Aller au contenu
Verbozh

Configurer Wireguard sur un UCG Ubiquiti

·453 mots·3 mins
Sommaire

Configurer WireGuard sur un UCG Ubiquiti
#

J’ai récemment migré mon infrastructure réseau vers un UCG Ultra d’Ubiquiti. Tout fonctionne bien, l’interface UniFi est agréable, mais je voulais un accès VPN à mon réseau local depuis l’extérieur. OpenVPN c’est lourd, et j’utilise WireGuard partout ailleurs. Bonne nouvelle : depuis UniFi OS 3.x, WireGuard est supporté nativement sur les UCG.

Le problème c’est que la documentation officielle reste assez légère sur le sujet. J’ai donc passé quelques heures à comprendre comment tout ça s’articule. Voici ce que j’ai appris.

Activer le serveur WireGuard
#

Dans l’interface UniFi Network, direction Settings puis VPN. Tu crées un nouveau serveur VPN et tu choisis WireGuard. L’interface te génère automatiquement les clés du serveur et te propose de définir le subnet du tunnel. J’ai gardé le défaut en 10.0.0.1/24, ça fonctionne très bien.

Le port par défaut est 51820, pense à vérifier que ton firewall laisse passer l’UDP sur ce port. Sur le UCG c’est normalement géré automatiquement, mais si tu as des règles custom ça peut bloquer.

Ajouter des clients
#

C’est là que UniFi simplifie vraiment la vie. Tu cliques sur “Add Client”, tu donnes un nom, et le système génère un QR code plus un fichier de configuration. Sur iOS ou Android avec l’app WireGuard officielle, tu scannes le QR et c’est réglé en trente secondes.

Pour un client Linux, tu récupères le fichier conf et tu le places dans /etc/wireguard/ :

sudo mv client.conf /etc/wireguard/wg0.conf
sudo wg-quick up wg0


Je trouve ça nettement plus propre que la configuration manuelle qu'on devait faire avant sur EdgeRouter.

## Accéder au réseau local

Par défaut le tunnel ne route que le trafic destiné au subnet VPN. Si tu veux accéder à ton LAN complet, il faut modifier les "Allowed IPs" côté client pour inclure ton réseau local, genre 192.168.1.0/24. Dans l'interface UniFi tu peux aussi cocher l'option pour router tout le trafic via le VPN, pratique quand tu es sur un WiFi public douteux.

Un point qui m'a fait perdre du temps : si tu as plusieurs VLANs, vérifie les règles de firewall inter-VLAN. Le trafic WireGuard arrive sur une interface dédiée et doit être autorisé explicitement vers tes autres réseaux.

## Performances et stabilité

Après deux semaines d'utilisation quotidienne, je suis impressionné. La connexion s'établit quasi instantanément, le débit est excellent, et je n'ai eu aucune déconnexion intempestive. Comparé à mon ancienne config OpenVPN sur un Raspberry Pi, c'est le jour et la nuit en termes de latence.

La seule limite c'est qu'on ne peut pas encore faire de site-to-site WireGuard directement depuis l'interface UniFi. Pour ça il faut passer par SSH et configurer manuellement, ce qui casse un peu la philosophie "tout en GUI" d'Ubiquiti.