.\Install-WMF5.1.ps1Impossible de charger le fichier Install-WMF5.1.ps1, car l'exécution de scripts est désactivée sur ce système.
get-executionpolicyRestricted
<div dir="ltr"> C'est une aventure d'installer un client WireGuard sur Win ! </div><div dir="ltr">Je suis étonné que wg n'ait pas détaillé ça sur leur site.<br></div><div dir="ltr"><br></div><div dir="ltr">Sur une machine win10<br></div><div dir="ltr"><br></div><div dir="ltr"><br></div><div dir="ltr"><span style="font-size: 11pt;" data-mce-style="font-size: 11pt;">================================= </span></div><div dir="ltr"><span style="font-size: 12pt;" data-mce-style="font-size: 12pt;"> <!--
+ FullyQualifiedErrorId : PathNotFound,Microsoft.PowerShell.Commands.NewItemPropertyCommand</span><br><br></div><div dir="ltr"><span style="font-size: 11pt;" data-mce-style="font-size: 11pt;">J'ai donc d'abord ajouté manuellement laclé WireGuard à HKLM:\software\ (avec regedit en admin, comme je sais faire)</span></div><div dir="ltr"><span style="font-size: 11pt;" data-mce-style="font-size: 11pt;">J'ai alors pu exécuter avec succès ta commande :</span><br></div><div dir="
<div dir="ltr"><br></div><div dir="ltr"><span style="font-size: 11pt;" data-mce-style="font-size: 11pt;">Ensuite, la seconde commande pose aussi problème :</span><br></div><div dir="ltr"><br></div><span style="font-size: 11pt;" data-mce-style="font-size: 11pt;">PS C:\Windows\system32> Get-LocalGroup -Name "Network Configuration Operators"</span><br><span style="font-size: 11pt;" data-mce-style="font-size: 11pt;">Le terme « Get-LocalGroup » n'est pas reconnu comme nom d'applet de
<span style="font-size: 11pt;" data-mce-style="font-size: 11pt;">N'exécutez que des scripts que vous approuvez. Bien que les scripts en provenance d'Internet puissent être utiles, ce</span><br><span style="font-size: 11pt;" data-mce-style="font-size:11pt;">script est susceptible d'endommager votre ordinateur. Voulez-vous exécuter</span><br><span style="font-size: 11pt;" data-mce-style="font-size: 11pt;">D:\data\download\Win7AndW2K8R2-KB3191566-x64\Install-WMF5.1.ps1 ?</span><br><span style="
<div dir="ltr"><span style="font-size: 11pt;" data-mce-style="font-size: 11pt;">Là je suis coincé avec cette vieille machine Win.</span><br></div><div dir="ltr"><span style="font-size: 11pt;" data-mce-style="font-size: 11pt;"> =================================</span> </div><div dir="ltr"><br></div><div dir="ltr"><br data-mce-bogus="1"></div><div dir="ltr"><div dir="ltr"><span style="font-size: 11pt;" data-mce-style="font-size: 11pt;">=================================</span></div><div dir="ltr"><div
</div><div dir="ltr"><span style="font-size: 11pt;" data-mce-style="font-size: 11pt;">Les clefs privée et publique sont générées automatiquement.</span><br></div><div dir="ltr"><span style="font-size: 11pt;" data-mce-style="font-size: 11pt;">Jecomplète avec l'adresse IP du serveur wg et sa clef publique.</span><br></div><div dir="ltr"><span style="font-size: 11pt;" data-mce-style="font-size: 11pt;">J'active le tunnel qui affiche "Activé en vert".</span><br></div><div dir="ltr"><span style="
Le 24 juil. 2023 à 19:40, NoSpam <no-spam@tootai.net> a écrit :
Le 24/07/2023 à 18:56, roger.tarani@free.fr a écrit :
[...]Je n'ai pas eu ces soucis avec des W11 & quelques W10. Accuser wg est fort je trouve, bienvenue dans le monde de WinXX
C'est bien compliqué d'installer wg sur win !
[...]ufw n'est qu'un front-end à iptables (tout comme sfw à nftables) et semble compatible avec nftables
Oui, c’est mal formulé. Je voulais dire que l’on peut sans doute démarrer avec nft sans même connaître iptables et ufw.
Difficile de dire alors que je connais un peu iptables et que je découvre nftables.(même si la syntaxe est différente, c'est vrai que connaitre la syntaxe iptables permet de savoir les notions manipulées).nftables n'a rien de commun avec iptables. Comme dit par Michel, commencer par le wiki.
<div dir="ltr"><br></div><div dir="ltr">J’ai trouvé ça :</div><div dir="ltr"><a href="https://s0ph0s.dog/blog/wireguard-windows-10-home-non-admin/">https://s0ph0s.dog/blog/wireguard-windows-10-home-non-admin/</a></div><div dir="ltr">qui renvoievers un message de l’auteur de wg :</div><div dir="ltr"><a href="https://lore.kernel.org/wireguard/CAHmME9oMFQtePYt37+4eyOn23mwHwP2UGxQi=SaJk9J3p1zCpw@mail.gmail.com/">https://lore.kernel.org/wireguard/CAHmME9oMFQtePYt37+4eyOn23mwHwP2UGxQi=
Plus tard, pourront s'y ajouter un service de nom (bind) et un service de messagerie.
Pour réaliser ça, je suis persuadé qu'il faut parfaitement maîtriser les techniques de routage.
2/ Sur le plan pratique, quel ordre dois-je suivre pour écrire les règles de routage sur ce réseau ?
<br><div>Après redémarrage ou logout/login(suggéré après ajout d'un utilisateur à un groupe) :<br></div><div>il n'y a plus l'erreur <strong>Failed to connect to adapter interface</strong> mais le dialogue avec le serveur ne fonctionnetoujours pas :<br></div><br>2023-07-24 23:10:15.744: [TUN] [wg ] Startup complete<br>2023-07-24 23:10:15.754: [TUN] [wg ] Sending handshake initiation to peer 1 (x.x.x.x:51820)<br>2023-07-24 23:10:20.918: [TUN] [wg ] <strong>Handshake for peer 1</strong>
[ https://learn.microsoft.com/en-us/windows/win32/api/dpapi/nf-dpapi-cryptprotectdata | https://learn.microsoft.com/en-us/windows/win32/api/dpapi/nf-dpapi-cryptprotectdata ] )
Sur win (version avant 10) :
Comme avec w10, j'ai ajouté l'utilisateur au groupe "Opérateurs de configuration réseau" avec le GUI (appelé par lusrmgr.msc)
Puis, j'ai pu appliquer cette recette en CLI :
Enable WireGuard
"C:\Program Files\WireGuard\wireguard.exe" /installtunnelservice
"C:\Program Files\WireGuard\Data\Configurations\NAME_OF_CONNECTION.conf.dpapi"
Disable WireGuard
"C:\Program Files\WireGuard\wireguard.exe" /uninstalltunnelservice "NAME_OF_CONNECTION"
Rq : le fichier NAME_OF_CONNECTION.conf a été transformé
automatiquement en fichier chiffré NAME_OF_CONNECTION.conf.dpapi
Il vaut donc mieux le gérer ailleurs avant de le glisser dans
C:\Program Files\WireGuard\Data\Configurations\ !
Effet : ça a réveillé le GUI et fait apparaître les boutons !
Sauf le bouton Edit puisque le fichier de conf est chiffré...
Rq : il m'a été proposé par win d'ajouter la connexion à un réseau domestique ou de bureau. Ce que j'ai accepté.
Pas plus de ping possible vers le serveur.
Au final, j'ai pu arriver au même comportement qu'avec le client wg w10 :
il dit "Activé" mais n'arrive pas à se connecter au serveur qui ne le
voit pas.
Avec un problème accessoire en prim, puisque je suis connecté en RDP Ã
ce win et que la tentative de connexion en wg coupe la connexion RDP,
ce qui m'oblige à aller déterrer le PC concerné.
Je suis très curieux de savoir comment tu (NoSpam) arrives à faire
tourner des clients wg sous Win.
Bonne nuit.
Ref : https://blog.bonner.is/enable-disable-wireguard-from-windows-command-line/
https://git.zx2c4.com/wireguard-windows/about/docs/enterprise.md
 (-> https://learn.microsoft.com/en-us/windows/win32/api/dpapi/nf-dpapi-cryptprotectdata
)
------------------------------------------------------------------------
*De: *"roger tarani" <roger.tarani@free.fr>
*À: *"Liste Debian" <debian-user-french@lists.debian.org>
*Envoyé: *Lundi 24 Juillet 2023 23:27:56
*Objet: *Fwd: Comment router le trafic réseau finement
------------------------------------------------------------------------
Le 25 juil. 2023 à 10:11, Michel Verdier <mv524@free.fr> a écrit :
Le 24 juillet 2023 roger tarani a écrit :
Commencer par un service de résolution directe et inverse ? (bind)
Oui, mais ne faudrait-il pas d'abord avoir posé le plan d'adressage ?
C'est ce que je disais. Et que installer bind fixe mieux les idées à mon avis.
Est-ce que tout ça est suffisant pour définir un plan d'adressage ?
C'est à toi de savoir si ça te suffit ou pas. Chacun a des besoins différents.
Le 25 juil. 2023 à 11:40, NoSpam <no-spam@tootai.net> a écrit :
Bonjour. Je fais simple comme dit dans mes messages précédents et cela fonctionne. De ce que je lis de ce message, tu as activé wireguard en tant que service ce que je ne fais jamais.
Si le tunnel est activé tu as un soucis avec les IP autorisées dans le tunnel. Es tu sûr de prendre du temps pour comprendre le fonctionnement de wg ?
Aussi, avant de jouer avec un utilisateur lambda je validerai en tant qu'administrateur de la machine. Ah oui, teste ta config windows sur une machine linux ou inversement si la config linux est opérationnelle: la conf de l'un doit fonctionner pour l'autre sans modification aucune.
Le 25/07/2023 à 01:00, roger.tarani@free.fr a écrit :
Sur win (version avant 10) :
Comme avec w10, j'ai ajouté l'utilisateur au groupe "Opérateurs de configuration réseau" avec le GUI (appelé par lusrmgr.msc)
Puis, j'ai pu appliquer cette recette en CLI :
Enable WireGuard
"C:\Program Files\WireGuard\wireguard.exe" /installtunnelservice "C:\Program Files\WireGuard\Data\Configurations\NAME_OF_CONNECTION.conf.dpapi"
Disable WireGuard
"C:\Program Files\WireGuard\wireguard.exe" /uninstalltunnelservice "NAME_OF_CONNECTION"
Rq : le fichier NAME_OF_CONNECTION.conf a été transformé automatiquement en fichier chiffré NAME_OF_CONNECTION.conf.dpapi
Il vaut donc mieux le gérer ailleurs avant de le glisser dans C:\Program Files\WireGuard\Data\Configurations\ !
Effet : ça a réveillé le GUI et fait apparaître les boutons !
Sauf le bouton Edit puisque le fichier de conf est chiffré...
Rq : il m'a été proposé par win d'ajouter la connexion à un réseau domestique ou de bureau. Ce que j'ai accepté.
Pas plus de ping possible vers le serveur.
Au final, j'ai pu arriver au même comportement qu'avec le client wg w10 : >> il dit "Activé" mais n'arrive pas à se connecter au serveur qui ne le voit pas.
Avec un problème accessoire en prim, puisque je suis connecté en RDP à ce win et que la tentative de connexion en wg coupe la connexion RDP, ce qui m'oblige à aller déterrer le PC concerné.
Je suis très curieux de savoir comment tu (NoSpam) arrives à faire tourner des clients wg sous Win.
Bonne nuit.
Ref :
https://blog.bonner.is/enable-disable-wireguard-from-windows-command-line/ >> https://git.zx2c4.com/wireguard-windows/about/docs/enterprise.md
(-> https://learn.microsoft.com/en-us/windows/win32/api/dpapi/nf-dpapi-cryptprotectdata )
De: "roger tarani" <roger.tarani@free.fr>
À: "Liste Debian" <debian-user-french@lists.debian.org>
Envoyé: Lundi 24 Juillet 2023 23:27:56
Objet: Fwd: Comment router le trafic réseau finement
J’ai tenté de faire sur le fw (attention : je suis très moyen en fw win !) :</div><div>Autoriser l’application Wireguard.exe </div><div>Pas suffisant. </div><div>J’ai alors ajouté une règle pour autoriser le trafic vers le port51820 udp (pas sûr que ça suffise puisque wg crée des connexions en retour sur d’autres ports sur lesquels le client écoute…). </div><div><br></div><div>Peux-tu me dire exactement comment tu configures le poste win10 (utilisateur admin) pour
<div> DNS = 10.8.0.1, 9.9.9.9</div><br><div>Je constate que pour accéder à internet via le serveur wg, le client iOS wg et le client win10 wg ont besoin <br></div><div><div><div> DNS = 10.8.0.1, 9.9.9.9</div></pendant un petit moment, il ne répond plus au ping des autres pairs.</div><div>Tandis que sur le serveur la commande sudo wg l'affiche avec un dernier contact assez lointain : </div><div> latest handshake: 1 minute, 56 seconds ago<br></div><
<div>sinon, c'est "pas d'accès à internet".<br></div><div>Le client wg linux (mon poste de travail) n'a pas besoin de directire DNS.<br></div><br><br>4/ l'outil ping est trompeur avec ce protocole "peu bavard" car si le client a été inactif
<div>Il suffit de faire une requête http sur le client wg win10, par exemple en rafraichissant un fenêtre de navigateur, pour que ce client réponde immédiatement à un ping d'un autre pair. </div><div>Et que le serveur le voit "récemment" :<br></manifesté son envie de communiquer ??...<br data-mce-bogus="1"></div><div><br data-mce-bogus="1"></div><br><div>5/ Le GUI Win10 qui affiche "Activé" alors que le serveur ne le voit pas, voire même n'a pas encore la clef publique du client : c'est
<div> latest handshake: 14 seconds ago</div><div><br data-mce-bogus="1"></div><div>Ça me gêne car : le serveur applicatif, qui est sur ce vpn, ou un autre client, pourront-ils communiquer avec un client "en veille" avant que celui-ci ait
</div></div></body></html>
Bonne nouvelle : les 2 clients wg win (win10/admin et win avant
10/non admin) fonctionnent.
Chaque pair peut joindre l'autre sur le vpn (ping).
Je pense m'être emmêlé entre plusieurs choses :D'ou ma question si tu penses avoir compris wg ...
[...]Non. Les interfaces sous Linux sont lancées en post-up via un script qui
A NoSpam : tu utilises wg-quick pour toutes les interfaces wg (serveur
ou client) ? (puisque pas de service)
3/ divers tutos recommandent pour le client wg win10, soit aucuneAucun des clients windows, MacOS ou Linux n'ont de directives DNS
directive DNS, soit une directive DNS, par exemple :
   DNS = 10.8.0.1
ou
   DNS = 10.8.0.1, 9.9.9.9
Je constate que pour accéder à internet via le serveur wg, le client
iOS wg et le client win10 wg ont besoin
   DNS = 10.8.0.1, 9.9.9.9
sinon, c'est "pas d'accès à internet".
Le client wg linux (mon poste de travail) n'a pas besoin de directire DNS.
4/ l'outil ping est trompeur avec ce protocole "peu bavard" car si leAs tu lu la doc ? PersistentKeepalive est la pour ca. Le problème est le réseau du client, pas le client
client a été inactif pendant un petit moment, il ne répond plus au
ping des autres pairs.
Tandis que sur le serveur la commande sudo wg l'affiche avec un
dernier contact assez lointain :
 latest handshake: 1 minute, 56 seconds ago
[...]J'insiste, mais lire des tutos n'est pas la bonne manière d'apprendre à configurer un logiciel. À la première panne tu seras dans la panade.
Vous saviez tout ça sur wg ?
Le 25 juil. 2023 à 17:53, NoSpam <no-spam@tootai.net> a écrit :
Le 25/07/2023 à 16:28, roger.tarani@free.fr a écrit :
Bonne nouvelle : les 2 clients wg win (win10/admin et win avant 10/non admin) fonctionnent.D'ou ma question si tu penses avoir compris wg ...
Chaque pair peut joindre l'autre sur le vpn (ping).
Je pense m'être emmêlé entre plusieurs choses :
[...]Non. Les interfaces sous Linux sont lancées en post-up via un script qui mets tout en place (MTU, DNS, routes, ...)
A NoSpam : tu utilises wg-quick pour toutes les interfaces wg (serveur ou client) ? (puisque pas de service)
La documentation est super incomplète et les tutos trouvés se marchent dessus Surtout sur le comportement de wg, selon les directives des fichiers de configuration n’est pas expliqué… il faut tout lire man wg-quick, etc. </div><div><<blockquote type="cite" cite="mid:1572716098.-1392162162.1690295290441.JavaMail.zimbra@free.fr">
</div><div><br><blockquote type="cite"><div dir="ltr">
Le 25 juil. 2023 à 18:55, NoSpam <no-spam@tootai.net> a écrit :
[...]
A NoSpam : tu utilises wg-quick pour toutes les interfaces wg (serveur ou client) ? (puisque pas de service)
Non. Les interfaces sous Linux sont lancées en post-up via un script qui mets tout en place (MTU, DNS, routes, ...)
Oui, c'est radical !</span><br><span style="font-family: 'times new roman' , 'new york' , 'times' , serif;" data-mce-style="font-family: 'times new roman' , 'new york' , 'times' , serif;">A condition de maîtriser parfaitement ces commandes ifupdown etautres.</span></div><br><div><span style="font-family: 'times new roman' , 'new york' , 'times' , serif;" data-mce-style="font-family: 'times new roman' , 'new york' , 'times' , serif;">Voici ce que wg-quick up | down fait :</span></div><div><p><span
<span style="font-family: 'courier new' , 'courier' , 'monaco' , monospace , sans-serif; font-size: 10pt;" data-mce-style="font-family: 'courier new' , 'courier' , 'monaco' , monospace , sans-serif; font-size: 10pt;">[#] wg setconf wg0 /dev/fd/63</span><br><span style="font-family: 'courier new' , 'courier' , 'monaco' , monospace , sans-serif; font-size: 10pt;" data-mce-style="font-family: 'courier new' , 'courier' , 'monaco' , monospace , sans-serif; font-size: 10pt;">[#] ip -4 address add 10.8.0.
Le 26 juil. 2023 à 09:42, NoSpam <no-spam@tootai.net> a écrit :
Pour clarifier, setconf est lancer dans mes scripts post-up, manuellement en est pour moi le reflet.
Le 26/07/2023 à 09:38, NoSpam a écrit :
Le 26/07/2023 à 01:22, roger.tarani@free.fr a écrit :
[...]Je n'utilise pas ces commandes, je configure manuellement.
Si on décide à la place d'utiliser des commandes élementaires, par quoi remplacerait-on les commandes wg setconf et wg set ?
Comprends bien que tu ne dois pas être un clone de mes configurations/remarques/... à toi de découvrir ce qui te convient le mieux, ce avec quoi tu es à l'aise et surtout comment tu pourras réparer en cas de problème.
<blockquote type="cite"><div dir="ltr"><span>Pour clarifier, setconf est lancer dans mes scripts post-up, manuellement en est pour moi le reflet.</span><br><span></span><br><span>Le 26/07/2023 à 09:38, NoSpam a écrit :</span><br><blockquotetype="cite"><span>Le 26/07/2023 à 01:22, roger.tarani@free.fr a écrit :</span><br></blockquote><blockquote type="cite"><blockquote type="cite"><span>[...]</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>Si
Le 26 juil. 2023 à 10:45, NoSpam <no-spam@tootai.net> a écrit :

Le 26/07/2023 à 10:40, RogerT a écrit :Je n'ai *JAMAIS* dit que j'utilise systemctl puisque c'est ifupdown qui gère les interfaces ! J'aimerai bien que tu ne déformes pas mes propos ...
[...]
Je crois que tu avais relevé que j’utilisais systemctl start wg0 . Tu m’as dit : pas besoin de nm, de systemd (systemctl enable | disable | start | … ), etc.
[...]
Le 26 juil. 2023 à 10:22, NoSpam <no-spam@tootai.net> a écrit :

Le 26/07/2023 à 10:17, RogerT a écrit :Qu'est ce que cela à voir dans l'histoire ?
[...]
Mais peux-tu expliquer l’inconvénient que tu trouves à un utiliser un service enabled ?
Le 26 juil. 2023 à 10:22, NoSpam <no-spam@tootai.net> a écrit :

Le 26/07/2023 à 10:17, RogerT a écrit :
[...]
Mais peux-tu expliquer l’inconvénient que tu trouves à un utiliser un service enabled ?
Qu'est ce que cela à voir dans l'histoire ?
Le 26 juil. 2023 à 11:02, NoSpam <no-spam@tootai.net> a écrit :cloud-init. Aussi, j'utilise principalement ipv6, je dois donc faire passer ipv4 via ipv6: encore un argument pour gérer via des scripts perso.

Le 26/07/2023 à 10:54, RogerT a écrit :
[...]
Je voulais juste savoir si tu connaissais un inconvénient à utiliser systemctl enable plutôt que ifupdown.
C’est tout.
Ça m’intéresse aussi de savoir si on peut vivre sans systemctl !
Comme déjà écris précédemment, pourquoi utiliser X outils pour faire la même chose. Tu utilises NM, systemctl et que sais je encore pour monter tes interfaces, je n'utilise que ifupdown pour le même travail et qui de plus est compatible avec
[...]
Le 26 juil. 2023 à 10:45, NoSpam <no-spam@tootai.net> a écrit :

Le 26/07/2023 à 10:40, RogerT a écrit :Je n'ai *JAMAIS* dit que j'utilise systemctl puisque c'est ifupdown qui gère les interfaces ! J'aimerai bien que tu ne déformes pas mes propos ...
[...]
Je crois que tu avais relevé que j’utilisais systemctl start wg0 . Tu m’as dit : pas besoin de nm, de systemd (systemctl enable | disable | start | … ), etc.
[...]
Le 26 juil. 2023 à 10:22, NoSpam <no-spam@tootai.net> a écrit :
Le 26/07/2023 à 10:17, RogerT a écrit :Qu'est ce que cela à voir dans l'histoire ?
[...]
Mais peux-tu expliquer l’inconvénient que tu trouves à un utiliser un service enabled ?
Sysop: | Keyop |
---|---|
Location: | Huddersfield, West Yorkshire, UK |
Users: | 299 |
Nodes: | 16 (2 / 14) |
Uptime: | 40:47:42 |
Calls: | 6,682 |
Files: | 12,225 |
Messages: | 5,343,432 |