Skip to content

MAJ du 9 mars 2025

Installation de wireguard :

sudo apt install wireguard
cd /etc/wireguard
umask 077; wg genkey | tee privatekey | wg pubkey > publickey
touch /etc/wiregurad/wg0.conf

Contenu du fichier /etc/wireguard/wg0.conf

## Set Up WireGuard VPN on Debian By Editing/Creating wg0.conf File ##
[Interface]
## My VPN server private IP address ##
Address = 192.168.100.1/23

## My VPN server port ##
ListenPort = 51194

## VPN server's private key i.e. /etc/wireguard/privatekey ##
PrivateKey = NOTREPRIVATEKEY_ICI

## Save and update this config file when a new peer (vpn client) added ##
SaveConfig = true

Puis

sudo systemctl enable wg-quick@wg0
sudo systemctl start wg-quick@wg0

Ajouter un peer wireguard

generer une paire de clefs (1ere ligne clef privee deuxieme ligne clef publique):

wg genkey |tee keypair1 | wg pubkey >>keypair1 ; cat keypair1 ; rm keypair1

ajouter un peer dans la liste des peers authorises par le serveur :

wg set wg0 peer "Zr/hG2mqqtO7SjMxcZfj5ZpPFDME/nr8EiP6eAP35yo=" allowed-ips 192.168.100.2/32
systemctl restart wg-quick@wg0.service

Le restart du service permet d inscrire directement la conf dans le fichier /etc/wireguard/wg0.conf

firewalll

Pour forwarder le traffic entre peers wireguard il a fallu rajouter cette regle :

iptables  -A FORWARD    -s 10.133.0.1/16 -j ACCEPT
sysctl -w net.ipv4.ip_forward=1  #pour activer le forwarding.

Décommenter la ligne : net.ipv4.ip_forward=1 dans /etc/sysctl.conf pour que le forward survive au reboot

Modification de /etc/nftables.conf

Ajouté dans /etc/nftables.conf, non testé au reboot pour l instant 14 mars 2025

table ip filter {
        chain FORWARD {
                ip saddr 10.133.0.0/16 accept
        }

}

Mettre à jour la passerelle mikrotik

upgrader d abord avec le canal stable de 6.4X vers le derniere version (6.48.XX ou ulterieur) (le bouton d upgrade est facilement trouvable dans l interface simplifiée .

Le fichier est d'abord telechargé l'upgrade est realisee apres un reboot.

Une fois upgradé a la derniere version des series 6.XX enlever le paquet lora (section system packages > choisir le paquet lora et faire uninstall) ET REBOOTER !

Revenir dans l onglet upgrage , choisir le canal de mise a jour nommé upgrade , c est là que se trouvent les images de routerOS V7.XX. upgrader le routeur apres l upgrade il faut reinstaller les packages iot et lora , qui se trouvent dans le zip : https://download.mikrotik.com/routeros/7.18.2/all_packages-mipsbe-7.18.2.zip

l upgrade d un package se fait en allant dans la section files, et en uploadant les deux packages. le prochain reboot du routeur installera ces deux packages, vous aurez alors disponible une nouvelle section dans le panneau de gauche : IOT.

Accès ssh par clef publique aux mikrotik

#ssh admin@10.133.0.2 "/file print file=mykey.txt; file set mykey.txt contents=\"`cat ~/.ssh/id_ed25519.pub`\";/user ssh-keys import public-key-file=mykey.txt;/ip ssh set always-allow-password-login=yes"
ssh admin@10.133.0.2 "/file print file=mykey; file set mykey.txt contents=\"`cat ~/.ssh/id_ed25519.pub`\";/user ssh-keys import public-key-file=mykey.txt;/ip ssh set always-allow-password-login=yes"

Inspiré de : https://superuser.com/questions/1670773/how-can-i-add-my-ssh-public-key-to-a-mikrotik-router-device-using-the-command-li