Serveur VPN sur RaspPi avec Wireguard qui ne donne pas accès au réseau local

Pavel37 · 03 mars 2023, 20:07

Bonjour à tous,

Voilà le postulat de base, chez moi j'ai un Raspberry Pi 1, sur 5.15.84 basé sur une Debian Bulleyes (11), avec une IP fixe en 192.168.X.001 sur lequel je veux monter un VPN avec Wireguard.
J'ai un un second "serveur" Klipper (Os Linux, basé sur une Ubuntu) qui a comme IP 192.168.X.002, qui a aussi une interface web (controle de mon imprimante 3D par ce biais la).

Je souhaite accéder à mon serveur sur lequel est mon VPN, ainsi que sur le Klipper (192.168.X.002) depuis mon PC avec Wireguard.

J'ai donc configuré un UFW sur mon RaspBerry PI, sur lequel j'ai autorisé les IP de mon réseau VPN (192.168.111.YYY), ainsi que les IPs local (192.168.X.0/24).

Code : Tout sélectionner

#Adresse réseau local
-A ufw-before-forward -s 192.168.X.0/24 -j ACCEPT
-A ufw-before-forward -d 192.168.X.0/24 -j ACCEPT
#Adresse VPN
-A ufw-before-forward -s 192.168.111.0/24 -j ACCEPT
-A ufw-before-forward -d 192.168.111.0/24 -j ACCEPT

J'ai configuré mon Wireguard de cette façon :

Code : Tout sélectionner

[Interface]
Address = 192.168.111.122/24
SaveConfig = true
ListenPort = MON PORT
PrivateKey = MA CLE PRIVE DE MON SERVEUR VPN RASP

[Peer]
PublicKey = MA CLE PUBLIC DE MON WIRE GUARD SUR PC
AllowedIPs = 192.168.111.2/32
Endpoint = MON ENDPOINT PC

Coté Client Wireguard cela est configuré de la façon suivante :

Code : Tout sélectionner

[Interface]
PrivateKey = MA CLE PRIVE DE MON WIRE GUARD SUR PC
Address = 192.168.111.2/24

[Peer]
PublicKey = MA CLE PUBLIC DE MON SERVEUR VPN RASP
AllowedIPs = 192.168.111.122/32
Endpoint = MON ENDPOINT RASP

Cela fonctionne, mais qu'à moitié.
En effet je peux me connecter au VPN, et le client et le serveur dialogue. Si je fais du SSH j'accède à mon Rasp, que ce soit avec son adresse "du VPN" ( 192.168.111.122) ou que ce soit avec son IP "Locale" (192.168.X.001). Cependant, je n'accède pas, même en SSH à mon "Klipper" sur son IP locale (192.168.X.002). En revanche si j'utilise mon Rasp comme "rebond" je peux me connecter "en local" sur mon klipper (mais j'ai envi de dire que ça me semble normal).

Je précise que "MON PORT" est bien ouvert vers le Rasp (192.168.X.001) sur ma box.

Auriez vous une idée de comment je pourrais accéder à mon klipper directement (via le VPN), comme je le fais pour mon RASP, idéalement sans avoir à installer un client "Wireguard" dessus ?

Merci d'avance

03 mars 2023, 23:45

Vérifier que le forwarding est activé sur le RaspPi qui est censé faire office de routeur.
Vérifier les tables de routage de toutes les machines impliquées. Penser aux chemins aller et retour.
Vérifier les règles de filtrage sur toutes les machines impliquées.

Pavel37 · 05 mars 2023, 09:41

Bonjour,

Merci pour ta réponse.
Le forwarding est bien activé.

Concernant le reste je ne suis pas sur de comprendre (le réseau n'est pas ma tasse de thé, donc j'essaie d'apprendre, mais il faut me parler simplement XD).

Mon comportement actuel. Si je monte mon tunnel Wireguard, avec l'une de ces configurations :

Code : Tout sélectionner

[Peer]
AllowedIPs = 192.168.X.0/0

Ou

Code : Tout sélectionner

[Peer]
AllowedIPs = 192.168.111.122/32

Ou

Code : Tout sélectionner

[Peer]
AllowedIPs = 192.168.X.002/32

J'arrive bien à faire du ping vers 192.168.X.001 et 192.168.X.002, mais je n'arrive à faire du SSH que sur 192.168.X.001, et pas sur 192.168.X.002 (chose que je peux faire en rebond depuis le 001 ou en local sans souci). Ce qui semble me faire entendre que la redirection est bonne mais qu'il manque quelques chose, mais je ne sais pas quoi...
Je n'arrive pas non plus à accèder à l'interface web de 192.168.X.002 depuis le navigateur.

J'avoue que je ne comprends pas trop quand tu parles de table de routage, règles de filtrage... Pourrais tu détailler un peu stp ?

Merci d'avance