Donc, j’ai configuré Wireguard pour la plupart de mes ressources auto-hébergées et tout fonctionne très bien. Cependant, j’accède souvent aux services sur mon ordinateur de travail, et je préférerais vraiment éviter d’installer des logiciels sur mon PC de travail pour accéder à mon serveur.
J’ai vu parler de logiciels qui exposent votre tunnel Wireguard en tant que serveur proxy, que vous pourriez accéder via les paramètres proxy dans un navigateur, mais cela me semble réduire la sécurité du modèle d’authentification mutuelle par clé publique de Wireguard à une simple combinaison nom d’utilisateur/mot de passe.
Alors, y a-t-il un moyen d’accéder aux ressources Web via Wireguard sans installer de logiciel (hormis peut-être une extension de navigateur) ou sans invalider les avantages de sécurité que fournit l’authentification mutuelle par PKA ?
Non. Vous utilisez soit un VPN, soit vous ne l’utilisez pas.
Il pourrait exister des plugins permettant de faire passer uniquement le trafic du navigateur par votre VPN, mais ceux-ci nécessitent toujours une configuration initiale.
Si vous le souhaitez, vous pouvez configurer un tunnel divisé sur vos appareils, de façon à ce que seul le trafic vers votre réseau domestique passe par votre VPN, mais je ne connais pas de clients Wireguard basés sur le navigateur.
Si vous avez une permission SSH sortante sur votre ordinateur de travail, vous pouvez faire cela en utilisant SSH. Cela impliquerait d’ouvrir un serveur SSH sur votre réseau domestique au public, mais cela peut être protégé par filtrage d’IP ou cloisonnement GeoIP, fail2ban, authentification par clé, etc., donc c’est un risque minimal.
Une fois que vous pouvez vous connecter à votre serveur SSH domestique depuis votre ordinateur de travail, vous pouvez l’utiliser pour créer un tunnel proxy socks et ensuite ouvrir une session de navigateur qui force le trafic à passer par ce proxy, ce qui vous donne une fonctionnalité semblable à un VPN pour cette seule session de navigateur. Ça fonctionne sur tous les principaux OS, mais sous Windows, il faut évidemment installer un client SSH. Je l’ai déjà fait avec WSL, il y a probablement d’autres options aussi. Si vous avez un ordinateur Linux ou Mac au travail, c’est natif.
Si vous la mettez à disposition sans que l’on ait besoin d’être connecté au VPN, alors il n’y a aucune utilité au VPN et vous pourriez exposer directement les services avec dyndns (s’il vous plaît, ne faites pas ça).
Pour votre cas d’utilisation, les tunnels Cloudflare combinés avec Cloudflare Access pourraient être idéaux. Vous pouvez accéder aux applications via le navigateur mais vous devez d’abord vous authentifier auprès de Cloudflare avant que quoi que ce soit n’aille dans votre réseau interne. Est-ce cela que vous cherchez à réaliser ?
Je comprends ce que vous dites pour la première partie – je vois que le problème sous-jacent est que les VPN fonctionnent à un niveau inférieur à ce que vous pouvez faire dans un navigateur. Je suppose que ma question est de savoir si quelqu’un a réussi à créer une extension ou quelque chose qui exploite l’implémentation de Wireguard d’une manière qui ne nécessite pas de bidouiller sur le logiciel du client.
Oui, j’utilise actuellement CF Tunnels et Access, j’espérais pouvoir trouver une solution avec WG qui soit un peu moins convoluée. J’aime la solution de CF, mais Wireguard est beaucoup plus simple du point de vue de la configuration et de la maintenance. De plus, CF ne me donne pas de bonnes options pour l’authentification sans un IdP tiers, sauf à récupérer manuellement un code de mon email à chaque connexion, ce qui n’est pas la solution la plus sexy, mais peut-être ce que je vais devoir faire.