WireGuard VPN : configuration serveur avancée et hardening

Ce guide est la suite de notre tutoriel debutant WireGuard. Si vous avez deja un VPN basique qui fonctionne, on va maintenant le transformer en quelque chose de solide, avec une gestion propre de plusieurs appareils, une securite renforcee et des outils de surveillance.

Gerer plusieurs appareils facilement

Quand vous avez un seul appareil connecte a votre VPN, tout est simple. Mais des que vous voulez connecter votre PC, votre telephone, votre tablette et celui de votre conjoint, ca devient vite le bazar si vous faites tout a la main.

La solution, c'est un script de gestion. Un script, c'est un petit programme qui automatise des taches repetitives. Au lieu de taper 10 commandes pour ajouter un nouvel appareil, vous tapez une seule commande et le script fait le reste : il genere les cles, configure le serveur et cree le fichier de connexion pour l'appareil. C'est comme avoir un assistant qui remplit les formulaires a votre place.

Double protection avec la cle partagee

En plus des cles individuelles de chaque appareil, on ajoute une couche de protection supplementaire : une cle pre-partagee, ou PSK. C'est comme avoir un code secret en plus de votre cle. Meme si quelqu'un arrivait a compromettre le systeme de cles principal, il lui faudrait aussi ce code secret pour dechiffrer le trafic. Les experts recommandent cette precaution face aux ordinateurs quantiques du futur, qui pourraient theoriquement casser certains types de chiffrement.

Changer le port par defaut

Par defaut, WireGuard ecoute sur le port 51820. Le probleme, c'est que tous les scanners de securite le savent aussi. C'est comme avoir une porte d'entree avec un panneau "entrez ici". Changer le port, c'est retirer le panneau. Ca n'empeche pas un cambrioleur determine de trouver la porte, mais ca elimine les tentatives automatisees.

Choisir entre tunnel complet et tunnel partiel

Avec un VPN, vous avez deux options. Le tunnel complet fait passer tout votre trafic internet par le VPN. C'est la solution la plus securisee mais ca peut ralentir un peu votre connexion puisque tout fait un detour par le serveur.

Le tunnel partiel ne fait passer que le trafic destine au reseau prive du VPN. Votre navigation web classique passe directement par votre connexion normale. C'est utile quand vous voulez juste acceder a des machines du reseau VPN sans impacter votre vitesse de navigation.

Le coupe-circuit

Que se passe-t-il si votre VPN se deconnecte soudainement ? Sans precaution, votre trafic reprend la route normale, sans protection, et vous ne vous en rendez peut-etre pas compte. C'est la que le coupe-circuit, ou kill switch, intervient. Il bloque tout le trafic internet si le VPN tombe. C'est comme un disjoncteur electrique : plutot que de risquer un court-circuit, il coupe tout.

Surveiller que tout tourne

Un VPN, ca s'entretient. Un petit script de surveillance qui verifie toutes les 5 minutes que le tunnel est bien actif, c'est la base. Si le tunnel tombe, le script le redemarre automatiquement et enregistre l'evenement. C'est l'equivalent d'un gardien de nuit qui fait sa ronde : il ne se passe peut-etre rien, mais s'il y a un probleme, il reagit immediatement.

Depannage : les problemes courants

Le handshake ne se fait pas ? Verifiez que le port est bien ouvert dans le pare-feu. Internet ne marche pas une fois connecte ? Le routage n'est probablement pas actif. Le DNS ne resout pas ? Changez le serveur DNS dans la configuration client. Le debit est lent ? Essayez de reduire le MTU, la taille maximale des paquets de donnees. Chaque probleme a une solution, et la plupart se reglent en une commande.

Pour aller plus loin

Vous pouvez coupler votre VPN avec Pi-hole, un bloqueur de publicites au niveau du reseau, pour que tous les appareils connectes au tunnel beneficient du filtrage. Ou installer votre propre serveur DNS pour ne plus dependre de Google ou Cloudflare. Un VPN personnel, c'est le debut de la reprise de controle sur votre vie numerique.