Skip to main content

Configuration Serveurs

Serveur Albi & Marseille

# =============================================================================
# WireGuard — Serveur physique Albi & Marseille (Spoke)
# Fichier : /etc/wireguard/wg0.conf  (ou monté dans le conteneur Docker)
# IP WireGuard : 10.0.0.3/24
# Rôle : spoke du mesh + exit node Albi ou Mrs + Portainer Agent + sauvegardes
# =============================================================================
#
# PRÉREQUIS SUR LA BOX :
#   1. Port forwarding UDP 51820 → IP_LOCALE_SERVEUR_ALBI (ex: 192.168.2.100)
#      (dans l'interface admin de la box)
#   2. Route statique pour l'accès LAN via VPN :
#      Destination : 10.0.0.0/24 — Passerelle : 192.168.2.100 (IP locale du serveur)
#      Même logique que pour Marseille : sans cette route, les appareils
#      du LAN d'Albi ne peuvent pas répondre aux clients VPN.
#
# GÉNÉRATION DES CLÉS :
#   wg genkey | tee /etc/wireguard/privatekey | wg pubkey > /etc/wireguard/publickey
#
# =============================================================================

[Interface]
Address = 10.0.0.3/24
ListenPort = 51820
PrivateKey = <CLE_PRIVEE_ALBI>

# Même configuration de routage que Marseille.
# Permet à Albi d'être un exit node (IP publique = box Albi)
# et de rendre son LAN accessible aux clients VPN connectés à Albi.
PostUp   = iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE; \
           iptables -A FORWARD -i wg0 -j ACCEPT; \
           iptables -A FORWARD -o wg0 -j ACCEPT; \
           sysctl -w net.ipv4.ip_forward=1
PostDown = iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE; \
           iptables -D FORWARD -i wg0 -j ACCEPT; \
           iptables -D FORWARD -o wg0 -j ACCEPT


# =============================================================================
# PEER : VPS OVH (hub du mesh)
# =============================================================================
[Peer]
PublicKey = <CLE_PUBLIQUE_OVH>
Endpoint = <IP_PUBLIQUE_OVH>:51820

# AllowedIPs : symétrique à la config Marseille, miroir exact
#   10.0.0.1/32    → IP WireGuard d'OVH
#   10.0.0.10/32   → Clients exit-node OVH
#   10.0.0.40/32   → Clients réseau privé seul
#
#   Les clients exit-node Marseille (10.0.0.20/32) ne sont PAS listés ici :
#   leur trafic retour passe par le tunnel direct Albi↔Marseille, pas par OVH.
AllowedIPs = 10.0.0.1/32, 10.0.0.10/32, 10.0.0.40/32

PersistentKeepalive = 25


# =============================================================================
# PEER : Serveur Marseille (connexion directe P2P)
# Tunnel direct Albi ↔ Marseille pour les sauvegardes.
# Le trafic rsync entre 10.0.0.2 et 10.0.0.3 ne touche jamais OVH :
# il est chiffré par WireGuard et va directement d'une box à l'autre.
# =============================================================================
[Peer]
PublicKey = <CLE_PUBLIQUE_MRS>
Endpoint = <IP_PUBLIQUE_MRS>:51820

# AllowedIPs :
#   10.0.0.2/32       → IP WireGuard du serveur Marseille
#   192.168.1.0/24    → LAN local de Marseille (accessible depuis Albi)
AllowedIPs = 10.0.0.2/32, 192.168.1.0/24

PersistentKeepalive = 25


# =============================================================================
# PEER : Client exit-node Albi (profil albi-exitnode)
# =============================================================================
[Peer]
PublicKey = <CLE_PUBLIQUE_CLIENT_ALBI_1>
AllowedIPs = 10.0.0.30/32


# =============================================================================
# PEER : Client LAN Albi (profil albi-lan — peut être le même appareil
# avec un profil client différent, ou un appareil distinct)
# =============================================================================
# [Peer]
# PublicKey = <CLE_PUBLIQUE_CLIENT_ALBI_LAN>
# AllowedIPs = 10.0.0.31/32

No comments to display

Back to top