Bonjour,

Dans un fil précédent (" Tunnel openvpn - comment router tout le trafic dedans ou bien router simultanément le trafic d'un terminal/d'une fenêtre de navigateur/d'un process dans SON propre tunnel? "), j'avais creusé mon exploration de wireguard.
Et on avait aussi échangé sur ma difficulté avec la résolution de noms sur un poste de travail (j'avais été égaré par des pages incomplètes trouvées sur le net, qui m'avait fait installer resolvconf alors que NM, installé d'office avec le DE,
gérait bien la résolution des noms). Et on l'avait résolu. Merci pour ça.

J'ai besoin de diriger correctement tous les flux de chaque machine d'un réseau.
C'est classique pour un expert en réseau !
Mais ce n'est pas commode pour qui gère simplement le réseau de son poste de travail et de son serveur hébergé.

Ce réseau comporte :
- un serveur wireguard : configuré, opérationnel (il y a encore à apprendre mais il fonctionne)
- des clients wireguard : configurés, opérationnels (linux : Ok. iOS : Ok. Win : le client wg pose encore un problème car l'utilisateur n'est pas dans le groupe Administrators, ce qui rend l'UI wg inaccessible), avec tout le trafic envoyé vers le
serveur wg ou seulement une partie (d'après ce que j'ai compris, notammen tvia la directive wg "AllowedIPs")
- mon poste de travail : il se connecte en ssh (22/tcp) ou mosh (60001-60999/udp) à divers serveurs ; son réseau local est géré par NM (car installation d'un DE au moment de l'installation) qui gère aussi la résolution des noms (en générant le
fichier /etc/resolv.conf).
- divers serveurs web
- un serveur proxy en cours de configuration (Squid - apprentissage en cours) Plus tard, p ourront s'y ajouter un service de nom (bind) et un service de messagerie.

Pour réaliser ça, je suis persuadé qu'il faut parfaitement maîtriser les techniques de routage.

Cad le fw de chaque machine client ou serveur (iptables et ufw ; et sans doute aussi le nouveau [ https://www.nftables.org/ | nftables ] qui équiperait désormais debian 12 à la place d'iptables).
Et aussi le serveur proxy (Squid) qui gère les acl et les autorisations sur ces acl.
De plus, le vpn ( wireguard) a un fichier de conf qui comporte des directives (ex : PostUp et PostDown) qui appellent des commandes iptables et ufw, pour créer et supprimer automatiquement des routes.
Ça veut dire que pour maîtriser le routage, il faut comprendre et maîtriser tous ces composants.
Et j'en oublie peut-être.

Or, je connais un peu la syntaxe de iptables et de squid. Je sais aussi qu'il est possible de marquer des paquets pour ensuite les router conditionnellement.
Mais je n'ai jamais configuré de réseau complexe.

Ça concerne d'abord mon poste de travail qui me permet d'accéder à toutes ces machines.
Quand j'utilise un vpn (wireguard, désormais - merci NoSpam), je dois pouvoir finement diriger les flux selon l'application ou le port utilisé (CLI, navigateur, autre).

Ensuite, ça concerne chaque machine cliente (poste de travail) :
Le flux doit être dirigé vers le bon réseau selon l'endroit où elle se trouve (au bureau, à la maison, en mobilité) et le réseau d'interconnexion à internet (4G, WiFi, Ethernet).
- avec/sans vpn
- avec/sans proxy (privé ou commercial)

Il existe plein de manières de faire et d'outils pour un poste de travail :
- soit au niveau de l'application, en particulier au niveau du navigateur (FF propose l'extension Foxy proxy qui permet de choisir divers proxys et d'y ajouter des règles par réseau visé).
- soit au niveau du système complet
- soit à un autre niveau de la machine (que j'ignore)
- soit au niveau du LAN : le routeur peut rediriger automatiquement les flux de toutes les machines du réseau selon sa provenance et sa destination et assurer filtrage/cache (la loi obligerait à en informer les utilisateurs - à vérifier).

Enfin, chaque serveur doit être correctement connecté et routé.


Voici mes deux questions :

1/ Ai-je oublié quelque chose dans ma présentation pour atteindre mon objectif ?
Qu'est-ce qui n'est pas clair ?
Qu'est-ce que je dois encore apprendre ?
(notions : interface, routage d'un réseau à un autre, réseau source/destination, autorisation, acl/autorisation, ...)

2/ Sur le plan pratique, quel ordre dois-je suivre pour écrire les règles de routage sur ce réseau ?
Les outils d'infrastructure envisagés sont iptables/ufw/nftables, wireguard, squid.
J'ai potassé iptables, ufw (qui est simple à utiliser mais génère visiblement des tonnes de règles iptables sous le capot !).
Je découvre nftables, qui propose une commande iptables-translate pour traduire une phrase iptables en phrase nftables.

Puisque nftables est devenu la référence pour debian 12, est-ce que l'on peut tout faire de zéro en nftables ?

J'aimerais bien me lancer à l'eau en respectant les règles connues des habitués et experts réseaux.

Merci.



<html><body><div style="font-family: arial, helvetica, sans-serif; font-size: 12pt; color: #000000"><div><style type="text/css" scoped="">
body {color: #000000; font-size: 10pt; font-family: "SansSerif", sans-serif; }
li { list-style: none; margin: 0; }
p { margin: 0; }

span.l { color: red; font-weight: bold; }

a.mapnode:link,
a.mapnode:visited,
a.mapnode:active,
a.mapnode:hover {
text-decoration: none; color: black;
}
a.mapnode:hover { background: #eeeee0; }

</style></div><div data-marker="__QUOTED_TEXT__" style="font-family: 'arial' , 'helvetica' , sans-serif; font-size: 12pt; color: #000000;" data-mce-style="font-family: 'arial' , 'helvetica' , sans-serif; font-size: 12pt; color: #000000;"><div style="font-
family: 'arial' , 'helvetica' , sans-serif; font-size: 12pt; color: #000000;" data-mce-style="font-family: 'arial' , 'helvetica' , sans-serif; font-size: 12pt; color: #000000;"><div>Bonjour,<br></div><div><br></div><div>Dans un fil précédent ("<span
class="subject" id="zv__CLV-main__CV__header_subject" title="Tunnel openvpn - comment router tout le trafic dedans ou bien router simultanément le trafic d'un terminal/d'une fenêtre de navigateur/d'un process dans SON propre tunnel?">Tunnel openvpn -
comment router tout le trafic dedans ou bien router simultanément le trafic d'un terminal/d'une fenêtre de navigateur/d'un process dans SON propre tunnel?</span><span class="info" id="zv__CLV-main__CV__header_info">"), j'avais creusé mon exploration
de wireguard.</span></div><div><span class="info" id="zv__CLV-main__CV__header_info">Et on avait aussi échangé sur ma difficulté avec la résolution de noms sur un poste de travail (j'avais été égaré par des pages incomplètes trouvées sur le net,
qui m'avait fait installer resolvconf alors que NM, installé d'office avec le DE, gérait bien la résolution des noms). Et on l'avait résolu. Merci pour ça.<br></span></div><div><span class="info"><br></span></div><div><span class="info" id="zv__CLV-
main__CV__header_info">J'ai besoin de diriger correctement tous les flux de chaque machine d'un réseau.</span></div><div><span class="info">C'est classique pour un expert en réseau !</span></div><div><span class="info">Mais ce n'est pas commode pour
qui gère simplement le réseau de son poste de travail et de son serveur hébergé.</span></div><div><span class="info"></span><br></div><div><span class="info" id="zv__CLV-main__CV__header_info">Ce réseau comporte :</span></div><span class="info" id="
zv__CLV-main__CV__header_info">- un serveur wireguard : configuré, opérationnel (il y a encore à apprendre mais il fonctionne)<br></span><div><div><span class="info">- des clients wireguard : configurés, opérationnels (linux : Ok. iOS : Ok. Win : le
client wg pose encore un problème car l'utilisateur n'est pas dans le groupe Administrators, ce qui rend l'UI wg inaccessible), avec tout le trafic envoyé vers le serveur wg ou seulement une partie (d'après ce que j'ai compris, notammen tvia la
directive wg "AllowedIPs")<br></span></div><div><div><span class="info">- mon poste de travail : il se connecte en ssh (22/tcp) ou mosh (60001-60999/udp) à divers serveurs ; son réseau local est géré par NM (car installation d'un DE au moment de l'
installation) qui gère aussi la résolution des noms (en générant le fichier /etc/resolv.conf).<br></span></div><div>- divers serveurs web<br></div></div></div><div><span class="info">- </span><span class="info" id="zv__CLV-main__CV__header_info">un
serveur proxy en cours de configuration (Squid - apprentissage en cours)<br></span></div><div><div><span class="info" id="zv__CLV-main__CV__header_info">Plus tard, p</span><span class="info">ourront s'y ajouter un service de nom (bind) et un service de
messagerie.</span></div><div><br></div></div><div><span class="info">Pour réaliser ça, je suis persuadé qu'il faut parfaitement maîtriser les techniques de routage.</span></div><div><span class="info"></span><br></div><div><span class="info">Cad le
fw de chaque machine client ou serveur (iptables et ufw ; et sans doute aussi le nouveau <a href="https://www.nftables.org/" target="_blank" rel="nofollow noopener noreferrer" data-mce-href="https://www.nftables.org/">nftables</a> qui équiperait dé
sormais debian 12 à la place d'iptables).</span></div><div><span class="info"><span class="info">Et aussi le serveur proxy (Squid) qui gère les acl et</span></span><span class="info"> les autorisations sur ces acl.<br></span></div><div><span class="
info"><span class="info">De plus, le vpn ( wireguard) a un fichier de conf qui comporte des directives (ex : PostUp et PostDown) qui appellent des commandes iptables et ufw, pour</span></span> créer et supprimer automatiquement des routes.<br><span
class="info"><span class="info"></span></span><span class="info"></span></div><div><span class="info">Ça veut dire que pour maîtriser le routage, il faut comprendre et maîtriser tous ces composants.<br></span></div><div><span class="info">Et j'en
oublie peut-être.</span></div><div><span class="info"></span><br></div><div><span class="info">Or, je connais un peu la syntaxe de iptables et de squid. Je sais aussi qu'il est possible de marquer des paquets pour ensuite les router conditionnellement.</
span></div><div><span class="info">Mais je n'ai jamais configuré de réseau complexe.</span></div><div><br></div><span class="info">Ça concerne d'abord&nbsp; mon </span>poste de travail qui me permet d'accéder à toutes ces machines.<div>Quand j'
utilise un vpn (wireguard, désormais - merci NoSpam), je dois pouvoir finement diriger les flux selon l'application ou le port utilisé (CLI, navigateur, autre).</div><br><div>Ensuite, ça concerne chaque machine cliente (poste de travail) :<br></div><

Le flux doit être dirigé vers le bon réseau selon l'endroit où elle se trouve (au bureau, à la maison, en mobilité) et le réseau d'interconnexion à internet (4G, WiFi, Ethernet).<br></div><div style="font-family: 'arial' , 'helvetica' , sans-

serif; font-size: 12pt; color: #000000;" data-mce-style="font-family: 'arial' , 'helvetica' , sans-serif; font-size: 12pt; color: #000000;"><div>- avec/sans vpn</div><div>- avec/sans proxy (privé ou commercial)<br></div><div><br></div>Il existe plein de
manières de faire et d'outils pour un poste de travail :</div></div><div style="font-family: 'arial' , 'helvetica' , sans-serif; font-size: 12pt; color: #000000;" data-mce-style="font-family: 'arial' , 'helvetica' , sans-serif; font-size: 12pt; color: #
000000;">- soit au niveau de l'application, en particulier au niveau du navigateur (FF propose l'extension Foxy proxy qui permet de choisir divers proxys et d'y ajouter des règles par réseau visé).<br>- soit au niveau du système complet</div><div
style="font-family: 'arial' , 'helvetica' , sans-serif; font-size: 12pt; color: #000000;" data-mce-style="font-family: 'arial' , 'helvetica' , sans-serif; font-size: 12pt; color: #000000;">- soit à un autre niveau de la machine (que j'ignore)</div><div
style="font-family: 'arial' , 'helvetica' , sans-serif; font-size: 12pt; color: #000000;" data-mce-style="font-family: 'arial' , 'helvetica' , sans-serif; font-size: 12pt; color: #000000;">- soit au niveau du LAN : le routeur peut rediriger
automatiquement les flux de toutes les machines du réseau selon sa provenance et sa destination et assurer filtrage/cache (la loi obligerait à en informer les utilisateurs - à vérifier).<br></div><div style="font-family: 'arial' , 'helvetica' , sans-
serif; font-size: 12pt; color: #000000;" data-mce-style="font-family: 'arial' , 'helvetica' , sans-serif; font-size: 12pt; color: #000000;"><br></div><div style="font-family: 'arial' , 'helvetica' , sans-serif; font-size: 12pt; color: #000000;" data-mce-
style="font-family: 'arial' , 'helvetica' , sans-serif; font-size: 12pt; color: #000000;"><div>Enfin, chaque serveur doit être correctement connecté et routé.</div><div><br data-mce-bogus="1"></div></div><div style="font-family: 'arial' , 'helvetica' ,
sans-serif; font-size: 12pt; color: #000000;" data-mce-style="font-family: 'arial' , 'helvetica' , sans-serif; font-size: 12pt; color: #000000;"><br></div><div style="font-family: 'arial' , 'helvetica' , sans-serif; font-size: 12pt; color: #000000;"
data-mce-style="font-family: 'arial' , 'helvetica' , sans-serif; font-size: 12pt; color: #000000;">Voici mes deux questions :</div><div style="font-family: 'arial' , 'helvetica' , sans-serif; font-size: 12pt; color: #000000;" data-mce-style="font-family:
'arial' , 'helvetica' , sans-serif; font-size: 12pt; color: #000000;"><br></div><div style="font-family: 'arial' , 'helvetica' , sans-serif; font-size: 12pt; color: #000000;" data-mce-style="font-family: 'arial' , 'helvetica' , sans-serif; font-size:
12pt; color: #000000;">1/ Ai-je oublié quelque chose dans ma présentation pour atteindre mon objectif ?</div><div style="font-family: 'arial' , 'helvetica' , sans-serif; font-size: 12pt; color: #000000;" data-mce-style="font-family: 'arial' , '
helvetica' , sans-serif; font-size: 12pt; color: #000000;">Qu'est-ce qui n'est pas clair ?</div><div style="font-family: 'arial' , 'helvetica' , sans-serif; font-size: 12pt; color: #000000;" data-mce-style="font-family: 'arial' , 'helvetica' , sans-serif;
font-size: 12pt; color: #000000;">Qu'est-ce que je dois encore apprendre ?</div><div style="font-family: 'arial' , 'helvetica' , sans-serif; font-size: 12pt; color: #000000;" data-mce-style="font-family: 'arial' , 'helvetica' , sans-serif; font-size:
12pt; color: #000000;">(notions : interface, routage d'un réseau à un autre, réseau source/destination, autorisation, acl/autorisation, ...)<br></div><div style="font-family: 'arial' , 'helvetica' , sans-serif; font-size: 12pt; color: #000000;" data-
mce-style="font-family: 'arial' , 'helvetica' , sans-serif; font-size: 12pt; color: #000000;"><br></div><div>2/ Sur le plan pratique, quel ordre dois-je suivre pour <span class="info"><span class="info">écrire les règles de routage sur ce réseau ?</
span></span></div><div style="font-family: 'arial' , 'helvetica' , sans-serif; font-size: 12pt; color: #000000;" data-mce-style="font-family: 'arial' , 'helvetica' , sans-serif; font-size: 12pt; color: #000000;"><div><span class="info">Les outils d'
infrastructure envisagés sont iptables/ufw/nftables, wireguard, squid.<br></span></div><div style="font-family: 'arial' , 'helvetica' , sans-serif; font-size: 12pt; color: #000000;" data-mce-style="font-family: 'arial' , 'helvetica' , sans-serif; font-
size: 12pt; color: #000000;">J'ai potassé iptables, ufw (qui est simple à utiliser mais génère visiblement des tonnes de règles iptables sous le capot !).</div><span class="info"><span class="info"></span></span></div><div style="font-family: 'arial'
, 'helvetica' , sans-serif; font-size: 12pt; color: #000000;" data-mce-style="font-family: 'arial' , 'helvetica' , sans-serif; font-size: 12pt; color: #000000;"><div style="font-family: 'arial' , 'helvetica' , sans-serif; font-size: 12pt; color: #000000;
" data-mce-style="font-family: 'arial' , 'helvetica' , sans-serif; font-size: 12pt; color: #000000;"><div style="font-family: 'arial' , 'helvetica' , sans-serif; font-size: 12pt; color: #000000;" data-mce-style="font-family: 'arial' , 'helvetica' , sans-
serif; font-size: 12pt; color: #000000;">Je découvre nftables, qui propose une commande iptables-translate pour traduire une phrase iptables en phrase nftables.<br></div></div></div><div style="font-family: 'arial' , 'helvetica' , sans-serif; font-size:
12pt; color: #000000;" data-mce-style="font-family: 'arial' , 'helvetica' , sans-serif; font-size: 12pt; color: #000000;"><span class="info"><span class="info"><br data-mce-bogus="1"></span></span></div><div style="font-family: 'arial' , 'helvetica' ,
sans-serif; font-size: 12pt; color: #000000;" data-mce-style="font-family: 'arial' , 'helvetica' , sans-serif; font-size: 12pt; color: #000000;"><span class="info"><span class="info">Puisque nftables est devenu la référence pour debian 12, est-ce que l'
on peut tout faire de zéro en nftables ?</span></span><div style="font-family: 'arial' , 'helvetica' , sans-serif; font-size: 12pt; color: #000000;" data-mce-style="font-family: 'arial' , 'helvetica' , sans-serif; font-size: 12pt; color: #000000;"><br
style="font-family: 'arial' , 'helvetica' , sans-serif; font-size: 12pt; color: #000000;" data-mce-style="font-family: 'arial' , 'helvetica' , sans-serif; font-size: 12pt; color: #000000;"></div><span class="info"></span><span class="info">J'aimerais
bien me lancer à l'eau en respectant les règles connues des habitués et experts réseaux.</span><div><br data-mce-bogus="1"></div><div><span class="info">Merci.</span></div></div><div style="font-family: 'arial' , 'helvetica' , sans-serif; font-size:
12pt; color: #000000;" data-mce-style="font-family: 'arial' , 'helvetica' , sans-serif; font-size: 12pt; color: #000000;"><br></div><div style="font-family: 'arial' , 'helvetica' , sans-serif; font-size: 12pt; color: #000000;" data-mce-style="font-family:
'arial' , 'helvetica' , sans-serif; font-size: 12pt; color: #000000;"><br></div></div></div></body></html>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

This is a multi-part message in MIME format.
Bonjour


Le 24/07/2023 à 14:51, [email protected] a écrit :

[...]Win : le client wg pose encore un problème car l'utilisateur
n'est pas dans le groupe Administrators, ce qui rend l'UI wg inaccessible)

Ceci est un problème Windows: entrer dans powershell en mode
administrateur et executer les 2 commandes suivantes:

        New-ItemProperty "hklm:\software\wireguard" -Name "LimitedOperatorUI" -Value 1 -PropertyType "DWord" -Force
        Add-LocalGroupMember -Group "Network Configuration Operators" -Member "$username"

        La 1ere commande permet de dire a Wireguard d'être moins strict, la seconde ajoute l'utilisateur $username au groupe Opérateur
Réseau.
        Cette dernière manipulation peut également se faire dans les paramètres Gestion de l'ordinateur => Utilisateurs & Groupes

[...]

Puisque nftables est devenu la référence pour debian 12, est-ce que
l'on peut tout faire de zéro en nftables ?

Debian ou d'autres distributions publierait des logiciels dont on ne
pourrait pas configurer à partir de zéro ? Drôle de question ...


Pour t'aider avec nftables, va sur framagit et cherche sfw


<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
<p>Bonjour</p>
<p><br>
</p>
<div class="moz-cite-prefix">Le 24/07/2023 à 14:51,
<a class="moz-txt-link-abbreviated" href="mailto:[email protected]">[email protected]</a> a écrit :<br>
</div>
<blockquote type="cite"
cite="mid:[email protected]">
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
<div style="font-family: arial, helvetica, sans-serif; font-size:
12pt; color: #000000">
<div>
<style type="text/css" scoped="">body {color: #000000; font-size: 10pt; font-family: "SansSerif", sans-serif; }li { list-style: none; margin: 0; }p { margin: 0; }span.l { color: red; font-weight: bold; }a.mapnode:link,
a.mapnode:visited,
a.mapnode:active,
a.mapnode:hover {
text-decoration: none; color: black;
}a.mapnode:hover { background: #eeeee0; }</style></div>
<div data-marker="__QUOTED_TEXT__" style="font-family: 'arial' ,
'helvetica' , sans-serif; font-size: 12pt; color: #000000;"
data-mce-style="font-family: 'arial' , 'helvetica' ,
sans-serif; font-size: 12pt; color: #000000;">
<div style="font-family: 'arial' , 'helvetica' , sans-serif;
font-size: 12pt; color: #000000;"
data-mce-style="font-family: 'arial' , 'helvetica' ,
sans-serif; font-size: 12pt; color: #000000;">[...]<span
class="info"> Win : le client wg pose encore un problème
car l'utilisateur n'est pas dans le groupe Administrators,
ce qui rend l'UI wg inaccessible)</span></div>
</div>
</div>
</blockquote>
<p>Ceci est un problème Windows: entrer dans powershell en mode
administrateur et executer les 2 commandes suivantes: <br>
 <br>
        New-ItemProperty "hklm:\software\wireguard" -Name
"LimitedOperatorUI" -Value 1 -PropertyType "DWord" -Force<br>
        Add-LocalGroupMember -Group "Network Configuration
Operators" -Member "$username"<br>
 <br>
        La 1ere commande permet de dire a Wireguard d'être moins
strict, la seconde ajoute l'utilisateur $username au groupe
Opérateur Réseau.<br>
        Cette dernière manipulation peut également se faire dans
les paramètres Gestion de l'ordinateur =&gt; Utilisateurs &amp;
Groupes<br>
</p>
<blockquote type="cite"
cite="mid:[email protected]">
<div style="font-family: arial, helvetica, sans-serif; font-size:
12pt; color: #000000">
<div data-marker="__QUOTED_TEXT__" style="font-family: 'arial' ,
'helvetica' , sans-serif; font-size: 12pt; color: #000000;"
data-mce-style="font-family: 'arial' , 'helvetica' ,
sans-serif; font-size: 12pt; color: #000000;">[...]<br>
<br>
<div style="font-family: 'arial' , 'helvetica' , sans-serif;
font-size: 12pt; color: #000000;"
data-mce-style="font-family: 'arial' , 'helvetica' ,
sans-serif; font-size: 12pt; color: #000000;"><span
class="info"><span class="info">Puisque nftables est
devenu la référence pour debian 12, est-ce que l'on peut
tout faire de zéro en nftables ?</span></span></div>
</div>
</div>
</blockquote>
<p>Debian ou d'autres distributions publierait des logiciels dont on
ne pourrait pas configurer à partir de zéro ? Drôle de question
...</p>
<p><br>
</p>
<p>Pour t'aider avec nftables, va sur framagit et cherche sfw<br>
</p>
<br>
</body>
</html>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

This is a multi-part message in MIME format.
Le 24/07/2023 à 18:56, [email protected] a écrit :

[...]
C'est bien compliqué d'installer wg sur win !

Je n'ai pas eu ces soucis avec des W11 & quelques W10. Accuser wg est
fort je trouve, bienvenue dans le monde de WinXX

[...]
Oui, c’est mal formulé. Je voulais dire que l’on peut sans doute démarrer avec nft sans même connaître iptables et ufw.

ufw n'est qu'un front-end à iptables (tout comme sfw à nftables) et
semble compatible avec nftables

(même si la syntaxe est différente, c'est vrai que connaitre la
syntaxe iptables permet de savoir les notions manipulées).

nftables n'a rien de commun avec iptables. Comme dit par Michel,
commencer par le wiki.
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
<p><br>
</p>
<div class="moz-cite-prefix">Le 24/07/2023 à 18:56,
<a class="moz-txt-link-abbreviated" href="mailto:[email protected]">[email protected]</a> a écrit :<br>
</div>
<blockquote type="cite"
cite="mid:[email protected]">
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
<div style="font-family: arial, helvetica, sans-serif; font-size:
12pt; color: #000000">
<div data-marker="__QUOTED_TEXT__">
<div style="font-family:'arial' , 'helvetica' ,
sans-serif;font-size:12pt;color:#000000">
<div>
<div style="font-family:'arial' , 'helvetica' ,
sans-serif;font-size:12pt;color:#000000">
<div>
<div style="font-family:'arial' , 'helvetica' ,
sans-serif;font-size:12pt;color:#000000">
<div>
<div dir="ltr">
<div dir="ltr">[...]<br>
<div dir="ltr">
<div dir="ltr">
<div dir="ltr">
<div dir="ltr">C'est bien compliqué
d'installer wg sur win !<br
data-mce-bogus="1">
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</blockquote>
Je n'ai pas eu ces soucis avec des W11 &amp; quelques W10. Accuser
wg est fort je trouve, bienvenue dans le monde de WinXX<br>
<blockquote type="cite"
cite="mid:[email protected]">
<div style="font-family: arial, helvetica, sans-serif; font-size:
12pt; color: #000000">
<div data-marker="__QUOTED_TEXT__">
<div style="font-family:'arial' , 'helvetica' ,
sans-serif;font-size:12pt;color:#000000">
<div>
<div style="font-family:'arial' , 'helvetica' ,
sans-serif;font-size:12pt;color:#000000">
<div>
<div style="font-family:'arial' , 'helvetica' ,
sans-serif;font-size:12pt;color:#000000">
<div>
<div dir="ltr">
<div dir="ltr">
<div dir="ltr">[...]<br>
<div dir="ltr">
<div dir="ltr">Oui, c’est mal formulé. Je
voulais dire que l’on peut sans doute
démarrer avec nft sans même connaître
iptables et ufw.</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</blockquote>
ufw n'est qu'un front-end à iptables (tout comme sfw à nftables) et
semble compatible avec nftables<br>
<blockquote type="cite"
cite="mid:[email protected]">
<div style="font-family: arial, helvetica, sans-serif; font-size:
12pt; color: #000000">
<div data-marker="__QUOTED_TEXT__">
<div style="font-family:'arial' , 'helvetica' ,
sans-serif;font-size:12pt;color:#000000">
<div>
<div style="font-family:'arial' , 'helvetica' ,
sans-serif;font-size:12pt;color:#000000">
<div>
<div style="font-family:'arial' , 'helvetica' ,
sans-serif;font-size:12pt;color:#000000">
<div>
<div dir="ltr">
<div dir="ltr">
<div dir="ltr">
<div dir="ltr">
<div dir="ltr">(même si la syntaxe est
différente, c'est vrai que connaitre la
syntaxe iptables permet de savoir les
notions manipulées).<br>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</blockquote>
nftables n'a rien de commun avec iptables. Comme dit par Michel,
commencer par le wiki.<br>
</body>
</html>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Le 24/07/2023 à 14:51, [email protected] a écrit :
[...]

J'ai besoin de diriger correctement tous les flux de chaque machine d'un réseau.

[...]

Désolé, j'ai abusivement élagué ton message qui était très long, pour plus de clarté

Je suis un vrai neuneu dans ce domaine, donc je vais laisser ceux qui
sont compétents te conseiller. J'interviens juste brièvement pour
souligner que compte-tenu de mes carences, si j'étais à ta place , j'essaierais de trouver:

1) un guide sur l'architecture réseau pour avoir une idée de la
structure à donner au mien.
Il y a ici un guide (58 pages, schémas très visuels) de l'ANSSI(1) sur
les "RECOMMANDATIONS RELATIVES À L'INTERCONNEXION D'UN SYSTÈME
D'INFORMATION À INTERNET": https://www.ssi.gouv.fr/uploads/2020/06/anssi-guide-passerelle_internet_securisee-v3.pdf

2) un guide sur la politique de sécurisation par paramétrage des pare-feux. Il y a ici un guide (16 pages) de l'ANSSI sur les "Recommandations pour
la définition d’une politique de filtrage réseau d’un pare-feu" https://www.ssi.gouv.fr/uploads/IMG/pdf/NP_Politique_pare_feu_NoteTech.pdf

Rappel, je suis une truffe pour tout ça, donc c'est peut-être overkill
ou inadapté (je suis peut-être en train de préconiser l'emploi d'un tournevis pour enfoncer des clous).
Ami lecteur, prends mon intervention pour ce qu'elle est: une
interrogation métaphysique à voix haute, par un ignare, sur la façon
dont il devrait m'y prendre, au cas où...

Désolé pour le bruit

--------------------
(1) ANSSI: Agence Nationale de la Sécurité des Systèmes d'Information

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Le 24/07/2023 à 20:08, Michel Verdier a écrit :

[...]
Et je crois que mixer iptables et nftables crée des effets de bords problématiques.

C'est un euphémisme !

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Le 25/07/2023 à 12:16, RogerT a écrit :

[..]
Pour installer un service de nom, il est recommandé (dans divers tutos) de monter deux serveurs distincts (un master et un slave).
Je vais utiliser un VPs chez mon hébergeur pour ne pas avoir à maintenir de matériel chez moi.
Ok ?

2 serveurs de nom chez 2 hébergeurs différents (à minima un hébergeur 2 datacenters différents)

Dois-je absolument prendre deux VPS basiques chez mon hébergeur préféré ? (Si oui, alors je pourrai aussi l’utiliser pour des services complémentaires, car un service de nom ne me semble pas solliciter beaucoup de ressources)

Ne pas oublier les services qui vont avec comme DNSSEC, SPF, les
certificats, et autres joyeusetés

[...]

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

This is a multi-part message in MIME format.
Je répète: rien, je ne touche pas au fw Windows. Wireguard n'est pas
dans la liste des applications autorisées. Uniquement "Les connexions sortantes qui ne correspondent pas à une règle sont autorisées dans les
3 profils. J'utilise Windows defender

Le 25/07/2023 à 13:53, RogerT a écrit :

Le 25 juil. 2023 à 11:40, NoSpam <[email protected]> a écrit :

Bonjour. Je fais simple comme dit dans mes messages précédents et
cela fonctionne. De ce que je lis de ce message, tu as activé
wireguard en tant que service ce que je ne fais jamais.

Oui, en tant que service. Comme montré dans les différents tutos trouvés. Pourquoi pas ?

Si le tunnel est activé tu as un soucis avec les IP autorisées dans
le tunnel. Es tu sûr de prendre du temps pour comprendre le
fonctionnement de wg ?

Oui. J’ai tout lu la doc de wg et effectué divers tutos.
Clients linux ou iOS : impeccable.

Clients Win : je patauge manifestement dans les réglages du fw win.

Aussi, avant de jouer avec un utilisateur lambda je validerai en tant
qu'administrateur de la machine. Ah oui, teste ta config windows sur
une machine linux ou inversement si la config linux est
opérationnelle: la conf de l'un doit fonctionner pour l'autre sans
modification aucune.

Sur la machine win10, je suis utilisateuradmin.
J’avais quand même fait et pu faire les deux réglages (commandes ou
via GUI) recommandés hier.

J’ai tenté de faire sur le fw (attention : je suis très moyen en fw
win !) :
Autoriser l’application Wireguard.exe
Pas suffisant.
J’ai alors ajouté une règle pour autoriser le trafic vers le port
51820 udp (pas sûr que ça suffise puisque wg crée des connexions en
retour sur d’autres ports sur lesquels le client écoute…).

Peux-tu me dire exactement comment tu configures le poste win10
(utilisateur admin) pour que le client wg fonctionne ?
Merci.

Le 25/07/2023 à 01:00, [email protected] a écrit :

Sur win (version avant 10) :
Comme avec w10, j'ai ajouté l'utilisateur au groupe "Opérateurs de
configuration réseau" avec le GUI (appelé par lusrmgr.msc)

Puis, j'ai pu appliquer cette recette en CLI :

Enable WireGuard
"C:\Program Files\WireGuard\wireguard.exe" /installtunnelservice
"C:\Program
Files\WireGuard\Data\Configurations\NAME_OF_CONNECTION.conf.dpapi"

Disable WireGuard
"C:\Program Files\WireGuard\wireguard.exe" /uninstalltunnelservice
"NAME_OF_CONNECTION"

Rq : le fichier NAME_OF_CONNECTION.conf a été transformé
automatiquement en fichier chiffré NAME_OF_CONNECTION.conf.dpapi
Il vaut donc mieux le gérer ailleurs avant de le glisser dans
C:\Program Files\WireGuard\Data\Configurations\ !

Effet : ça a réveillé le GUI et fait apparaître les boutons !
Sauf le bouton Edit puisque le fichier de conf est chiffré...

Rq : il m'a été proposé par win d'ajouter la connexion à un réseau
domestique ou de bureau. Ce que j'ai accepté.
Pas plus de ping possible vers le serveur.

Au final, j'ai pu arriver au même comportement qu'avec le client wg
w10 :
il dit "Activé" mais n'arrive pas à se connecter au serveur qui ne
le voit pas.

Avec un problème accessoire en prim, puisque je suis connecté en RDP
à ce win et que la tentative de connexion en wg coupe la connexion
RDP, ce qui m'oblige à aller déterrer le PC concerné.

Je suis très curieux de savoir comment tu (NoSpam) arrives à faire
tourner des clients wg sous Win.
Bonne nuit.

Ref :
https://blog.bonner.is/enable-disable-wireguard-from-windows-command-line/ >>>
https://git.zx2c4.com/wireguard-windows/about/docs/enterprise.md
  (->
https://learn.microsoft.com/en-us/windows/win32/api/dpapi/nf-dpapi-cryptprotectdata
)





------------------------------------------------------------------------ >>> *De: *"roger tarani" <[email protected]>
*À: *"Liste Debian" <[email protected]>
*Envoyé: *Lundi 24 Juillet 2023 23:27:56
*Objet: *Fwd: Comment router le trafic réseau finement


------------------------------------------------------------------------ >>>

<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
<p>Je répète: rien, je ne touche pas au fw Windows. Wireguard n'est
pas dans la liste des applications autorisées. Uniquement "Les
connexions sortantes qui ne correspondent pas à une règle sont
autorisées dans les 3 profils. J'utilise Windows defender<br>
</p>
<div class="moz-cite-prefix">Le 25/07/2023 à 13:53, RogerT a écrit :<br>
</div>
<blockquote type="cite"
cite="mid:[email protected]">
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
<div dir="ltr"><br>
</div>
<div dir="ltr"><br>
<blockquote type="cite">Le 25 juil. 2023 à 11:40, NoSpam
<a class="moz-txt-link-rfc2396E" href="mailto:[email protected]">&lt;[email protected]&gt;</a> a écrit :<br>
<br>
</blockquote>
</div>
<blockquote type="cite">
<div dir="ltr">
<p>Bonjour. Je fais simple comme dit dans mes messages
précédents et cela fonctionne. De ce que je lis de ce
message, tu as activé wireguard en tant que service ce que
je ne fais jamais.</p>
</div>
</blockquote>
Oui, en tant que service. Comme montré dans les différents tutos
trouvés. 
<div>Pourquoi pas ?<br>
<blockquote type="cite">
<div dir="ltr">
<p>Si le tunnel est activé tu as un soucis avec les IP
autorisées dans le tunnel. Es tu sûr de prendre du temps
pour comprendre le fonctionnement de wg ?</p>
</div>
</blockquote>
Oui. J’ai tout lu la doc de wg et effectué divers tutos. </div>
<div>Clients linux ou iOS : impeccable. </div>
<div><br>
</div>
<div>Clients Win : je patauge manifestement dans les réglages du
fw win.</div>
<div><br>
<blockquote type="cite">
<div dir="ltr">
<p>Aussi, avant de jouer avec un utilisateur lambda je
validerai en tant qu'administrateur de la machine. Ah oui,
teste ta config windows sur une machine linux ou
inversement si la config linux est opérationnelle: la conf
de l'un doit fonctionner pour l'autre sans modification
aucune.<br>
</p>
</div>
</blockquote>
<div>Sur la machine win10, je suis utilisateuradmin. </div>
<div>J’avais quand même fait et pu faire les deux réglages
(commandes ou via GUI) recommandés hier. </div>
<div><br>
</div>
<div>J’ai tenté de faire sur le fw (attention : je suis très
moyen en fw win !) :</div>
<div>Autoriser l’application Wireguard.exe </div>
<div>Pas suffisant. </div>
<div>J’ai alors ajouté une règle pour autoriser le trafic vers
le port 51820 udp (pas sûr que ça suffise puisque wg crée des
connexions en retour sur d’autres ports sur lesquels le client
écoute…). </div>
<div><br>
</div>
<div>Peux-tu me dire exactement comment tu configures le poste
win10 (utilisateur admin) pour que le client wg fonctionne ?</div>
<div>Merci. </div>
<div><br>
</div>
<blockquote type="cite">
<div dir="ltr">
<p> </p>
<div class="moz-cite-prefix">Le 25/07/2023 à 01:00, <a
class="moz-txt-link-abbreviated moz-txt-link-freetext"
href="mailto:[email protected]"
moz-do-not-send="true">[email protected]</a> a
écrit :<br>
</div>
<blockquote type="cite"
cite="mid:[email protected]">
<meta http-equiv="content-type" content="text/html;
charset=UTF-8">
<div style="font-family: arial, helvetica, sans-serif;
font-size: 12pt; color: #000000">
<div>Sur win (version avant 10) :</div>
<div>Comme avec w10, j'ai ajouté l'utilisateur au groupe
"Opérateurs de configuration réseau" avec le GUI
(appelé par lusrmgr.msc)<!--EndFragment--> <br>
</div>
<div><br data-mce-bogus="1">
</div>
<div>Puis, j'ai pu appliquer cette recette en CLI :<br
data-mce-bogus="1">
</div>
<div><br data-mce-bogus="1">
</div>
<div>Enable WireGuard<br>
"C:\Program Files\WireGuard\wireguard.exe"
/installtunnelservice "C:\Program
Files\WireGuard\Data\Configurations\NAME_OF_CONNECTION.conf.dpapi"<br>
<br>
Disable WireGuard<br>
"C:\Program Files\WireGuard\wireguard.exe"
/uninstalltunnelservice "NAME_OF_CONNECTION"<br>
<br data-mce-bogus="1">
</div>
<div>Rq : le fichier
<!--StartFragment-->NAME_OF_CONNECTION.conf a été
transformé automatiquement en fichier chiffré
<!--StartFragment-->NAME_OF_CONNECTION.conf.<!--EndFragment-->dpapi
<br data-mce-bogus="1">
</div>
<div>Il vaut donc mieux le gérer ailleurs avant de le
glisser dans
<!--StartFragment-->C:\Program
Files\WireGuard\Data\Configurations\ !<!--EndFragment-->
<br data-mce-bogus="1">
</div>
<div><br data-mce-bogus="1">
</div>
<div>Effet : ça a réveillé le GUI et fait apparaître les
boutons !<br data-mce-bogus="1">
</div>
<div>Sauf le bouton Edit puisque le fichier de conf est
chiffré...<br data-mce-bogus="1">
</div>
<div><br data-mce-bogus="1">
</div>
<div>
<!--StartFragment-->
<div>Rq : il m'a été proposé par win d'ajouter la
connexion à un réseau domestique ou de bureau. Ce
que j'ai accepté.</div>
<div>Pas plus de ping possible vers le serveur.<br
data-mce-bogus="1">
</div>
<div><br>
</div>
<!--EndFragment--> </div>
<div>Au final, j'ai pu arriver au même comportement
qu'avec le client wg w10 : </div>
<div>il dit "Activé" mais n'arrive pas à se connecter au
serveur qui ne le voit pas.<br>
</div>
<div>
<!--StartFragment-->
<div><br data-mce-bogus="1">
</div>
<div>Avec un problème accessoire en prim, puisque je
suis connecté en RDP à ce win et que la tentative de
connexion en wg coupe la connexion RDP, ce qui
m'oblige à aller déterrer le PC concerné.<br>
</div>
<!--EndFragment--> </div>
<div><br>
</div>
<div>Je suis très curieux de savoir comment tu (NoSpam)
arrives à faire tourner des clients wg sous Win.<br
data-mce-bogus="1">
</div>
<div>Bonne nuit.<br data-mce-bogus="1">
</div>
<div><br data-mce-bogus="1">
</div>
<div>
<div>Ref : <br>
<a href="https://blog.bonner.is/enable-disable-wireguard-from-windows-command-line/"
data-mce-href="https://blog.bonner.is/enable-disable-wireguard-from-windows-command-line/"
moz-do-not-send="true"
class="moz-txt-link-freetext">https://blog.bonner.is/enable-disable-wireguard-from-windows-command-line/</a>
<br>
<a
href="https://git.zx2c4.com/wireguard-windows/about/docs/enterprise.md"
data-mce-href="https://git.zx2c4.com/wireguard-windows/about/docs/enterprise.md"
moz-do-not-send="true"
class="moz-txt-link-freetext">https://git.zx2c4.com/wireguard-windows/about/docs/enterprise.md</a><br
data-mce-bogus="1">
</div>
<div>  (-&gt; <a href="https://learn.microsoft.com/en-us/windows/win32/api/dpapi/nf-dpapi-cryptprotectdata"
moz-do-not-send="true"
class="moz-txt-link-freetext">https://learn.microsoft.com/en-us/windows/win32/api/dpapi/nf-dpapi-cryptprotectdata</a>
)<br>
</div>
<div><br>
</div>
<!--EndFragment--> </div>
<div><br data-mce-bogus="1">
</div>
<div><br data-mce-bogus="1">
</div>
<div><br data-mce-bogus="1">
</div>
<div><br>
</div>
<hr id="zwchr" data-marker="__DIVIDER__">
<div data-marker="__HEADERS__"><b>De: </b>"roger
tarani" <a class="moz-txt-link-rfc2396E"
href="mailto:[email protected]"
moz-do-not-send="true">&lt;[email protected]&gt;</a><br>
<b>À: </b>"Liste Debian" <a
class="moz-txt-link-rfc2396E"
href="mailto:[email protected]"
moz-do-not-send="true">&lt;[email protected]&gt;</a><br>
<b>Envoyé: </b>Lundi 24 Juillet 2023 23:27:56<br>
<b>Objet: </b>Fwd: Comment router le trafic réseau
finement<br>
</div>
<div><br>
</div>
<div data-marker="__QUOTED_TEXT__">
<div style="font-family:'arial' , 'helvetica' ,
sans-serif;font-size:12pt;color:#000000">
<div>
<div style="font-family:'arial' , 'helvetica' ,
sans-serif;font-size:12pt;color:#000000">
<div>
<div style="font-family:'arial' , 'helvetica'
, sans-serif;font-size:12pt;color:#000000">
<div>
<div style="font-family:'arial' ,
'helvetica' ,
sans-serif;font-size:12pt;color:#000000"><br>
<div>
<div dir="ltr">
<div>
<hr id="zwchr"> </div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
<br>
</div>
</div>
</blockquote>
</div>
</blockquote>
</div>
</blockquote>
</body>
</html>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

This is a multi-part message in MIME format.
Non. post-up de ifupdown qui lit le fichier /etc/network/interfaces qui
lance les scripts dans /etc/network/[if-up|ifdown].d/

Bien plus souple, compatible avec les autres interfaces et facile à
gérer sur les serveurs. Pas besoin d'une usine à gaz comme NM ou
wg-quick, les interfaces wg sont montées au démarrage en même temps que
les autres. Aucune manipulation.

Le 25/07/2023 à 18:04, RogerT a écrit :

Le 25 juil. 2023 à 17:53, NoSpam <[email protected]> a écrit :

Le 25/07/2023 à 16:28, [email protected] a écrit :

Bonne nouvelle : les 2 clients wg win (win10/admin  et win avant
10/non admin) fonctionnent.
Chaque pair peut joindre l'autre sur le vpn (ping).


Je pense m'être emmêlé entre plusieurs choses :

D'ou ma question si tu penses avoir compris wg ...

Le noyau semble costaud (d’où l’intégration au noyau linux depuis 5.6). L’UI est perturbante, comparée à d’autres applications.
La documentation est super incomplète et les tutos trouvés se marchent dessus  Surtout sur le comportement de wg, selon les directives des
fichiers de configuration n’est pas expliqué… il faut tout lire man wg-quick, etc.

[...]
A NoSpam : tu utilises wg-quick pour toutes les interfaces wg
(serveur ou client) ? (puisque pas de service)

Non. Les interfaces sous Linux sont lancées en post-up via un script
qui mets tout en place (MTU, DNS, routes, ...)

Tu veux sans doute dire en postup après le démarrage du système (il y
a PostUp dans le fichier de configuration du serveur wg).
Merci de considérer mon niveau moyen.

Quelle raison te fait ne pas utiliser un service ?

<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
<p>Non. post-up de ifupdown qui lit le fichier
/etc/network/interfaces qui lance les scripts dans
/etc/network/[if-up|ifdown].d/</p>
<p>Bien plus souple, compatible avec les autres interfaces et facile
à gérer sur les serveurs. Pas besoin d'une usine à gaz comme NM ou
wg-quick, les interfaces wg sont montées au démarrage en même
temps que les autres. Aucune manipulation.<br>
</p>
<div class="moz-cite-prefix">Le 25/07/2023 à 18:04, RogerT a écrit :<br>
</div>
<blockquote type="cite"
cite="mid:[email protected]">
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
<div dir="ltr"><br>
</div>
<div dir="ltr"><br>
<blockquote type="cite">Le 25 juil. 2023 à 17:53, NoSpam
<a class="moz-txt-link-rfc2396E" href="mailto:[email protected]">&lt;[email protected]&gt;</a> a écrit :<br>
<br>
</blockquote>
</div>
<blockquote type="cite">
<div dir="ltr">
<div class="moz-cite-prefix">Le 25/07/2023 à 16:28, <a
class="moz-txt-link-abbreviated moz-txt-link-freetext"
href="mailto:[email protected]" moz-do-not-send="true">[email protected]</a>
a écrit :<br>
</div>
<blockquote type="cite"
cite="mid:[email protected]">
<meta http-equiv="content-type" content="text/html;
charset=UTF-8">
<div style="font-family: arial, helvetica, sans-serif;
font-size: 12pt; color: #000000">
<div data-marker="__QUOTED_TEXT__">
<div style="font-family:'arial' , 'helvetica' ,
sans-serif;font-size:12pt;color:#000000">
<div>Bonne nouvelle : les 2 clients wg win
(win10/admin  et win avant 10/non admin)
fonctionnent.<br>
</div>
<div>Chaque pair peut joindre l'autre sur le vpn
(ping).<br>
</div>
</div>
<div style="font-family:'arial' , 'helvetica' ,
sans-serif;font-size:12pt;color:#000000"><br
data-mce-bogus="1">
</div>
<div style="font-family:'arial' , 'helvetica' ,
sans-serif;font-size:12pt;color:#000000"><br>
<div>Je pense m'être emmêlé entre plusieurs choses :</div>
</div>
</div>
</div>
</blockquote>
D'ou ma question si tu penses avoir compris wg ...<br>
</div>
</blockquote>
<div><br>
</div>
Le noyau semble costaud (d’où l’intégration au noyau linux depuis
5.6). 
<div>L’UI est perturbante, comparée à d’autres applications. </div>
<div>La documentation est super incomplète et les tutos trouvés se
marchent dessus  Surtout sur le comportement de wg, selon les
directives des fichiers de configuration n’est pas expliqué… il
faut tout lire man wg-quick, etc. </div>
<div><br>
</div>
<div><br>
<blockquote type="cite">
<div dir="ltr">
<blockquote type="cite"
cite="mid:[email protected]">
<div style="font-family: arial, helvetica, sans-serif;
font-size: 12pt; color: #000000">
<div data-marker="__QUOTED_TEXT__">
<div style="font-family:'arial' , 'helvetica' ,
sans-serif;font-size:12pt;color:#000000">[...]<br>
</div>
<div style="font-family:'arial' , 'helvetica' ,
sans-serif;font-size:12pt;color:#000000">A NoSpam :
tu utilises wg-quick pour toutes les interfaces wg
(serveur ou client) ? (puisque pas de service)<br
data-mce-bogus="1">
</div>
</div>
</div>
</blockquote>
Non. Les interfaces sous Linux sont lancées en post-up via
un script qui mets tout en place (MTU, DNS, routes, ...)<br>
</div>
</blockquote>
<div><br>
</div>
Tu veux sans doute dire en postup après le démarrage du système
(il y a PostUp dans le fichier de configuration du serveur wg). </div>
<div>Merci de considérer mon niveau moyen. </div>
<div><br>
</div>
<div>Quelle raison te fait ne pas utiliser un service ?</div>
</blockquote>
</body>
</html>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

This is a multi-part message in MIME format.
NM est l'usine à gaz

Le 25/07/2023 à 18:29, [email protected] a écrit :

Entendu.
Je lis que NM et ifupdown font bon ménage.

Pour toi, wg-quick est une usine à gaz ?

------------------------------------------------------------------------
*De: *"NoSpam" <[email protected]>
*À: *"Liste Debian" <[email protected]>
*Envoyé: *Mardi 25 Juillet 2023 18:12:50
*Objet: *Re: Comment router le trafic réseau finement

Non. post-up de ifupdown qui lit le fichier /etc/network/interfaces
qui lance les scripts dans /etc/network/[if-up|ifdown].d/

Bien plus souple, compatible avec les autres interfaces et facile à
gérer sur les serveurs. Pas besoin d'une usine à gaz comme NM ou
wg-quick, les interfaces wg sont montées au démarrage en même temps
que les autres. Aucune manipulation.

Le 25/07/2023 à 18:04, RogerT a écrit :

Le 25 juil. 2023 à 17:53, NoSpam <[email protected]>
<mailto:[email protected]> a écrit :

Le 25/07/2023 à 16:28, [email protected] a écrit :

Bonne nouvelle : les 2 clients wg win (win10/admin  et win
avant 10/non admin) fonctionnent.
Chaque pair peut joindre l'autre sur le vpn (ping).

Je pense m'être emmêlé entre plusieurs choses :

D'ou ma question si tu penses avoir compris wg ...

Le noyau semble costaud (d’où l’intégration au noyau linux depuis
5.6).
L’UI est perturbante, comparée à d’autres applications.
La documentation est super incomplète et les tutos trouvés se
marchent dessus  Surtout sur le comportement de wg, selon les
directives des fichiers de configuration n’est pas expliqué… il
faut tout lire man wg-quick, etc.

[...]
A NoSpam : tu utilises wg-quick pour toutes les interfaces
wg (serveur ou client) ? (puisque pas de service)

Non. Les interfaces sous Linux sont lancées en post-up via un
script qui mets tout en place (MTU, DNS, routes, ...)

Tu veux sans doute dire en postup après le démarrage du système
(il y a PostUp dans le fichier de configuration du serveur wg).
Merci de considérer mon niveau moyen.

Quelle raison te fait ne pas utiliser un service ?

<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
<p>NM est l'usine à gaz<br>
</p>
<div class="moz-cite-prefix">Le 25/07/2023 à 18:29,
<a class="moz-txt-link-abbreviated" href="mailto:[email protected]">[email protected]</a> a écrit :<br>
</div>
<blockquote type="cite"
cite="mid:[email protected]">
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
<div style="font-family: arial, helvetica, sans-serif; font-size:
12pt; color: #000000">
<div>Entendu.<br>
</div>
<div>Je lis que NM et ifupdown font bon ménage.<br
data-mce-bogus="1">
</div>
<div><br data-mce-bogus="1">
</div>
<div>Pour toi, wg-quick est une usine à gaz ?<br
data-mce-bogus="1">
</div>
<div><br>
</div>
<hr id="zwchr" data-marker="__DIVIDER__">
<div data-marker="__HEADERS__"><b>De: </b>"NoSpam"
<a class="moz-txt-link-rfc2396E" href="mailto:[email protected]">&lt;[email protected]&gt;</a><br>
<b>À: </b>"Liste Debian"
<a class="moz-txt-link-rfc2396E" href="mailto:[email protected]">&lt;[email protected]&gt;</a><br>
<b>Envoyé: </b>Mardi 25 Juillet 2023 18:12:50<br>
<b>Objet: </b>Re: Comment router le trafic réseau finement<br>
</div>
<div><br>
</div>
<div data-marker="__QUOTED_TEXT__">
<p>Non. post-up de ifupdown qui lit le fichier
/etc/network/interfaces qui lance les scripts dans
/etc/network/[if-up|ifdown].d/</p>
<p>Bien plus souple, compatible avec les autres interfaces et
facile à gérer sur les serveurs. Pas besoin d'une usine à
gaz comme NM ou wg-quick, les interfaces wg sont montées au
démarrage en même temps que les autres. Aucune manipulation.<br>
</p>
<div class="moz-cite-prefix">Le 25/07/2023 à 18:04, RogerT a
écrit :<br>
</div>
<blockquote>
<div dir="ltr"><br>
</div>
<div dir="ltr"><br>
<blockquote>Le 25 juil. 2023 à 17:53, NoSpam <a
href="mailto:[email protected]" target="_blank"
rel="nofollow noopener noreferrer"
moz-do-not-send="true">&lt;[email protected]&gt;</a>
a écrit :<br>
<br>
</blockquote>
</div>
<blockquote>
<div dir="ltr">
<div class="moz-cite-prefix">Le 25/07/2023 à 16:28, <a
href="mailto:[email protected]" target="_blank"
rel="nofollow noopener noreferrer"
moz-do-not-send="true" class="moz-txt-link-freetext">[email protected]</a>
a écrit :<br>
</div>
<blockquote>
<div style="font-family:'arial' , 'helvetica' ,
sans-serif;font-size:12pt;color:#000000">
<div>
<div style="font-family:'arial' , 'helvetica' ,
sans-serif;font-size:12pt;color:#000000">
<div>Bonne nouvelle : les 2 clients wg win
(win10/admin  et win avant 10/non admin)
fonctionnent.<br>
</div>
<div>Chaque pair peut joindre l'autre sur le vpn
(ping).<br>
</div>
</div>
<div style="font-family:'arial' , 'helvetica' ,
sans-serif;font-size:12pt;color:#000000"><br>
</div>
<div style="font-family:'arial' , 'helvetica' ,
sans-serif;font-size:12pt;color:#000000"><br>
<div>Je pense m'être emmêlé entre plusieurs
choses :</div>
</div>
</div>
</div>
</blockquote>
D'ou ma question si tu penses avoir compris wg ...<br>
</div>
</blockquote>
<div><br>
</div>
Le noyau semble costaud (d’où l’intégration au noyau linux
depuis 5.6). 
<div>L’UI est perturbante, comparée à d’autres
applications. </div>
<div>La documentation est super incomplète et les tutos
trouvés se marchent dessus  Surtout sur le comportement de
wg, selon les directives des fichiers de configuration
n’est pas expliqué… il faut tout lire man wg-quick, etc. </div>
<div><br>
</div>
<div><br>
<blockquote>
<div dir="ltr">
<blockquote>
<div style="font-family:'arial' , 'helvetica' ,
sans-serif;font-size:12pt;color:#000000">
<div>
<div style="font-family:'arial' , 'helvetica' ,
sans-serif;font-size:12pt;color:#000000">[...]<br>
</div>
<div style="font-family:'arial' , 'helvetica' ,
sans-serif;font-size:12pt;color:#000000">A
NoSpam : tu utilises wg-quick pour toutes les
interfaces wg (serveur ou client) ? (puisque
pas de service)<br>
</div>
</div>
</div>
</blockquote>
Non. Les interfaces sous Linux sont lancées en post-up
via un script qui mets tout en place (MTU, DNS,
routes, ...)<br>
</div>
</blockquote>
<div><br>
</div>
Tu veux sans doute dire en postup après le démarrage du
système (il y a PostUp dans le fichier de configuration du
serveur wg). </div>
<div>Merci de considérer mon niveau moyen. </div>
<div><br>
</div>
<div>Quelle raison te fait ne pas utiliser un service ?</div>
</blockquote>
<br>
</div>
</div>
</blockquote>
</body>
</html>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

This is a multi-part message in MIME format.
Le 25/07/2023 à 19:46, RogerT a écrit :

Le 25 juil. 2023 à 18:55, NoSpam <[email protected]> a écrit :

[...]
A NoSpam : tu utilises wg-quick pour toutes les interfaces wg
(serveur ou client) ? (puisque pas de service)

Non. Les interfaces sous Linux sont lancées en post-up via un script
qui mets tout en place (MTU, DNS, routes, ...)

Je ne suis pas habitué à faire comme ça.  Peux-tu en dire davantage
sur la manière de procéder ?
Merci.

man interfaces & remove NM

<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
<p><br>
</p>
<div class="moz-cite-prefix">Le 25/07/2023 à 19:46, RogerT a écrit :<br>
</div>
<blockquote type="cite"
cite="mid:[email protected]">
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
<div dir="ltr"><br>
</div>
<div dir="ltr"><br>
<blockquote type="cite">Le 25 juil. 2023 à 18:55, NoSpam
<a class="moz-txt-link-rfc2396E" href="mailto:[email protected]">&lt;[email protected]&gt;</a> a écrit :<br>
<br>
</blockquote>
</div>
<blockquote type="cite">
<div dir="ltr">
<blockquote>
<div style="font-family:'arial' , 'helvetica' ,
sans-serif;font-size:12pt;color:#000000">
<div>
<div style="font-family:'arial' , 'helvetica' ,
sans-serif;font-size:12pt;color:#000000">[...]<br>
</div>
<div style="font-family:'arial' , 'helvetica' ,
sans-serif;font-size:12pt;color:#000000">A NoSpam : tu
utilises wg-quick pour toutes les interfaces wg
(serveur ou client) ? (puisque pas de service)<br>
</div>
</div>
</div>
</blockquote>
Non. Les interfaces sous Linux sont lancées en post-up via un
script qui mets tout en place (MTU, DNS, routes, ...)</div>
</blockquote>
<br>
<div>Je ne suis pas habitué à faire comme ça.  Peux-tu en dire
davantage sur la manière de procéder ?</div>
<div>Merci. <br>
</div>
</blockquote>
<p>man interfaces &amp; remove NM<br>
</p>
</body>
</html>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

This is a multi-part message in MIME format.
Le 26/07/2023 à 01:22, [email protected] a écrit :

[...]
Si on décide à la place d'utiliser des commandes élementaires, par
quoi remplacerait-on les commandes wg setconf et wg set ?

Je n'utilise pas ces commandes, je configure manuellement.

Comprends bien que tu ne dois pas être un clone de mes configurations/remarques/... à toi de découvrir ce qui te convient le
mieux, ce avec quoi tu es à l'aise et surtout comment tu pourras réparer
en cas de problème.


<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
<p><br>
</p>
<div class="moz-cite-prefix">Le 26/07/2023 à 01:22,
<a class="moz-txt-link-abbreviated" href="mailto:[email protected]">[email protected]</a> a écrit :<br>
</div>
<blockquote type="cite"
cite="mid:[email protected]">
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
<div style="font-family: arial, helvetica, sans-serif; font-size:
12pt; color: #000000">
<div data-marker="__QUOTED_TEXT__">
<div style="font-family: 'arial' , 'helvetica' , sans-serif;
font-size: 12pt; color: #000000;"
data-mce-style="font-family: 'arial' , 'helvetica' ,
sans-serif; font-size: 12pt; color: #000000;">
<div>
<div style="font-family: 'arial' , 'helvetica' ,
sans-serif; font-size: 12pt; color: #000000;"
data-mce-style="font-family: 'arial' , 'helvetica' ,
sans-serif; font-size: 12pt; color: #000000;">[...]<br>
<div>
<div><span style="font-family: times new roman, new
york, times, serif;" data-mce-style="font-family:
times new roman, new york, times, serif;">Si on
décide à la place d'utiliser des commandes
élementaires, par quoi remplacerait-on les
commandes wg setconf et wg set ?</span></div>
</div>
</div>
</div>
</div>
</div>
</div>
</blockquote>
<p>Je n'utilise pas ces commandes, je configure manuellement.</p>
<p>Comprends bien que tu ne dois pas être un clone de mes
configurations/remarques/... à toi de découvrir ce qui te convient
le mieux, ce avec quoi tu es à l'aise et surtout comment tu
pourras réparer en cas de problème.</p>
<p><br>
</p>
</body>
</html>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Pour clarifier, setconf est lancer dans mes scripts post-up,
manuellement en est pour moi le reflet.

Le 26/07/2023 à 09:38, NoSpam a écrit :

Le 26/07/2023 à 01:22, [email protected] a écrit :

[...]
Si on décide à la place d'utiliser des commandes élementaires, par
quoi remplacerait-on les commandes wg setconf et wg set ?

Je n'utilise pas ces commandes, je configure manuellement.

Comprends bien que tu ne dois pas être un clone de mes configurations/remarques/... à toi de découvrir ce qui te convient le mieux, ce avec quoi tu es à l'aise et surtout comment tu pourras réparer
en cas de problème.

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Le 26/07/2023 à 10:17, RogerT a écrit :

[...]

Mais peux-tu expliquer l’inconvénient que tu trouves à un utiliser un service enabled ?

Qu'est ce que cela à voir dans l'histoire ?

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Le 26/07/2023 à 10:54, RogerT a écrit :

[...]

Je voulais juste savoir si tu connaissais un inconvénient à utiliser systemctl enable plutôt que ifupdown.
C’est tout.
Ça m’intéresse aussi de savoir si on peut vivre sans systemctl !

Comme déjà écris précédemment, pourquoi utiliser X outils pour faire la même chose. Tu utilises NM, systemctl et que sais je encore pour monter
tes interfaces, je n'utilise que ifupdown pour le même travail et qui de
plus est compatible avec cloud-init. Aussi, j'utilise principalement
ipv6, je dois donc faire passer ipv4 via ipv6: encore un argument pour
gérer via des scripts perso.

[...]

Le 26 juil. 2023 à 10:45, NoSpam <[email protected]> a écrit :



Le 26/07/2023 à 10:40, RogerT a écrit :
[...]

Je crois que tu avais relevé que j’utilisais systemctl start wg0 . Tu m’as dit : pas besoin de nm, de systemd (systemctl enable | disable | start | … ), etc.

Je n'ai *JAMAIS* dit que j'utilise systemctl puisque c'est ifupdown qui gère les interfaces ! J'aimerai bien que tu ne déformes pas mes propos ...

[...]

Le 26 juil. 2023 à 10:22, NoSpam <[email protected]> a écrit :



Le 26/07/2023 à 10:17, RogerT a écrit :
[...]

Mais peux-tu expliquer l’inconvénient que tu trouves à un utiliser un service enabled ?

Qu'est ce que cela à voir dans l'histoire ?

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Le 26/07/2023 à 10:40, RogerT a écrit :

[...]

Je crois que tu avais relevé que j’utilisais systemctl start wg0 . Tu m’as dit : pas besoin de nm, de systemd (systemctl enable | disable | start | … ), etc.

Je n'ai *JAMAIS* dit que j'utilise systemctl puisque c'est ifupdown qui
gère les interfaces ! J'aimerai bien que tu ne déformes pas mes propos ...

[...]

Le 26 juil. 2023 à 10:22, NoSpam <[email protected]> a écrit :



Le 26/07/2023 à 10:17, RogerT a écrit :
[...]

Mais peux-tu expliquer l’inconvénient que tu trouves à un utiliser un service enabled ?

Qu'est ce que cela à voir dans l'histoire ?

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)