CasaOS / ZimaOS Wireguard - https imposé en local

[Machin-Truc]

Bonjour bonjour !

Un sushi que je n'arrive pas à résoudre, et qui semble pourtant simple... quand on parle gliglish.

Wireguard indique que je ne peux pas me connecter sans https.



Oki doki, me voilà à ouvrir le terminal et... aucune commande sudo apt disponible pour openssl. ZimaOS a ses subtilités que Zima comprend mais pas moi.
N'étant pas robuste sur Linux du fait des lignes de commande en anglais et d'un long parcours sous Windows, je me retrouve en galère.

Question 1 : Comment produire des certificats SSL/TLS depuis ZimaOS (ou ailleurs avec un tuto en FR) ?
Question 2 : Quand je fais le réglage https depuis les paramètres compose de WG, il ne se lance plus...



Merci pour les idées

 

[morgyann]

Comment produire des certificats SSL/TLS depuis ZimaOS (ou ailleurs avec un tuto en FR) ?

Avec un NDD + NPM (par ex)
Tu trouveras l'ensemble des démarches en détail sur mon Blog (en français, spé débutant)

Installer NPM - BLOG'NOTES

blognotes.fr

Quand je fais le réglage https depuis les paramètres compose de WG, il ne se lance plus...

Je vais tester cette app sur Zima ce week-end (jamais testé en prod) et reporterai le tuto ici (et sur Blog'Notes)

 

[Machin-Truc]

Complément d'infos :

Voici le message que j'obtiens après avoir réinstallé WG. Problème, je n'ai pas une lecture assez fine de l'anglais pour comprendre ce qu'il faut faire, hormis que j'ai un truc à faire avec WG_HOST...


Et voici les paramètres



Si cela peut aider à m'aider...

 

[morgyann]

Question subsidiaire pourquoi souhaites-tu installer un VPN ? (joindre ton Zima ou ton réseau ?)

 

[Machin-Truc]

Question subsidiaire pourquoi souhaites-tu installer un VPN ? (joindre ton Zima ou ton réseau ?)

Jusqu'ici, j'ai un accès WG via mon routeur (Après pas mal de galère pour que ça tourne). Mais voilà, je n'ai que 10 tunnels possibles et il m'en faut 12, sachant que je préfère la connexion via VPN que le reverse proxy qui impose la création d'un compte externe, voir un abonnement, et expose un domaine sur le web.

Du coup, l'application WG sur Zima devrait permettre d'avoir les tunnels manquants pour diversifier les accès à mon réseau local.

Sauf qu'en config "easy", c'est pas du tout easy.

Déjà pour le masque d'IPs ; j'ai 10.8.0.0/24. Or, j'ai déjà testé ce /24 sur mon routeur et ça ne fonctionnait pas, tandis que /32 fonctionne à merveille. J'ignore ce /32 mais ça marche, donc... il me faut ce /32.

J'ai donc intégré la variable IPV4_CIDR à l'installation, mais sans résultat. Elle permet de spécifié le masque IP/24 ou /32 entre autres.

J'ai lu dans un tuto que la commande est INIT_IPV4_CIDR, mais comme dans WG easy les commandes commencent par WG, j'ai mis WG_ devant (WGeasy tolère une connexion locale http sans usename donc j'arrive à tester des tunnels contrairement à la version 15 qui pose pas mal de soucis à beaucoup de monde)

Voici la config que j'ai faite. Tu noteras le port en 51830 au lieu du traditionnel 51820 car mon routeur l'utilise pour les 10 autres tunnels.

 

[morgyann]

Voici la config que j'ai faite.

et ça fonctionne ou non ?

 

[Machin-Truc]

et ça fonctionne ou non ?

Bah non parce que ce WGeasy ne prend pas ma commande /32. Ou bien c'est autre chose

En passant, je suis en train de lire ton tuto Nextcloud sur ton blog. Je vais tenter ça en avril ou en juillet. C'est trop complexe quand je suis blinder au taff.

 

[morgyann]

WGeasy

Je suis en train de tester - je ferai un retour

 

[morgyann]

je ferai un retour

@Machin-Truc En avant première pour ta demande -> ci après un fichier de conf YAML (spé Casa/Zima) qui semble fonctionner (basé sur l'officiel du GitHub sur la nouvelle version de l'app) - j'ai fini la conf sur mon Zima mais pas encore testé avec un client (demain si j'ai le temps).
NB : il faut ouvrir en UDP le port 51820 sur ta Box/Routeur

name: wg-easy
services:
  wg-easy:
    cap_add:
      - NET_ADMIN
      - SYS_MODULE
    cpu_shares:
    command: []
    container_name: wg-easy
    deploy:
      resources:
        limits:
          memory:
        reservations:
          devices: []
    environment:
      - INIT_ENABLED=true
      - INIT_HOST=
      - INIT_PASSWORD=
      - INIT_USERNAME=
    image: ghcr.io/wg-easy/wg-easy:15
    labels:
      icon: https://cdn.jsdelivr.net/gh/homarr-labs/dashboard-icons/png/wireguard.png
    ports:
      - target: 51820
        published: "51820"
        protocol: udp
      - target: 51821
        published: "51821"
        protocol: tcp
    restart: unless-stopped
    sysctls:
      net.ipv4.conf.all.src_valid_mark: "1"
      net.ipv4.ip_forward: "1"
      net.ipv6.conf.all.disable_ipv6: "0"
      net.ipv6.conf.all.forwarding: "1"
      net.ipv6.conf.default.forwarding: "1"
    volumes:
      - type: bind
        source: /DATA/AppData/wg-easy/data
        target: /etc/wireguard
      - type: bind
        source: /lib/modules
        target: /lib/modules
    devices: []
    networks:
      - wg
    privileged: false
networks:
  wg:
    name: wg-easy_wg
    driver: bridge
    ipam:
      driver: default
      config:
        - subnet: 10.42.42.0/24
        - subnet: fdcc:ad94:bacf:61a3::/64
    enable_ipv6: true
x-casaos:
  author: self
  category: self
  hostname:
  icon: https://cdn.jsdelivr.net/gh/homarr-labs/dashboard-icons/png/wireguard.png
  index: /
  is_uncontrolled: true
  port_map: ""
  scheme: http
  store_app_id:
  title:
    custom: WG-VPN
    en_us: wg-easy

Tuto en cours ...

 

[Machin-Truc]

j'ai fini la conf sur mon Zima mais pas encore testé avec un client (demain si j'ai le temps).

Alors de mon côté, j'ai démarré la config dans le WebUI, puis lorsqu'il me demande de me connecter, rien ne se passe et j'ai le message "Utilisez https".
C'est déprimant car si j'active https dans le yaml, j'obtiens ça... jusqu'à l'échec. C'est le même problème sur toutes les versions sauf la easy qui tourne en http, mais elle ne me donne aucun tunnel fonctionnel.


Bref si tu trouves une astuce, chapeau bas.

 

[Ludo33]

Simple question tu veut wireguard pour accéder à ton Zima ?

 

[morgyann]

j'ai démarré la config

J'ai mis en ligne la config du serveur Casa/Zima sur :

Installer wg-easy - BLOG'NOTES

blognotes.fr

Je testerai ce dimanche après midi le client à distance - à suivre ...

 

[Machin-Truc]

Simple question tu veut wireguard pour accéder à ton Zima ?

Salut,
Alors non car Zima embarque déjà un réseau virtuel accessible depuis l'extérieur, mais oui, c'est confortable de passer aussi via le VPN car je fais tous les appareils de mon réseau via une connexion unique et sécurisée.
En l’occurrence j'ai des services que je ne veux pas exposer pour des questions de protection, même derrière un RProxy, et plusieurs appareils qui doivent bénéficier d'un accès depuis un VPN par des personnes différentes, mais qui n'ont pas toutes accès à tous les appareils, ni à tous les services..

Le RProxy ne sera mis en place que pour Nextcloud et un serveur WEB d'autohébergement, car je dois pouvoir contourner les blocages de protocole VPN (Notamment au boulot). C'est pour cela que je commence à m'intéresser aussi à Nginx mais c'est un autre sujet.

 

[Ludo33]

Oki moi j’utilise Tailscale ( qui utilise le protocole Wireguard) pour accéder depuis l’extérieur sans ouvrir un seul port de ma box mais pour ton usage spécifique je sais pas si c’est la solution.

 

[Machin-Truc]

Oki moi j’utilise Tailscale ( qui utilise le protocole Wireguard) pour accéder depuis l’extérieur sans ouvrir un seul port de ma box mais pour ton usage spécifique je sais pas si c’est la solution.

J'évite les services imposant d'ouvrir un compte avec données personnelles (Un peu chiant le mec...). MAis au final, Taiscale est un service VPN utilisant WG.
Coté WG, il tourne nickel depuis mon routeur qui intègre serveur VPN et client VPN. Seul problème, il limite 10 tunnels et il m'en faut absolument 12.
d'o ma demande. Je sais configurer un tunnel pour que ça fonctionne chez moi, mais c'est l'application WGeasy qui pose problème (Des versions qui ne permettent pas une configuration manuelle fine comme WGeasy, ou des versions qui ne se lancent pas bien comme WGeasy14legacy ou WGeasy15)

En fouillant le blog de @morgyann j'ai installé d'autres appstores avec son tuto, et il y a des alternatives à WGeasy. Je vais en tester une si la solution de "dieuZima" ne fonctionne pas chez moi.

 

[Machin-Truc]

Salut @morgyann !

Je viens de voir la mise à jour de ton tuto. Bravo.
Bon, chez moi ça ne veut pas fonctionner. Quand je veux me connecter, le bouton "clic" puis devient gris et rien ne se passe.


Si je tente un https en port 443, je reviens à l'image plus haut...


Ce qui est "rassurant", c'est que cela signifie qu'il n'y a que ma config qui bug. C'est donc un point singulier propre à mon installation que je dois trouver.

Voici une curiosité dans le log de ce matin, qui est sauvegardé dans docker/containers/le hash de WGeasy
Le port apparait bien, mais l'ip est un masque au lieu d'apparaître l'IP locale. As-tu la même chose ?

 

[morgyann]

mise à jour de ton tuto.

Je viens d'effectuer les tests à distance cela fonctionne nickel + accès via le navigateur de fichiers + connexion sur les IP locales (à distance).

signifie qu'il n'y a que ma config qui bug

Pour ma part, j'ai déployé cette app directement en https ... je fais un test sur une autre machine voir si cela viens de là ?

 

[morgyann]

c'est que cela signifie qu'il n'y a que ma config qui bug

Je viens de faire un test sur une autre machine (en 192.168.1.7 pour la démo ici) avec ouverture en http (donc sans ndd) - cela fonctionne pareil

À faire dans l'ordre :

0. Pour une nouvelle install - désinstaller l'app qui ne fonctionne pas + supprimer le dossier AppData

1. ouvrir le port UDP de ta box en 51820



2. Uploader le YAML ci-dessus

3. Finir de remplir la console



4. (met du temps à charger) Puis, Clique sur la tuile et,

 

[Machin-Truc]

Je viens d'effectuer les tests à distance cela fonctionne nickel + accès via le navigateur de fichiers + connexion sur les IP locales (à distance).

Alors... Je suis revenu sur l'appli WGeasy (pas la version 15) et... ça marche en http pour la config en adaptant tes réglages dans le yaml.

Maintenant, je vais chercher comment avoir un DDNS sur Zima, car un DDNS sur Zima me permettra de continuer à protéger le serveur derrière le VPN du routeur.
Pour le moment, j'ai désactivé mon VPN pour que Wireguard puisse être contacté via mon IP publique...

En tout cas merci, y'a de sacrées pépites sur ton blog !

Message automatiquement fusionné : 8 Mars 2026

Je viens de faire un test sur une autre machine (en 192.168.1.7 pour la démo ici) avec ouverture en http (donc sans ndd) - cela fonctionne pareil

Nan mais j'ai dû faire une grosse ânerie au début de Zima. J'ignore quoi. Je ne peux plus utiliser un navigateur depuis Zima car le https ne fonctionne pas. C'est pas ouf.
Quand je serai en vacances, je ferai des sauvegardes des yaml et je me lancerai dans un reset. Je connais un peu mieux l'OS, je devrais être moins débile.

 

[morgyann]

DDNS sur Zima

Ouvre un NDD sur Infomaniak (10€/an) - tu as un NDD et tu peux faire autant de Wildcard automatiquement via NPM que tu veux + 1 Boîte courriel au nom de ton NDD gratuite avec suite.

Créer son Nom De Domaine - BLOG'NOTES

blognotes.fr