WireGuard VPN

Pourquoi ce service

Accéder à tous mes services homelab depuis l'extérieur sans exposer chaque port individuellement — un seul point d'entrée chiffré.

Comment ça marche

VM Debian dédiée sur Proxmox. WireGuard écoute sur UDP/51820. Le client (téléphone, laptop) se connecte au VPN, accède au réseau interne comme s'il était sur place.

[Client] ──UDP 51820──▶ [VM WireGuard] ──▶ [Réseau homelab]
                              │
                         iptables NAT

Config clé

[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = <REDACTED>

PostUp   = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

Points d'attention

• net.ipv4.ip_forward = 1 dans /etc/sysctl.conf — sans ça le trafic ne passe pas
• La VM doit être isolée des autres VMs (pas de bridge partagé sans VLAN)
• Regénérer les clés si un pair est compromis

Commandes utiles

wg show                    # état des pairs connectés
wg-quick up wg0            # démarrer
systemctl status wg-quick@wg0
journalctl -u wg-quick@wg0 -f