquelle j’ai activée la dmz sur l’udm.
J’ai une fibre qui tourne très bien. Lais dès que je connecte avec wireguard, j’ai un très mauvais debit .
Merci beaucoup.
Je confirme, sur mon UDMpro, OpenVPN est plus rapide que Wireguard, quasiment du simple au double en terme de débit U/D.
Bonjour,
Est ce que quelqu’un peut m’éclaircir un point svp.
Si un hacker parvient à récupérer le fichier de profil d’un utilisateur et sachant qu’il n’y a pas de mot de passe à saisir, il pourrait donc se connecter à notre réseau sans difficulté et se faire passer pour l’utilisateur ?
Qu’est ce que vous en pensez ?