« WireGuard et les Allowed IPs » : différence entre les versions

Les Allowed IPs sont un élément essentiel de la configuration d'un tunnel VPN avec WireGuard.

Ce paramètre est nécessaire pour chacun des pairs et joue un double rôle, en entrée et en sortie pour les paquets qui transitent par le tunnel.

WireGuard fonctionne comme une interface réseau (ex: wg0), et pour lui :

📤 Un paquet sortant est un paquet qui passe par l’interface WireGuard pour être chiffré et envoyé à un pair distant.

📥 Un paquet entrant est un paquet chiffré reçu, qui est déchiffré, puis injecté dans l’interface (et donc dans le système).

Les Allowed IPs jouent donc un double rôle dans WireGuard :

🎯 Routage des paquets sortants (de notre système) : on regarde la destination des paquets pour savoir si le peer est approprié ; donc l'adresse de destination doit être contenue dans les IP autorisées. S'il y a plusieurs peers dans l'interface cela peut permettre de choisir le bon.

🚦 Filtrage des paquets entrants (dans notre système) : on regarde si le paquet qui arrive dans l'interface est autorisé, au sens de sa destination. Si ce paquet est autorisé alors on peut le décrypter et lui faire poursuivre sa route. Sinon il est rejeté.

C'est toujours l'adresse de destination qui est analysée, quelle que soit l'adresse d'origine.