Comment configurer Wireguard VPN sur Omada Gateway

Knowledgebase
Configuration Guide
VPN
11-06-2024

Contenu

Comment configurer Wireguard VPN sur Omada Gateway

Objectif

Introduction

Configuration du VPN Wireguard site à site via l'interface Web en mode autonome

Configuration du VPN Wireguard client-site via l'interface Web en mode autonome

Configuration du VPN Wireguard site à site via le contrôleur Omada

Configuration du VPN Wireguard client-site via le contrôleur Omada

Conclusion

FAQ

 

Objectif

Cet article présente comment configurer Wireguard VPN sur une passerelle Omada.

Introduction

Wireguard VPN peut établir une connexion numérique entre un ordinateur et un serveur distant appartenant au fournisseur VPN, créant ainsi un tunnel point à point qui crypte les données personnelles, masque les adresses IP et vous permet de contourner les blocages de sites Web et les pare-feu sur Internet. En utilisant Wireguard VPN, vous bénéficierez d'une expérience réseau privée, protégée et sécurisée. En tant que nouveau type de protocole VPN, Wireguard VPN fonctionne au niveau de la couche noyau et fournit une solution VPN efficace, sécurisée, simple et moderne. Wireguard VPN utilise une technologie de cryptage puissante pour garantir la sécurité des données et assurer une transmission rapide. Avec tous ces éléments, Wireguard VPN offre de nombreux avantages par rapport aux protocoles VPN traditionnels, notamment des mécanismes de cryptage et d'authentification efficaces, une conception de protocole légère, une configuration et une gestion faciles à utiliser et des vitesses de transmission rapides.

Configuration du VPN Wireguard site à site via l'interface Web en mode autonome

Wireguard VPN peut être utilisé dans des scénarios de site à site entre deux routeurs et convient à des scénarios tels que l'accès mutuel entre les périphériques du réseau local aux deux extrémités du routeur. Suivez les étapes ci-dessous :

Étape 1. Configurer le serveur Wireguard

Accédez à VPN > Wireguard et cliquez sur Ajouter sur le côté droit pour configurer l'interface Wireguard. Spécifiez le Nom et laissez MTU et Port d'écoute par défaut s'il n'y a pas d'exigence particulière, ainsi que Clé privée et Clé publique . Renseignez l'adresse IP virtuelle de l'interface Wireguard dans l'Adresse IP locale , qui doit être une adresse IP inoccupée ou une adresse IP en dehors du segment LAN. Cliquez ensuite sur OK et copiez la Clé publique .

La configuration du serveur VPN Wireguard.

Étape 2. Configurer le client Wireguard

La configuration de l'interface Wireguard sur le client est la même que sur le serveur. Reportez-vous à l'étape 1.

Étape 3. Configurer le serveur homologue

Accédez à VPN > Wireguard , accédez à la section Pairs et cliquez sur Ajouter pour démarrer la configuration. Sélectionnez l'interface configurée à l'étape 1 ; renseignez la clé publique de l'interface Wireguard sur le client dans Clé publique ; laissez le point de terminaison et le port du point de terminaison vides ; renseignez le segment de réseau qui nécessite une communication VPN, c'est-à-dire le segment LAN sur le client dans Adresse autorisée . Cliquez ensuite sur OK .

La configuration des homologues du serveur VPN Wireguard.

Étape 4. Configurer le pair client

Par rapport à la configuration du serveur homologue à l'étape 3, la configuration du client homologue est légèrement différente : pour Clé publique , renseignez la Clé publique de l'interface Wireguard sur le serveur ; pour Point de terminaison et Port du point de terminaison , renseignez l'IP WAN du routeur homologue et le port de l'interface Wireguard (la valeur par défaut est 51820). Dans le scénario site à site, si les WAN des deux routeurs utilisent des adresses IP publiques, le Point de terminaison et le Port du point de terminaison ne sont nécessaires que pour une seule extrémité ; c'est-à-dire qu'une extrémité doit initier activement la connexion. Veuillez noter que si un routeur est situé derrière NAT, ce routeur doit servir de client.

La configuration des homologues du client VPN Wireguard.

Étape 5. Vérifier l'état

Le tunnel VPN sera établi lorsque les deux homologues seront configurés. Vous pouvez désormais voir les informations du tunnel correspondant dans la barre d'état, notamment les octets TX, les octets RX, les paquets TX, les paquets RX et la dernière connexion.

Vérifiez l’état du VPN sur la page Web autonome.

Configuration du VPN Wireguard client-site via l'interface Web en mode autonome

Wireguard VPN peut également être utilisé dans des scénarios client-à-site entre clients et routeurs. Il convient aux voyageurs d'affaires ou au personnel temporaire travaillant à distance depuis le siège social via des téléphones portables ou des ordinateurs. En prenant le client VPN Omada comme exemple, vous pouvez suivre les étapes ci-dessous pour configurer le VPN Wireguard client-à-site.

Étape 1. Configurer le serveur Wireguard

Accédez à VPN > Wireguard et cliquez sur Ajouter pour configurer l'interface Wireguard. Spécifiez le Nom et laissez MTU et Port d'écoute par défaut s'il n'y a pas d'exigence particulière, ainsi que la Clé privée et la Clé publique . Renseignez l'adresse IP virtuelle de l'interface Wireguard dans l'Adresse IP locale , qui doit être une adresse IP inoccupée ou une adresse IP en dehors du segment LAN. Cliquez ensuite sur OK et copiez la Clé publique .

La position pour configurer Wireguard dans la page Web autonome, y compris le nom/MTU/port d'écoute/clé privée/clé publique/adresse IP locale/état.

Étape 2. Configurer le client VPN Omada

Download the Omada VPN client from TP-Link's official website to your PC. Click the link Download for ER7206 | TP-Link for example. Then, launch the client and click Add.

Utilisez le client VPN Omada pour ajouter un serveur VPN.

Server Information:

Type: Wireguard VPN; IP: the WAN IP of the peer router, Port: 51820 (fill in the port number if it is not the default value); Public Key: Public Key copied in Step 1.

Remplissez les informations du serveur, y compris le nom du profil/type/IP/clé publique.

IP Property:

IP Address is the interface IP address. It is recommended not to use the IP address in the same network segment as DHCP to avoid IP conflicts.

Remplissez la propriété IP, y compris l'adresse IP/le port.

 

Click Generate to generate the Public Key of the client and copy this Public Key. For DNS, fill in 8.8.8.8 or a specific DNS.

Cliquez sur Générer et copiez votre clé publique.

In the Advanced Options section, Full VPN Traffic is enabled by default, indicating that all client traffic will be forwarded through the VPN tunnel, which is the most common scenario. If needed, you can disable Full VPN Traffic and fill in the LAN IP resources that need to be accessed in Remote Subnets. Then click Confirm.

Step 3. Configure the Server Peer

Go to VPN > Wireguard, enter the Peers section, and click Add to start configuration. Select the Interface configured in Step 1; fill in the Public Key of the Wireguard interface on the client in Public Key; leave Endpoint and Endpoint Port as blank; fill in the network segment that needs VPN communication, that is, the LAN segment on the client in Allowed Address. Then click OK.

La configuration des homologues du serveur VPN Wireguard.

 

Step 4. Check Status

Click the connect icon to trigger the VPN link.

Cliquez sur l'icône de connexion dans le client VPN Omada pour déclencher le lien VPN.

 

After the tunnel is successfully established, the server status bar will display the corresponding tunnel information, including TX Bytes, RX Bytes, TX Packets, RX Packets, and Last Handshake.

Vérifiez l’état du VPN sur la page Web autonome.

 

Configuration of Site-to-Site Wireguard VPN via Omada Controller

Wireguard VPN can be used in site-to-site scenarios between two routers. It is suitable for scenarios such as mutual access between devices in the LAN at both ends of the router. Follow the steps below:

Step 1. Configure the Wireguard Server

Go to Settings > VPN > Wireguard, and click Create New Wireguard to configure the Wireguard interface. Specify the Name, and leave MTU and Listen Port as default if there is no special requirement, so do Private Key and Public Key. Fill in the virtual IP of the Wireguard interface in the Local IP Address, which should be an unoccupied IP or an IP outside the LAN segment. Then click Apply and copy the Public Key.

Créez un nouveau Wireguard.

 

La position pour configurer Wireguard dans la page Web du contrôleur, y compris le nom/l'état/le MTU/le port d'écoute/l'adresse IP locale/la clé privée.

 

Step 2. Configure the Wireguard Client

The Wireguard interface configuration on the client is the same as on the server. Refer to Step 1.

Step 3. Configure

Go to Settings > VPN > Wireguard, enter the Peers section, and click Create New Peer to start configuration. Select the Interface configured in Step 1; fill in the Public Key of the Wireguard interface on the client in Public Key; leave Endpoint and Endpoint Port as blank; fill in the network segment that needs VPN communication, that is, the LAN segment on the client in Allowed Address. Then click Apply.

La position pour configurer les homologues dans la page Web du contrôleur, y compris le nom/l'état/l'interface/la clé publique/le point de terminaison/le port du point de terminaison/l'adresse autorisée/la clé pré-partagée/la conservation persistante/le commentaire.

Step 4. Configure the Client Peer

Compared with the server peer configuration in Step 3, the client peer configuration is slightly different: for Public Key, fill in the Public Key of the Wireguard interface on the server; for Endpoint and Endpoint Port, fill in the WAN IP of the peer router and the Wireguard interface port (the default is 51820). In the site-to-site scenario, if the WANs of both routers use public IP addresses, then the Endpoint and Endpoint Port are needed for only one end; that is, one end needs to initiate the connection actively. Please note that if one router is located behind NAT, that router shall serve as the Client.

La configuration des homologues du client VPN Wireguard.

Step 5. Check Status

The VPN tunnel will be established when both peers are configured. Go to Insight > VPN Status > Wireguard VPN, and you can see the corresponding tunnel information displayed, including Statistics and Last Handshake.

Vérifiez l’état du VPN dans État du VPN.

Configuration of Client-to-Site Wireguard VPN via Omada Controller

Wireguard VPN can also be used in client-to-site scenarios between clients and routers. It is suitable for business travelers or temporary staff working remotely from the headquarters via mobile phones or computers. Taking the Omada VPN client as an example, you can follow the steps below to configure the Client-to-Site Wireguard VPN.

Étape 1. Configurer le serveur Wireguard

Accédez à Paramètres > VPN > Wireguard et cliquez sur Créer un nouveau Wireguard pour configurer l'interface Wireguard : spécifiez le Nom et laissez MTU et Port d'écoute par défaut s'il n'y a pas d'exigence particulière, ainsi que Clé privée et Clé publique . Renseignez l'adresse IP virtuelle de l'interface Wireguard dans l'Adresse IP locale , qui doit être une adresse IP inoccupée ou une adresse IP en dehors du segment LAN. Cliquez ensuite sur Appliquer et copiez la Clé publique .

Créez un nouveau Wireguard.

 

La position pour configurer Wireguard dans la page Web du contrôleur, y compris le nom/l'état/le MTU/le port d'écoute/l'adresse IP locale/la clé privée.

Étape 2. Configurer le client VPN Omada

Téléchargez le client VPN Omada sur votre PC depuis le site officiel de TP-Link. Cliquez sur le lien Télécharger pour ER7206 | TP-Link par exemple. Ensuite, lancez le client et cliquez sur Ajouter .

 

Utilisez le client VPN Omada pour ajouter un serveur VPN.

Informations sur le serveur :

Type : VPN Wireguard ; IP : l'IP WAN du routeur homologue, Port : 51820 (renseignez le numéro de port s'il ne s'agit pas de la valeur par défaut) ; Clé publique : Clé publique copiée à l'étape 1.

Remplissez les informations du serveur, y compris le nom du profil/type/IP/clé publique.

Propriété IP :

L'adresse IP est l'adresse IP de l'interface. Pour éviter les conflits IP, il est recommandé de ne pas utiliser l'adresse IP dans le même segment réseau que DHCP.

Remplissez la propriété IP, y compris l'adresse IP/le port.

 

Cliquez sur Générer pour générer la clé publique du client et copier cette clé publique. Pour DNS , renseignez 8.8.8.8 ou un DNS spécifique.

Cliquez sur Générer et copiez votre clé publique.

 

Dans la section Options avancées , le trafic VPN complet est activé par défaut, ce qui indique que tout le trafic client est transféré via le tunnel VPN, ce qui est le scénario le plus courant. Si nécessaire, vous pouvez désactiver le trafic VPN complet et renseigner les ressources IP LAN auxquelles il faut accéder dans Sous-réseaux distants . Cliquez ensuite sur Confirmer .

Étape 3. Configurer le serveur homologue

Accédez à Paramètres > VPN > Wireguard , accédez à la section Pairs et cliquez sur Créer un nouveau pair pour démarrer la configuration. Sélectionnez l'interface configurée à l'étape 1 ; renseignez la clé publique de l'interface Wireguard sur le client dans Clé publique ; laissez le point de terminaison et le port du point de terminaison vides ; renseignez l'adresse IP de l'interface du client VPN à l'étape 2 dans Adresse autorisée . Cliquez ensuite sur OK .

La position pour configurer les homologues dans la page Web du contrôleur, y compris le nom/l'état/l'interface/la clé publique/le point de terminaison/le port du point de terminaison/l'adresse autorisée/la clé pré-partagée/la conservation persistante/le commentaire.

Étape 4. Vérifier l'état

Cliquez sur l'icône de connexion pour déclencher le lien VPN.

Cliquez sur l'icône de connexion dans le client VPN Omada pour déclencher le lien VPN.

 

Une fois le tunnel établi avec succès, les informations correspondantes sur le tunnel, y compris les statistiques et la dernière négociation, s'affichent dans Insight > État du VPN > Wireguard VPN .

Vérifiez l’état du VPN dans État du VPN.

Conclusion

Vous avez maintenant configuré Wireguard VPN sur la passerelle Omada. Profitez de votre réseau !

 

Pour en savoir plus sur chaque fonction et configuration, rendez-vous sur le Centre de téléchargement pour télécharger le manuel de votre produit.

FAQ

1. Comment puis-je vérifier si un tunnel est établi avec succès ?

Re. Sur l'interface Web en mode autonome, la barre d'état enregistre le trafic de liaison montante et descendante en temps réel et la dernière négociation. Sur l'interface de gestion du contrôleur, vous pouvez accéder à Insight > État du VPN > VPN Wireguard pour afficher le trafic de liaison montante et descendante en temps réel et la dernière négociation. Le trafic de liaison montante et descendante ainsi que l'heure de négociation mise à jour en temps opportun indiquent une réussite.

2. Pourquoi la communication échoue-t-elle même si le tunnel a été établi avec succès ?

Ré. Ce problème peut être dû à une configuration incorrecte de l'adresse autorisée. L'adresse autorisée indique la plage d'adresses qui doit passer par le tunnel. Assurez-vous donc que l'adresse de destination de la communication homologue est incluse dans le segment réseau de l'adresse autorisée. De plus, lorsque l'adresse autorisée est configurée sur 0.0.0.0/0, c'est-à-dire que tout le trafic est autorisé à entrer dans le tunnel, l'adresse IP source pendant la communication par tunnel sera convertie en adresse IP locale que vous avez configurée. Assurez-vous donc que l'adresse IP locale se trouve dans l'adresse autorisée du VPN Wireguard homologue.

3. Des VPN de différents types peuvent-ils être créés simultanément ?

Ré. Oui. Le principe est de garantir que toutes les routes des VPN (adresses autorisées dans Wireguard) sont différentes afin que le trafic avec l'adresse de destination correspondante puisse entrer dans le tunnel VPN correspondant.

Veuillez noter ce document

Documents connexes