Naviguer sur Internet avec son propre VPN sur son téléphone Android est devenu quasiment indispensable si la protection de la vie privée est importante pour vous, si vous vous connectez fréquemment à des réseaux Wi-Fi publics ou si vous souhaitez accéder aux ressources de votre domicile ou de votre lieu de travail depuis n'importe où. Configurer son propre VPN avec WireGuard offre un contrôle total sur le serveur, les clés, les clients et le trafic, sans dépendre de tiers ni de services payants dont l'utilisation des données est opaque.
Si vous disposez déjà d'un serveur WireGuard fonctionnant sous Linux (installé de manière traditionnelle ou dans un conteneur Docker), l'étape suivante consiste à apprendre à l'utiliser depuis votre appareil mobile. Cet article vous expliquera, étape par étape et en détail, comment procéder. Configurer un client WireGuard sur AndroidComment utiliser les codes QR pour y parvenir en quelques secondes, que signifient les paramètres les plus importants du fichier de configuration et comment l'intégrer à d'autres appareils comme Windows et Linux pour disposer d'un réseau privé complet.
Ce dont vous avez besoin avant de configurer WireGuard sur Android
Pour utiliser WireGuard depuis Android, vous devez avoir préalablement installé un serveur WireGuard fonctionnel et accessible depuis Internet. Ce serveur sera généralement une machine Linux (un serveur dédié, un VPS, un Raspberry Pi, voire un NAS) sur laquelle vous aurez déjà créé l'interface. wg0, ont généré des clés et ouvert le port correspondant sur le routeur ou le pare-feu.
Dans de nombreux scénarios modernes, on utilise des conteneurs ; il est donc possible que vous ayez déjà configuré WireGuard à l’aide de Docker avec un conteneur appelé protège-fil qui écoute dans le port 51820/UDPCe conteneur est généralement configuré avec une variable d'environnement du type PEERS=2, indiquant que deux clients ont déjà été créés (par exemple, peer1 y peer2) avec leurs fichiers de configuration et leurs codes QR respectifs, prêts à être utilisés sur différents appareils.
Si vous l'avez installé avec Docker, la configuration persistante est généralement enregistrée dans un volume ou un dossier comme celui-ci : ~/services/wireguard/appdata/configet dans une installation Linux classique, les fichiers sont généralement situés dans /etc/wireguard ou, si le serveur génère des configurations côté client, dans des chemins tels que /etc/wireguard/configsDans ces itinéraires, des répertoires de ce type sont créés. peer1, peer2etc., où se trouve le fichier clé : peer1.conf pour le premier client, peer2.conf pour le deuxième, et ainsi de suite.
Dans de nombreux déploiements automatisés, en plus de l'archive .conf Une image est également générée. PNG avec code QR (par exemple, peer1.pngCeci encode le contenu du fichier de configuration. Cette image, ou son équivalent au format texte ANSI depuis le terminal, permet au client mobile d'importer la configuration simplement en pointant l'appareil photo, sans avoir à copier manuellement les clés ou les adresses IP.
Installez le client WireGuard sur Android
Le client WireGuard officiel pour Android peut être téléchargé gratuitement depuis le site web. Google Play StoreSur votre appareil Android, ouvrez l'App Store, recherchez simplement « WireGuard » et assurez-vous de sélectionner l'application développée par Équipe de développement WireGuardqui est le logo officiel et qui affiche généralement le même que celui que l'on retrouve dans la documentation du projet et dans de nombreux guides.
En appuyant sur installerLe processus est rapide et ne nécessite aucune configuration compliquée. Une fois l'application installée sur votre téléphone, vous aurez tout ce dont vous avez besoin à portée de main. créer, importer et gérer des tunnels VPNVous pouvez activer ou désactiver les connexions, examiner le trafic en temps réel, consulter les statistiques des octets envoyés et reçus et modifier les paramètres de chaque tunnel si nécessaire.
En plus de l'installation directe depuis le magasin, l'application WireGuard sur Android vous permet d'importer des configurations depuis fichiers .conf que vous avez stockées sur l'appareil, ainsi que la numérisation Codes QRC'est la méthode la plus simple si le client est déjà installé sur le serveur. Vous verrez qu'une fois que vous aurez pris le coup de main, la création de nouveaux clients pour différents téléphones ou tablettes ne prendra que quelques minutes.
Récupérer la configuration du client depuis le serveur WireGuard
Avant de commencer à travailler sur l'application Android, vous devez localiser la configuration client sur le serveur. Si vous utilisez Docker avec une image WireGuard personnalisée, ces données se trouvent généralement dans le répertoire ~/services/wireguard/appdata/config ou celui que vous avez indiqué comme volume dans le docker-compose.ymlVous y verrez des sous-dossiers comme pair1 y pair2 avec leurs fichiers correspondants.
Si votre installation est classique, la structure la plus courante consiste à appeler le fichier serveur principal wg0.conf et résider à /etc/wireguard, tandis que les profils clients peuvent être dans /etc/wireguard/configs ou un autre itinéraire que vous avez prévu. Dans tous les cas, le fichier dont vous avez besoin pour chaque client sera similaire à : peer1.conf, qui contient toute la configuration de cet appareil : adresse au sein du VPN, clé privée, clé publique du serveur, adresse IP ou domaine de destination et règles de routage.
Si vous avez configuré WireGuard avec une image Docker incluant des utilitaires spécifiques, vous disposez probablement d'une commande permettant d'afficher le code QR directement dans le terminal. Par exemple, vous pouvez exécuter une commande similaire à celle-ci sur la machine où Docker est installé : docker exec -it wireguard /app/show-peer 1Cette commande affiche le code QR correspondant au client numéro 1 (peer1) en utilisant des caractères dans la console, prêt à être scanné par l'application Android.
Dans d'autres productions, au lieu d'utiliser un scénario précis, ils ont recours à code qrenUn petit outil qui génère des codes QR en mode texte ou image. Après l'avoir installé avec une commande comme apt install qrencodeIl suffit de faire quelque chose comme ça qrencode -t ansiutf8 < clientemovil.conf sur le serveur afin que le code QR de configuration soit imprimé clientemovil.conf directement sur le terminal, ce qui vous permet de pointer votre téléphone portable et de capturer les données sans effort.
Importer un tunnel WireGuard via un code QR sur Android
Une fois que vous l'avez visible dans votre session SSH Code QR associé au client Quel que soit le nom que vous souhaitiez utiliser (peer1, peer2 ou un nom personnalisé comme mobileclient), prenez votre smartphone Android et ouvrez l'application WireGuard. Sur l'écran principal, vous verrez un bouton flottant avec le symbole "+" dans le coin inférieur droit, qui sert à ajouter de nouveaux tunnels.
Lorsque vous appuyez sur le bouton Ajouter, un menu proposant plusieurs options s'affiche. Sur Android, l'une des plus pratiques est : « Scanner à partir du code QR » (ou son équivalent en espagnol si vous disposez de l'interface traduite). Sélectionnez cette option et l'application activera l'appareil photo du téléphone portable afin que vous puissiez scanner le code QR que vous avez ouvert dans le terminal SSH ou dans un fichier PNG exporté.
En scannant le code QR, l'application lira immédiatement l'intégralité des paramètres : [Interface] avec la clé privée du client, son adresse VPN et son port d'écoute (le cas échéant) ; et le bloc [Pair]qui contient la clé publique du serveur, le point de terminaison distant avec son adresse IP ou son domaine et son port (généralement 51820/UDP), et la liste des IP autorisés qui définit le trafic acheminé à travers le tunnel.
La prochaine étape consistera à introduire un nom pour identifier le tunnel Dans l'interface de l'application : il peut s'agir d'un nom descriptif comme « VPN domestique », « WireGuard Office » ou « Serveur VPS ». Après l'avoir saisi, confirmez avec le bouton de création (par exemple, Créer un tunnel) et, presque instantanément, vous verrez votre nouvelle entrée VPN sur l'écran d'accueil de WireGuard pour Android, prête à se connecter dès que vous en aurez besoin.
Connectez-vous et utilisez votre VPN WireGuard depuis Android.
Le tunnel étant désormais ajouté, l'application WireGuard liste tous les profils disponibles avec un interrupteur à droitePour établir une connexion avec votre serveur VPN, il suffit de basculer le commutateur sur la position « marche ». Si tout est correctement configuré (clés, adresses IP, port ouvert et redirection du trafic sur le serveur), le tunnel s'affichera comme actif en quelques secondes.
Android affiche également un Icône VPN dans la barre de notificationElle se trouve généralement dans le coin supérieur droit, à côté de l'indicateur de puissance du signal, du réseau Wi-Fi et de l'indicateur de batterie. Cette icône confirme que tout le trafic correspondant... IP autorisés Les données définies dans la configuration sont envoyées via le tunnel WireGuard à votre serveur distant et, de là, sont diffusées sur Internet ou sur le réseau local, selon votre configuration.
À partir de maintenant, toute application mobile utilisant le réseau (navigateurs, messagerie électronique, applications bancaires, messagerie instantanée, etc.) verra comme L'adresse IP sortante est celle de votre serveur VPN. et non celle attribuée par votre fournisseur d'accès Internet ou le réseau Wi-Fi public auquel vous êtes connecté. De plus, tout le trafic est chiffré de bout en bout entre votre appareil Android et le serveur WireGuard, vous protégeant ainsi des écoutes clandestines sur les réseaux non sécurisés et vous permettant de contourner les blocages ou les restrictions géographiques tant que le serveur est situé ailleurs.
Si vous souhaitez à tout moment arrêter d'utiliser le VPN, il vous suffit de retourner dans l'application WireGuard et de désactiver le tunnel. La connexion sera fermée et l'icône VPN disparaîtra d'Android. Cette opération est instantanée et ne nécessite aucun redémarrage d'application. Connectez et déconnectez WireGuard Autant de fois que vous le souhaitez tout au long de la journée, sans vous compliquer la vie.
Comment intégrer Android avec d'autres clients WireGuard (Windows et Linux)
Il est courant d'utiliser le VPN non seulement avec son téléphone portable, mais aussi avec votre ordinateur de bureau, votre ordinateur portable ou même un Raspberry PiWireGuard est disponible pour la quasi-totalité des plateformes : Windows, Linux, macOS, iOS et Android, vous permettant de créer un réseau privé cohérent où chaque appareil possède sa propre clé et adresse IP au sein du VPN.
Sous Windows, un client officiel s'installe en le téléchargeant depuis le site web du projet, dans la section dédiée. installateurs de bureauUne fois le fichier exécutable téléchargé et lancé avec les privilèges d'administrateur, le programme génère automatiquement une paire de clés (publique et privée) et vous permet de créer de nouveaux tunnels soit en saisissant les données manuellement, soit en important le même fichier. peer1.conf que vous utilisez sur d'autres équipements pour ce client spécifique.
Sous Linux, dans les distributions qui utilisent apte En tant que gestionnaire de paquets, l'installation se fait généralement à l'aide d'une commande comme sudo apt install wireguard openresolvEnsuite, vous copiez le fichier de configuration du client (par exemple peer1.conf) à un itinéraire comme /etc/wireguard/wg0.conf en utilisant une commande du style sudo install -o root -g root -m 600 peer1.conf /etc/wireguard/wg0.conf pour garantir les autorisations correctes, et vous démarrez l'interface avec sudo systemctl start wg-quick@wg0Vous pouvez également activer le démarrage automatique avec sudo systemctl activer wg-quick@wg0.
Dans tous les cas, Android fait partie intégrante du système, au même titre que le reste : chaque appareil est un par les pairs qui apparaît dans la configuration du serveur avec son propre Plage de clés publiques et d'adresses IP autoriséesSi vous ajoutez un bloc sur le serveur [Peer] Pour chaque client (Windows, Linux, mobile, etc.), votre tunnel pourra accepter et acheminer le trafic de tous, à condition que les règles de routage et de pare-feu soient correctement configurées.
Clés, adresses et paramètres clés dans WireGuard
Pour que tout fonctionne de manière sûre et efficace, chaque élément de la configuration WireGuard a son utilité. D'une part, il y a les clés publiques et privées de chaque appareil. Le mot de passe privé ne doit jamais quitter l'appareil (mobile, PC, serveur), tandis que le mot de passe public est partagé avec l'autre partie afin qu'elle puisse chiffrer la communication. Sous Linux, par exemple, ils sont générés avec une commande comme wggenkey | tee private.key | wg pubkey > public.keyL'application Windows fait quelque chose de similaire lors de la création d'un nouveau tunnel vide.
Dans le bloc [Interface] de chaque client, le champ Adresse Définissez l'adresse IP interne au sein du réseau VPN. Une plage d'adresses comme celle-ci est généralement utilisée. 10.0.0.0/24 o 10.6.0.0/24afin que le serveur puisse être, par exemple, 10.0.0.1le premier client 10.0.0.2, le suivant 10.0.0.3Et ainsi de suite. Sur Android, ce fichier n'est généralement pas visible directement, mais il est bien présent en interne et c'est celui qui est importé lorsque vous scannez le code QR.
Le port par défaut de WireGuard est 51820/UDPBien que cela puisse être modifié si nécessaire, l'important est que le port soit actif. Ouvrez les paramètres de votre routeur ou pare-feu. et correctement redirigé vers la machine sur laquelle le serveur est exécuté. Si vous utilisez un pare-feu comme UFW sous Linux, vous devrez exécuter des règles du type suivant : ufw autorise 51820/udp Et si vous accédez via SSH, quelque chose comme ufw autorise 22 / tcpSinon, votre téléphone Android ne pourra pas établir le tunnel même si l'application indique que le profil est correctement configuré.
Les directives apparaissent généralement aussi sur le serveur. Afficher y PostDown dans l'archive wg0.confqui servent à ajouter ou à supprimer des règles de iptables qui permettent le transfert de trafic et la NAT. Un exemple courant est le suivant : PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE, ainsi que les éléments correspondants PostDown ce qui supprime ces règles. Ces lignes sont essentielles au bon fonctionnement de votre appareil Android. avoir accès à Internet via le VPN.
N'oubliez pas non plus le Transfert de paquets IPv4 dans le système. Dans de nombreuses distributions, il est activé temporairement avec sysctl -w net.ipv4.ip_forward=1 et la modification permanente de fichiers tels que /etc/sysctl.d/99-sysctl.conf pour décommenter la ligne net.ipv4.ip_forward=1Sans ce paramètre, même si le VPN est opérationnel et que le tunnel est établi entre votre appareil Android et le serveur, vous pourriez toujours être dans l'impossibilité de naviguer sur Internet depuis votre appareil mobile via le VPN.
Gestion de plusieurs clients mobiles (Android et iOS) et sécurité
Si vous souhaitez utiliser le VPN avec plusieurs smartphones ou tablettes, la méthode la plus simple consiste à en créer un. Dossier dédié aux clients mobiles sur le serveur, par exemple dans /etc/wireguard avec un nom comme clients_mobilesÀ partir de là, vous générez les clés et les configurations pour chaque appareil que vous allez enregistrer, en utilisant des noms descriptifs comme android_oficina, android_personal o iphone_trabajo.
La procédure consiste généralement à générer une nouvelle paire de clés à l'aide d'une commande similaire à wg genkey | tee clientemovil_private.key | wg pubkey > clientemovil_public.key, créez un fichier de configuration comme clientemovil.conf et modifiez-le pour inclure un bloc [Interface] avec la clé privée du téléphone portable, votre Adresse (par exemple 10.0.0.4) et, si vous le souhaitez, votre Port d'écoute, et un bloc [Peer] avec la clé publique du serveur, la ligne Point de terminaison = VOTRE_IP_PUBLICE:51820, IP autorisés = 0.0.0.0/0 (pour acheminer tout le trafic via le VPN) et un PersistentKeepAlive = 25 pour maintenir la connexion active après de longues périodes d'inactivité.
Une fois que vous avez préparé le fichier de configuration client, vous devez Ajoutez votre clé publique au serveur dans wg0.conf ajout d'un nouveau bloc [Peer] qui comprend Clé publique depuis le mobile, un IP autorisés correspondant (par exemple 10.0.0.4/32) et, éventuellement, PersistentKeepAlive = 25Ensuite, vous redémarrez WireGuard sur le serveur avec des commandes comme systemctl restart wg-quick@wg0 pour que les changements prennent effet.
En matière de sécurité, il est conseillé restreindre les autorisations d'accès aux fichiers de clés privées sur le serveur afin que seul l'utilisateur root puisse y accéder. Des commandes comme chmod 600 ou l'utilisation de installer -m 600 Elles contribuent à réduire le risque que, si un autre compte du système est compromis, une personne puisse copier les clés et usurper l'identité de vos clients. Bien que votre appareil Android stocke sa propre clé privée en interne, la protection de l'environnement serveur est tout aussi importante.
Vérification, diagnostic et meilleures pratiques
Après avoir configuré votre appareil Android et tout autre client, c'est toujours une bonne idée vérifier que le VPN fonctionne et que le trafic transite bien par le serveur. Une méthode simple consiste à vérifier votre adresse IP publique avant de vous connecter au VPN, puis à utiliser des services comme ipv4.icanhazip.com depuis un navigateur ou, dans le cas de Linux, avec une commande comme curl ipv4.icanhazip.comSi l'adresse IP change pour correspondre à celle du serveur, vous saurez que le routage est correctement configuré.
En cas de panne, le service public systemctl Sous Linux, c'est votre allié pour vérifier l'état du service. wg-quick@wg0. avec sudo systemctl status wg-quick@wg0 Vous pouvez vérifier si le service est actif, si des erreurs se sont produites lors du démarrage de l'interface ou s'il existe des problèmes avec les règles iptables. De même, la commande sudo wg Elle vous présente une liste détaillée de l'interface, de ses clés, du port d'écoute et de tous les pairs enregistrés, ainsi que leurs dernières connexions, les adresses IP autorisées et les octets transmis.
Sur Android, si le tunnel ne parvient pas à se connecter ou se déconnecte constamment, vérifiez que Vous avez accès à l'adresse IP ou au nom de domaine du serveur. (par exemple, si CG-NAT est activé, si le port 51820 est correctement redirigé sur le routeur, etc.) et qu'aucune application d'économie d'énergie ou de gestion de la batterie n'interrompt le processus WireGuard en arrière-plan. Sur certains téléphones, il est conseillé de marquer l'application comme exempté d'optimisation de la batterie pour éviter les déconnexions inattendues.
À mesure que vous ajoutez de plus en plus d'appareils à votre VPN, maintenir un certain ordre dans l'attribution des adresses IP et des noms des pairs vous évitera bien des soucis. Vous pouvez tenir une petite liste où vous notez, par exemple, que 10.0.0.2 C'est votre ordinateur portable, 10.0.0.3 votre ordinateur de bureau, 10.0.0.4 votre mobile Android personnel et 10.0.0.5 Votre téléphone portable professionnel. Par conséquent, si vous souhaitez révoquer l'accès de l'un d'eux, il vous suffit de supprimer ou de commenter son blocage. [Peer] sur le serveur et redémarrez WireGuard.
Configurer votre propre VPN avec WireGuard et l'utiliser depuis Android vous permet de transformer votre téléphone portable en un véritable « satellite » de votre réseau domestique ou de votre serveur cloud : Tout le trafic est crypté, vous accédez à Internet via l'adresse IP du serveur, vous pouvez accéder à vos ressources internes comme si vous y étiez, et vous pouvez facilement intégrer d'autres appareils tels que Windows, Linux, iOS ou macOS..
En suivant les étapes pour générer des clés, créer des fichiers de configuration, activer le transfert de paquets et scanner le code QR depuis l'application, vous disposerez bientôt d'une infrastructure VPN solide et flexible sous votre contrôle, que vous pourrez étendre avec de nouveaux clients sans dépendre de tiers ni sacrifier votre vie privée. Partagez ce guide afin que davantage d'utilisateurs puissent en apprendre davantage sur le sujet.