Tout d’abord, cela nécessite ROS (RouterOS) version 7 minimum.
Dans la suite de cet exemple, j’utilise un hAPac2 avec la v7.15.3
Côté serveur (Mikrotik) :
On commence par aller dans Winbox et de créer l’interface WireGuard en allant dans le menu correspondant et en faisant le « + ».
On peut changer le nom et le port d’écoute (perso je n’ai pas laissé la valeur par défaut 13231).
Cela va créer automatiquement les clés (privées et publiques) :
Cela a donc créé une nouvelle interface « WireGuard1 » dans le Mikrotik.
Il faut donc maintenant lui assigner une adresse IP, on va donc dans IP / Addresses et on ajoute avec le « + » :
Ensuite on ouvre les flux sur le parefeu en allant dans IP / Firewall / Filter Rules.
On fait le « + » et on fait un :
– Chain : input
– Protocol : udp
– Dst Port : 13231 (ou celui que l’on a configuré à la première étape)
– dans l’onglet « Action », on met l’action « accept »
Bien sûr, on pense à remonter cette règle avant les DROP
Ensuite, il faut créer un « Peers », c’est à dire le client qui va se connecter au WireGuard.
Donc on retourne dans WireGuard et dans l’onglet « Peers », on clique sur le « + » :
– Name : le nom du client WireGuard
– Interface : normalement c’est déjà sélectionné avec l’interface WireGuard
– Private Key : auto
– Endpoint Port : le port que l’on a configuré à la première étape (celui que vous avez peut être personnalisé 🙂 )
– Allowed Address : Une IP dans le range de l’interface
– Client Address : idem
– Client Endpoint : le host ou l’IP où sera joignable votre serveur VPN WireGuard (ici, j’utilise le DDNS du Mikrotik)
Une fois validé, on rouvre le Peers, on descend l’ascenseur (scrollbar) jusqu’en bas et on voit apparaitre un QR Code :
Côté client (Android)
On installe l’application WireGuard via le playstore.
On lance l’application et on fait le « + » en bas à droite.
Le plus simple ici, c’est de sélectionner « Importer depuis un QR code »
On flashe le QR Code générait précédemment dans Winbox.
On donne un nom au tunnel.
Le tour est joué, il n’y a plus qu’à cliqué sur le bouton pour se connecter…
Si on retourne dans Winbox, on voit dans Peers les informations de connexion (l’IP WAN du client, le Rx/Tx, etc)
C’est clairement ce que j’ai vu de plus facile à configurer en VPN.
Pour le moment, je ne compte pas abandonner mes connexions OpenVPN mais il est vrai que la création/gestion des certificats et leurs déploiement est moins ‘user friendly’ que ce WireGuard.