OPNsense : configurer un tunnel VPN WireGuard

WireGuard établit un tunnel chiffré point à point entre OPNsense et un pair distant.

Prérequis

• OPNsense avec le plugin os-wireguard installé.
• La clé publique du pair distant.

1. Créer l’instance locale

VPN → WireGuard → Instances → + :

Name        : wg0
Listen Port : 51820
Tunnel Address : 10.10.0.1/24

Sauvegarder ; OPNsense génère la paire de clés. Noter la clé publique affichée.

2. Déclarer le pair

Peers → + :

Name        : poste-distant
Public Key  : <cle publique du pair>
Allowed IPs : 10.10.0.2/32

Associer ce pair à l’instance wg0, puis activer le service.

3. Ouvrir le flux et router

• Firewall → Rules → WAN : autoriser UDP 51820 vers WAN address.
• Interfaces → Assignments : assigner l’interface wg0 pour activer le routage et le filtrage.

Vérification

VPN → WireGuard → Status affiche le pair avec un latest handshake récent. Depuis le pair :

ping 10.10.0.1

Dépannage

• Pas de handshake : vérifier l’ouverture UDP 51820 et l’horloge des deux côtés.
• Trafic non routé : l’interface wg0 doit être assignée et autorisée par une règle de pare-feu.
• Allowed IPs trop large : restreindre au strict nécessaire pour éviter le détournement de routes.