Tutoriel : Interconnecter deux réseaux distants avec pfSense et WireGuard

 À l'ère du travail hybride et de la décentralisation des infrastructures, connecter deux réseaux locaux (LAN) distants de manière sécurisée est devenu une compétence essentielle pour tout administrateur réseau ou passionné d'IT.

Aujourd'hui, nous allons voir comment mettre en place un tunnel VPN Site-à-Site entre deux instances pfSense en utilisant le protocole WireGuard. Pourquoi WireGuard ? Pour sa simplicité de configuration, sa légèreté et ses performances supérieures aux protocoles plus anciens comme OpenVPN ou IPsec.

L'architecture cible

L'objectif est simple : permettre aux machines du réseau 192.168.1.0/24 (Site A) de communiquer nativement avec celles du réseau 192.168.2.0/24 (Site B), comme si elles se trouvaient sur le même segment physique.



1. Mise en place du tunnel WireGuard

La première étape consiste à créer le "tuyau" chiffré entre les deux routeurs.

  1. Sur chaque pfSense : Rendez-vous dans VPN > WireGuard > Tunnels et créez une nouvelle interface.


  2. Configuration des Peers : C'est ici que la magie opère. Vous devez échanger les clés publiques. Chaque routeur doit enregistrer l'adresse IP WAN (ou publique) de l'autre routeur, ainsi que son port d'écoute (par défaut 51820).


  3. Keep Alive : Si vos routeurs sont derrière un NAT (fréquent en labo ou en environnement domestique), n'oubliez pas de configurer un Keep Alive de 25 secondes. Cela maintient la table de routage du NAT ouverte en permanence. 

2. Le routage : L'étape souvent oubliée

Le tunnel est monté, mais les paquets ne savent pas encore qu'ils doivent l'emprunter. Par défaut, votre pfSense envoie tout vers la passerelle par défaut (Internet).

Il faut créer une Gateway dédiée pour le VPN :

  • Allez dans System > Routing > Gateways.

  • Créez une nouvelle passerelle pointant vers l'IP de l'autre bout du tunnel (ex: 10.0.0.2).

  • Ensuite, ajoutez une Static Route :

    • Destination : 192.168.2.0/24

    • Gateway : WG_Gateway (celle que vous venez de créer).


3. Les règles de filtrage (Pare-feu)

Le tunnel est ouvert et les routes sont en place. Il ne reste plus qu'à lever les barrières du pare-feu.

Rendez-vous dans Firewall > Rules > [Interface WireGuard]. Par défaut, le trafic entrant est bloqué. Ajoutez une règle Pass autorisant le protocole Any, la source Any et la destination Any.

Note : En production, il est recommandé de restreindre ces règles aux sous-réseaux spécifiques pour une meilleure sécurité.



Conclusion

Une fois ces étapes validées, un simple ping entre les passerelles LAN confirmera la réussite de votre configuration. Vous disposez désormais d'une infrastructure robuste, capable de transporter du trafic de manière chiffrée entre vos sites géographiquement distants.

WireGuard sur pfSense prouve, une fois de plus, qu'il est possible d'allier haute sécurité et simplicité de déploiement.



Cet article t'a aidé ? As-tu rencontré des difficultés spécifiques lors de la mise en place de tes gateways ? N'hésite pas à partager ton expérience en commentaire !

Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

🎵 OnlyAudio : un lecteur audio multiplateforme avec télécommande Android — un projet open‑source pensé pour la simplicité

Image
OnlyAudio : un lecteur audio multiplateforme avec télécommande Android OnlyAudio est un lecteur audio moderne, léger et compatible Windows, macOS et Linux. Il se distingue par une fonctionnalité rare : une télécommande Android permettant de contrôler la lecture à distance via le réseau local. Pourquoi j’ai créé OnlyAudio ? Je voulais un lecteur audio simple, rapide, agréable et surtout pilotable depuis un smartphone . L OnlyAudio Desktop : un lecteur audio moderne Lecture fluide (MP3, FLAC, WAV, OGG, AAC, M4A) Affichage complet des métadonnées Playlist avec shuffle & repeat Barre de progression avec seek précis Contrôle du volume Mode plein écran Interface sombre élégante Dual‑player pre‑buffering pour un changement de piste instantané Installateur Windows avec mise à jour automatique Installation Windows : installeur .exe macOS : archive .zip Linux : AppImage Télécommande Android : contrôler la musique depuis son canapé L’...
Lire la suite

🚀 De VMware à WSL2 : Comment j'ai transformé mon PC en station de hacking pro

Image
Après des semaines à lutter contre la lenteur de VMware, j'ai décidé de tout changer. Voici le récit de ma migration vers **WSL2** et comment ce nouveau setup m'a permis de "poutrer" un lab d'escalade de privilèges en un temps record. ## 🛠 Pourquoi j'ai tué ma machine virtuelle (VM) ? Soyons honnêtes : VMware, c'est lourd. Entre la RAM monopolisée et les bugs d'affichage, mon workflow était cassé.  En passant sur **WSL2**, j'ai récupéré : - Une intégration native avec Windows. - Des performances CPU/RAM dynamiques. - Un terminal ultra-rapide. ## 🏗 La configuration "Guerre Froide" Pour être prêt, j'ai installé la panoplie complète directement dans mon terminal Ubuntu : 1. **WireGuard** pour le tunnel VPN. 2. **Docker & Compose** pour lancer mes labs localement. 3. **Jedha-CLI** pour piloter le tout. *Plus de fenêtres superflues. Juste moi et le shell.* ## 🕵️‍♂️ Étude de cas : La faille SUID Pour tester mon nouveau jouet, j'a...
Lire la suite