Évaluation de la solution WireGuard dans un environnement virtualisé Proxmox, comparée à OpenVPN, en vue d'une interconnexion sécurisée des sites distants de Caen la Mer.
La DSI de Caen la Mer souhaitait évaluer la pertinence d'une solution VPN moderne pour interconnecter ses sites distants. L'objectif : comparer WireGuard et OpenVPN sur des critères objectifs avant toute intégration en production.
WireGuard, protocole VPN récent réputé pour sa légèreté et ses performances, a été testé dans un environnement virtualisé reproduisant fidèlement l'infrastructure réelle : un site central, un site distant et un poste prestataire externe.
Un second cas d'usage a été traité : la restriction horaire de l'accès VPN du prestataire via un schedule OPNsense, limitant la connexion aux heures ouvrées (lundi–vendredi, 08h–18h).
Hyperviseur hébergeant toutes les VMs. Bridges vmbr1 (LAN central), vmbr2 (Site A), vmbr3 (WAN simulé).
Contrôleur de domaine Active Directory, service DNS et partage de fichiers SMB (SRV-CAEN-DC01).
Postes clients intégrés au domaine et poste prestataire hors domaine sur réseau WAN simulé.
Pare-feu open source assurant le routage inter-sites, la gestion des tunnels VPN et les règles de filtrage.
Protocole VPN moderne et léger. Port UDP 51820. Intégré nativement dans OPNsense. Réseau VPN : 10.100.0.0/24.
Restriction horaire de l'accès VPN prestataire via Floating Rules. Accès autorisé lundi–vendredi, 08h–18h uniquement.
L'infrastructure est organisée autour de quatre zones réseau distinctes, toutes interconnectées via OPNsense qui dispose de trois interfaces physiques.
Le WAN simulé (vmbr3 — 192.168.50.0/24) représente Internet et centralise les connexions entrantes des deux tunnels WireGuard. C'est l'interface publique d'OPNsense.
Chaque pair WireGuard dispose d'une adresse tunnel dédiée dans le réseau 10.100.0.0/24, permettant un chiffrement de bout en bout des communications.
Le Site Central (vmbr1) héberge le serveur Windows et les clients. Le Site Distant A (vmbr2) et la Zone Prestataire (vmbr3) se connectent exclusivement via leurs tunnels respectifs.
Création des VMs sous Proxmox : Windows Server 2022, Windows 11, OPNsense. Configuration des bridges vmbr1 (LAN central), vmbr2 (Site A) et vmbr3 (WAN simulé).
Installation d'Active Directory et DNS sur Windows Server 2022. Création du domaine caenlamer.local. Intégration des postes clients.
Configuration du routage inter-sites, des trois interfaces réseau (LAN, Site A, WAN) et des règles firewall de base.
Génération des clés cryptographiques, configuration de deux tunnels UDP 51820 : site-à-site (Site A) et accès prestataire externe hors domaine.
Mise en place d'un schedule OPNsense limitant l'accès VPN du prestataire aux heures ouvrées (lundi–vendredi, 08h–18h). Utilisation de Floating Rules pour garantir le blocage hors horaires.
Analyse comparative sur les critères de performance, sécurité, simplicité de configuration et maintenance. Recommandation d'intégration de WireGuard formulée pour la DSI.
Ce projet m'a permis de consolider mes compétences en administration réseau et en sécurisation d'infrastructures multi-sites. La comparaison WireGuard / OpenVPN m'a permis de développer un regard critique sur le choix des solutions techniques en contexte professionnel.