WireGuard

Bien que Tailscale offre une expérience conviviale pour la plupart des utilisateurs, WireGuard est une solution VPN robuste intégrée dans Unraid qui brille dans des scénarios avancés de mise en réseau spécifiques. Il est particulièrement utile lorsque vous avez besoin d'un contrôle détaillé sur le routage du VPN ou que vous nécessitez des connexions serveur à serveur ou LAN à LAN sans dépendre de services tiers. Voici quelques scénarios clés où WireGuard excelle.

Quand choisir WireGuard

Scénario	Pourquoi choisir WireGuard?
Configuration avancée	Permet des configurations VPN Tunnel personnalisées et une intégration avec l'infrastructure réseau existante
Tunnels serveur-à-serveur	Vous permet de créer des liens chiffrés persistants entre les serveurs Unraid
Intégration LAN-à-LAN	Connecte des réseaux entiers sans impliquer de services intermédiaires
Tâches à forte bande passante	Offre une surcharge de protocole minimale pour un débit maximal

info

Pour la plupart des utilisateurs, Tailscale peut accomplir tout ce que WireGuard peut faire, souvent plus facilement. Il ne nécessite généralement pas de redirection de port ou de configuration manuelle. Cependant, si vous avez besoin de configurations VPN avancées et personnalisées ou avez des exigences de compatibilité spécifiques, choisir WireGuard peut être une meilleure option pour certains.

Types de connexion et cas d'utilisation

Connaître les types de connexion dans WireGuard peut vous aider à décider si c'est le bon choix :

Type de connexion	Cas d'utilisation réel
Accès à distance au serveur	Accédez à l'Unraid WebGUI, aux conteneurs Docker, aux VMs et aux partages réseau à distance.
Accès distant au LAN	Accéder à tous les appareils sur votre LAN à distance comme si vous étiez sur le réseau local.
Accès serveur à serveur	Connectez en toute sécurité deux serveurs Unraid pour le partage de données ou la sauvegarde.
Accès LAN à LAN	Connectez de manière transparente deux LAN entiers pour une communication fluide entre les réseaux.
Accès serveur hub & spoke	Permettre à plusieurs clients VPN de se connecter entre eux via le serveur.
Accès LAN hub & spoke	Permet la communication entre plusieurs LAN via un serveur central.
Accès VPN tunnelisé	Dirigez des conteneurs Docker spécifiques et VMs via un fournisseur de VPN commercial WireGuard.
Accès tunnelé à distance	Routez de manière sécurisée tout votre trafic Internet via votre serveur Unraid lorsque vous êtes sur des réseaux non sécurisés.

Configuration de WireGuard sur Unraid

Prerequisites

• DNS dynamique : Configurez un DDNS pour un accès fiable si votre adresse IP publique change. Les options populaires incluent Cloudflare (nécessite la propriété du domaine), No-IP ou DuckDNS (gratuit, mais peut connaître des interruptions occasionnelles).
• Configuration du routeur :
  • Activez UPnP dans Paramètres → Accès à la gestion pour la redirection automatique des ports.
  • Si UPnP n'est pas disponible, redirigez manuellement le port UDP 51820 vers l'IP de votre serveur Unraid.
• Logiciel client : Installez WireGuard sur vos appareils (Windows, macOS, iOS, Android).

Étape 1 : Générer des clés

1. Accédez à Paramètres → Gestion des VPN.

2. Nommez votre tunnel (par exemple, "VPN Maison").
3. Cliquez sur Générer une paire de clés pour créer des clés publiques/privées.

avertissement

Stockez la clé privée en toute sécurité car elle offre un accès complet au réseau.

Étape 2 : Configurez votre point d'extrémité

• Pour les utilisateurs de DDNS : Remplacez l'IP dans Point d'extrémité local par votre URL DDNS (par exemple, myhome.duckdns.org).
• Conservez le port par défaut (51820) sauf s'il entre en conflit avec des services existants.

Étape 3 : Configurer le transfert de port

• Utilisateurs de UPnP : Unraid transférera automatiquement les ports si activé dans Paramètres → Accès à la gestion.

• Configuration manuelle : Si UPnP n'est pas disponible :
  1. Connectez-vous à votre routeur.
  2. Rediriger le port UDP 51820 vers l'IP LAN de votre serveur Unraid.
  3. Utilisez le même port pour les paramètres externes et internes.

Étape 4 : Activez votre tunnel

1. Basculer sur Actif pour activer WireGuard.
2. Activez Démarrage automatique pour exécuter WireGuard au démarrage.

Security meilleures pratiques

• Accès de confiance uniquement : L'accès VPN est similaire à l'accès physique au réseau, autorisez donc uniquement les appareils de confiance.
• Gestion des clés : Ne partagez jamais de clés privées ; traitez-les comme des mots de passe.
• Segmentation réseau : Pour des configurations complexes (Docker/VMs personnalisés), isolez le trafic VPN à l'aide de VLANs ou de sous-réseaux séparés.
• Audits réguliers : Examinez les appareils connectés et les autorisations d'accès tous les trimestres.

Définir un pair (client)

Un pair est un appareil client - tel qu'un téléphone, un ordinateur portable ou un autre serveur - qui se connecte à votre VPN Unraid WireGuard. Définir un pair signifie créer une identité unique et sécuriser des clés pour cet appareil.

1. Sélectionnez Ajouter un pair.

2. Nommez le pair (par exemple, MonAndroid).
3. Choisissez le type de connexion initial pour un accès complet au réseau, généralement Accès à distance au LAN.
4. Cliquez sur Générer une paire de clés pour créer des clés publiques et privées. Gardez la clé privée en sécurité.
5. Facultativement, générez une clé pré-partagée pour une sécurité supplémentaire.
6. Cliquez sur Appliquer.

note

Bien que les pairs puissent générer leurs propres clés, laisser Unraid générer les clés simplifie la configuration en fournissant des fichiers de configuration complets.

précaution

Ajouter un nouveau pair peut désactiver temporairement le tunnel WireGuard, ce qui peut interrompre votre connexion. Assurez-vous d'avoir un accès local à votre serveur avant de procéder à des changements.

Configuration d'un pair (client)

Appareil mobile

1. Sélectionnez l'icône œil pour voir la configuration du pair.

2. Dans l'application mobile WireGuard, choisissez Créer à partir d'un code QR et scannez le code QR.
3. Nommez la connexion et connectez. Le tunnel VPN devrait démarrer rapidement.
4. Gardez le code QR privé - quiconque le possède peut accéder à votre VPN.

Autres appareils

1. Sélectionnez l'icône œil pour voir la configuration du pair.

2. Téléchargez le fichier de configuration.
3. Transférez-le en toute sécurité vers l'appareil client (par exemple, via un e-mail de confiance ou un stockage cloud).
4. Décompressez et importez la configuration dans le client WireGuard.
5. Protégez ce fichier pour éviter un accès VPN non autorisé.

Configuration de votre DNS

1. Accédez aux appareils en utilisant des adresses IP ou des noms de domaine complets (par exemple, yourpersonalhash.unraid.net).

note

Les noms courts comme "tour" ou les entrées DNS gérées par le routeur peuvent ne pas fonctionner via le VPN.

2. Pour activer la résolution de noms courts :
   • Allez dans Paramètres → Gestion des VPN dans Unraid.
   • Basculer du mode Basique au mode Avancé.
   • Entrez l'adresse IP de votre serveur DNS préféré dans le champ Serveur DNS pair.
   • Sauvegardez les modifications et mettez à jour le fichier de configuration du client.
3. Serveurs DNS recommandés :
   • L'adresse IP de votre routeur LAN.
   • Serveurs DNS publics comme 8.8.8.8.

Cette configuration est particulièrement importante pour le mode Accès en tunnel à distance, où le serveur DNS d'origine du client peut être inaccessible.

note

Les adresses mDNS (par exemple, tower.local) ne fonctionnent que sur le réseau local et pas via le VPN WireGuard.

Réseaux complexes

For most users, the default Use NAT setting works out of the box and allows access to Unraid and most LAN devices. However, if you use Docker containers with custom IPs or VMs with strict networking requirements:

1. Dans votre configuration de tunnel WireGuard, réglez Utiliser NAT sur Non.
2. Sur votre routeur, ajoutez une route statique pour le réseau de tunnel WireGuard (par exemple, 10.253.0.0/24) pointant vers l'IP de votre serveur Unraid.
3. Dans Paramètres → Paramètres Docker, réglez Accès hôte aux réseaux personnalisés sur Activé.

Configurations à éviter

Paramètre d'utilisation de NAT	Accès hôte aux réseaux personnalisés	Serveur & Dockers (Pont/hôte)	Machines virtuelles & autres systèmes LAN	Dockers avec IP personnalisée	Notes
Oui	Désactivé (Route statique optionnelle)	Accessible	Accessible	Non accessible	Configuration réseau simple; recommandé pour la plupart des utilisateurs
Oui	Activé (Route statique optionnelle)	Accessible	Non accessible	Non accessible	Évitez cette configuration
Non	Désactivé (Aucune route statique)	Accessible	Non accessible	Non accessible	Évitez; nécessite une route statique pour fonctionner correctement
Non	Désactivé (Avec route statique)	Accessible	Accessible	Non accessible	Presque correct; activez l'accès hôte aux réseaux personnalisés
Non	Activé (Avec route statique)	Accessible	Accessible	Accessible	Configuration recommandée pour les réseaux complexes

Dépannage de WireGuard

WireGuard est conçu pour être discret - si quelque chose ne fonctionne pas, il ne fournira pas de messages d'erreur. Pour dépanner efficacement, vous devez vérifier systématiquement chaque aspect de votre configuration.

Liste de vérification de connexion

• ✅ Le tunnel est actif à la fois sur Unraid et les appareils clients. ("Actif" signifie que le tunnel a démarré mais n'est pas nécessairement connecté.)
• ✅ L'URL DDNS pointe vers votre IP publique actuelle et est définie dans Point d'extrémité local.
• ✅ Le port UDP correct est transféré de votre routeur vers Unraid, correspondant au port de l'endpoint local.
• ✅ Les clients disposent des derniers fichiers de configuration après des modifications côté serveur.
• ✅ Les modifications sont enregistrées avant de visualiser ou de distribuer les configurations de pairs (codes QR/fichiers).

Suggestions supplémentaires de dépannage

Conseils pour la première configuration - Cliquez pour développer/réduire

Si vous configurez WireGuard pour la première fois, ces conseils peuvent vous aider à éviter les écueils courants :

• Configurez votre premier client en utilisant un appareil mobile sur des données cellulaires (pas en Wi-Fi) pour écarter les problèmes de réseau local.
• Utilisez la méthode du code QR pour le transfert de configuration le plus simple.

Problèmes de poignée de main et de connectivité - Cliquez pour développer/réduire

Si vous ne voyez pas de poignée de main ou ne pouvez pas vous connecter, essayez ces vérifications ciblées :

• Si vous ne voyez pas de poignée de main, essayez de générer du trafic (par exemple, pinger le serveur) pour déclencher la connexion.
• Désactivez les fonctionnalités d'économie d'énergie, de gestion des données ou d'économie de batterie sur les clients mobiles, car cela peut interférer avec le fonctionnement du VPN.
• Assurez-vous que les réseaux client et serveur utilisent des sous-réseaux différents (par exemple, évitez que les deux utilisent 192.168.1.0/24).
• Si vous utilisez Cloudflare pour le DDNS, configurez le statut du proxy sur DNS uniquement (pas **Proxy). Laissez le temps nécessaire pour que les changements DNS se propagent.
• Si vous pouvez vous connecter depuis certains endroits mais pas d'autres, le réseau distant peut bloquer le trafic UDP. WireGuard ne prend actuellement pas en charge TCP comme solution de repli.

Conflits réseau avancés - Cliquez pour développer/réduire

Si votre configuration réseau est plus complexe ou si vous soupçonnez un conflit d'IP, consultez ces étapes de dépannage avancées :

• En mode Avancé, confirmez que votre pool de réseau de tunnel local ne chevauche aucun réseau existant de chaque côté. En cas de conflit, changez pour un autre sous-réseau privé (par exemple, 10.10.10.0/24).
• Pour les conteneurs Docker avec IPs personnalisées ou VMs avec des exigences strictes, voir la section Réseaux complexes.

Récupération d'urgence - Cliquez pour développer/réduire

If you lose access to the Unraid WebGUI and need to disable WireGuard auto-start

• Supprimez /boot/config/wireguard/autostart de votre clé USB et redémarrez.

* "WireGuard" et le logo "WireGuard" sont des marques déposées de Jason A. Donenfeld.