Auteur Sujet: wireguard sur réseau mobile B&You (Lu 1116 fois)

dr191 · « **le:** 16 avril 2025 à 09:11:55 »

Bonjour,

J'essaye de faire marcher wireguard sur le réseau BY. Client wireguard sur iphone et serveur wireguard à la maison ( sur un openwrt) dispo en ipv4 et ipv6 fixes.
Le vpn est reputé fonctionnel au moins en ipv4, car j'ai un autre lien vpn opérationnel.

Si j'ai bien compris, le réseau bouygues est en ipv6 only avec DNS 64 et nat64 ( cf https://lafibre.info/ipv6/connectivite-ipv6/ ).
J'ai essayé de faire une config client en ipv4 ou ipv6 mais je ne vois rien sur le serveur, pas de handshake.

Le réseau interne vpn est en ipv4 only. Peut etre c'est la source du pb ?
Ou ca filtre chez BY sur udp ?

Bref, si vous avez un tuto ou des pistes pour déboguer.
Je n'ai rien dans les logs du serveur et le logs sur le client sont peut explicites.

merci à vous

dr191 · « **Réponse #1 le:** 16 avril 2025 à 19:20:17 »

Bon, c'est pas encore complétement fonctionnel, mais c'était un pb de mtu.
En forçant le mtu à 1400 au lieu de 1420 par défaut, ca marche.

J'arrive à faire le handshake en ipv4 ou ipv6, et pinguer l'iphone en ipv4 dans le vpn.
Coté BY, c'est bien du nat64 avec une ipv4 transformée en 64:ff9b::+ipv4

renaud07 · « **Réponse #2 le:** 16 avril 2025 à 20:36:44 »

Salut,

Normalement, la MTU à 1420 est ok pour faire un endpoint en ipv4 ou ipv6. J'ai également un WG en place à 1420 et ça ne pose aucun soucis avec Bouygues (ni Orange d’ailleurs)

Après, il me semble avoir lu ici même qu'à certains endroits du réseau, elle n'était pas à 1500 mais plus basse, t'es peut-être dans ce cas...

Un truc à éviter aussi : le mismatch de MTU entre client et serveur. Sur ma connexion via un routeur 4G, ça le faisait totalement planter et tout le trafic était coupé dès que je voulais envoyer un peu de trafic dessus, alors que ça ne le faisait pas sur les smartphones, assez étrange. J'ai passé une soirée entière à trouver d'où ça venait... jusqu'à ce que je me rende compte que j'avais oublié de modifier la MTU côté serveur.

dr191 · « **Réponse #3 le:** 22 avril 2025 à 18:59:02 »

Re Salut,

Bon j'ai du rater un truc lors lors des mes premiers essais, le mtu à 1400 n'est pas nécessaire. Le 1420 par défaut est fonctionnel autant en ipv4 ou ipv6.
Je suis chez free coté serveur et mtu à 1500 coté wan.

Prochaine étape, avoir du ipv6 dans le vpn. Quelles bonne pratique ou approche préconisez vous ?
Je peux déleguer un préfixe ipv6 global dans le vpn mais est ce la bonne approche ?

renaud07 · « **Réponse #4 le:** 23 avril 2025 à 04:12:48 »

De base, il faut configurer les IPv6 manuellement, comme en IPv4. Si tu veux utiliser le tunnel pour aller sur le net, il faut évidemment un /64 de Free.

Certains ont réussi à avoir de l'autoconf avec du SLAAC, mais j'avoue que j'ai pas tout compris non plus, car il faut modifier les propriétés de l’interface WG car ce n'est pas le fonctionnement attendu par défaut (autoriser le multicast, ajouter une link local...) puis mettre un radvd dessus. D'autres passent par des proxy NDP.

Autant dire que c'est un peu de la bidouille, mais en théorie, ça peut marcher.

J'ai pas encore essayé de mon côté. Pour le moment j'ai juste une conf statique pour mon site-to-site en ULA, et pas de v6 sur les peers directs.

renaud07 · « **Réponse #5 le:** 23 avril 2025 à 17:25:55 »

Après quelques tests il semble que ça ne soit pas facile à mettre en place, vu que pas prévu à la base.

J'ai essayé avec un client android, mais ça ne fonctionne pas, aucune adresse générée. D'après ce que j'ai lu ici : https ://gist.github.com/artizirk/8aad35ee750a4ecc698091781445320d Il faudrait aussi activer le NDP côté client, sauf que c'est impossible sur android, à voir avec un Linux normal où on a la main dessus.

Par contre toute la partie radvd fonctionne après ajout d'une link local. Je vois bien passer les RA en unicast à destination des hôtes renseignés.

Code: [Sélectionner]

~# tcpdump -i wg0 icmp6
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on wg0, link-type RAW (Raw IP), snapshot length 262144 bytes
17:29:47.962741 IP6 fe80::baef:91f2:e509:699d > fe80::40e5:c6b6:3f1c:20da: ICMP6, router advertisement, length 48
17:29:47.962786 IP6 fe80::baef:91f2:e509:699d > fe80::f097:a599:bf5e:61e3: ICMP6, router advertisement, length 48
17:30:03.979195 IP6 fe80::baef:91f2:e509:699d > fe80::40e5:c6b6:3f1c:20da: ICMP6, router advertisement, length 48
17:30:03.979244 IP6 fe80::baef:91f2:e509:699d > fe80::f097:a599:bf5e:61e3: ICMP6, router advertisement, length 48

Code: [Sélectionner]

3: wg0: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000
    link/none 
    inet 172.16.1.1/24 brd 172.16.1.255 scope global wg0
       valid_lft forever preferred_lft forever
    inet6 fe80::baef:91f2:e509:699d/64 scope link 
       valid_lft forever preferred_lft forever

dr191 · « **Réponse #6 le:** 23 avril 2025 à 19:46:33 »

Salut,

Je bricole aussi de mon coté mais pour le moment, rien qui marche.
Je suis parti sur un réseau public ipv6 /64 pour le vpn.
J'arrive à fixer une adresse publique pour la patte serveur du vpn ( adresse pinguable depuis le net) mais rien de plus.

Après, est ce mes limites de compréhension de ipv6, wireguard ou des limites actuelles du serveur vpn, du client iphone, de l'iphone ....

Si je trouve qq chose, je vous tiens au courant.
D'ailleurs, si vous avez une app iphone qui permet de faire un ip a, un traceroute..., sans etre un malware / truc à pub.

renaud07 · « **Réponse #7 le:** 23 avril 2025 à 21:15:19 »

À défaut de pouvoir le faire automatiquement, ça marche bien en manuel par contre.

Choisis un /64 libre, ensuite attribue à l'interface wiregaurd l'adresse ::1 par exemple. Supposons que ton préfixe est 2001:db8:db8:db00::/64

Serveur :

Code: [Sélectionner]

[Interface]
Address = 172.16.1.1/32, 2001:db8:db8:db00::1/128
PrivateKey = private-key
ListenPort = 51820

#ton Iphone
[Peer]
PublicKey = public-key
AllowedIPs = 172.16.1.2/32, 2001:db8:db8:db00::2/128

Client

Code: [Sélectionner]

[Interface]
Address = 172.16.1.2/32, 2001:db8:db8:db00::2/128
PrivateKey = private-key
DNS = ip-freebox
MTU=1420

#Serveur
[Peer]
PublicKey = public-key
Endpoint = ton-ip-publique:51820 
AllowedIPs = 172.16.1.0/24, 192.168.1.0/24, ::/0

Ensuite sur la Freebox, il faut mettre une route statique pour le préfixe choisi, en renseignant la link local du serveur côté LAN dans le nexthop.

Avec cette config, le trafic ipv4 passe hors tunnel, excepté le LAN et tout l'IPv6 est redirigé dedans

renaud07 · « **Réponse #8 le:** 25 avril 2025 à 01:57:26 »

Je ne sais pas ce que j'avais fait de travers hier, mais ça y est, le SLAAC fonctionne sur une interface Wireguard et sur un client android !

Serveur :

Code: [Sélectionner]

#Serveur
[Interface]
Address = 172.16.1.1/24, fe80::1/64, prefix-public::1/64
PrivateKey = private-key
ListenPort = 51820

#Android
[Peer]
PublicKey = public-key
AllowedIPs = 172.16.1.2/32, fe80::f097:a599:bf5e:61e3/128, prefix-public::/64

Client :

Code: [Sélectionner]

[Interface]
Address = 172.16.1.2/32, fe80::f097:a599:bf5e:61e3/128
PrivateKey = private-key
DNS = dns-freebox
MTU=1420

#Serveur
[Peer]
PublicKey = public-key
Endpoint = ip-publique:51820
AllowedIPs = 172.16.1.0/24, 192.168.1.0/24, ::/0

radvd.conf :

Code: [Sélectionner]

interface wg0 {
    AdvSendAdvert on;
    IgnoreIfMissing on;
    #UnicastOnly on;
    prefix prefix-public::/64 {
        AdvOnLink on;
        AdvAutonomous on;
    };
    clients {
        fe80::f097:a599:bf5e:61e3;
    };

};

Et toujours la route statique sur le routeur/freebox.

dr191 · « **Réponse #9 le:** 25 avril 2025 à 09:45:31 »

Merci pour votre support.
J'ai réussi à faire marché la bete en ip statique ipv6. J'ai l'impression que le client iphone est plus pointilleux sur les masques de réseau.

Je creuse ca ce WE et ferai un retour sur base openwrt + iphone.