wg-easy 15 : Le VPN facile pour des vacances connectées ! 🏖️Wireguard pour les nuls [Docker]

En bref

Prérequis	Serveur Docker, nom de domaine ou IP publique fixe, port UDP 51820 ouvert sur la box
Résultat	VPN WireGuard auto-hébergé accessible depuis n’importe où
Ressources	wg-easy GitHub

---

Pourquoi un VPN maison en vacances

En déplacement, on se connecte sur des réseaux Wi-Fi inconnus — hôtel, gîte, Airbnb, restaurants. Le niveau de sécurité de ces réseaux est inconnu. Un VPN crée un tunnel chiffré entre votre appareil et votre serveur chez vous.

Avantages concrets :

• Sécurité : le trafic est chiffré, personne sur le réseau Wi-Fi ne peut voir ce qui passe
• Accès au réseau local : comme si vous étiez chez vous — NAS, domotique, tout est accessible en local
• Navigation depuis la France : recherches en français, pas de géoblocage, vos services habituels
• Sauvegardes : photos et vidéos des vacances directement sur le NAS

C’est différent d’un VPN commercial (Proton, etc.) : ici le serveur VPN c’est votre machine chez vous. Pas d’anonymisation — c’est fait pour l’accès à distance et la sécurisation, pas pour cacher votre IP.

wg-easy

wg-easy est une interface web open source au-dessus de WireGuard. WireGuard n’a pas d’interface graphique native — wg-easy en ajoute une pour ajouter/supprimer des clients, générer des QR codes, activer/désactiver les connexions.

Je le déploie sur mon serveur Jeedom, ce qui me permet de le démarrer/arrêter depuis l’interface domotique ou le smartphone. Vous pouvez le déployer sur n’importe quelle machine avec Docker.

Changements v15 vs v14 :

• Authentification par identifiant + mot de passe (plus de hash à générer)
• Interface d’administration plus complète
• Abandon ARM v6 (très vieilles plateformes), support ARM v7+
• Migration v14 → v15 : simple import du fichier wg0.json

Prérequis réseau

Le port 51820 UDP doit être ouvert sur votre box et redirigé vers le serveur. Sur Livebox : Réseau → NAT/PAT → ajouter une règle 51820 UDP vers l’IP interne du serveur.

Ne jamais exposer le port 51821 (interface d’administration) directement sur internet. L’administrer uniquement en local ou via le VPN lui-même.

docker-compose.yml

Le docker-compose de wg-easy utilise l’image officielle version 15. Les points clés de la configuration :

• Port 51820/UDP : le port WireGuard lui-même, à ouvrir sur le routeur
• Port 51821/TCP : l’interface d’administration web
• Variable INSECURE=true : à utiliser uniquement si l’interface d’administration est accessible en local uniquement, derrière un reverse proxy. Si vous exposez via reverse proxy en HTTPS, retirez ce paramètre.
• Capacités Linux requises : NET_ADMIN et SYS_MODULE pour que WireGuard puisse créer les interfaces réseau
• Sysctls : activation du routage IP (IPv4 et IPv6) nécessaire pour le fonctionnement du VPN
• Volume dédié pour la persistance de la configuration WireGuard (/etc/wireguard)

Consultez la documentation officielle de wg-easy sur GitHub pour le docker-compose complet à jour.

Premier démarrage

1. docker compose up -d
2. Accéder à http://IP_SERVEUR:51821
3. Créer le compte admin (identifiant + mot de passe)
4. Choisir si c’est une nouvelle installation ou une migration depuis v14

Migration depuis v14

1. Dans l’ancienne interface v14 : faire un Backup → télécharge wg0.json
2. Au premier démarrage v15 : importer ce fichier
3. Tous les clients existants sont récupérés

Ajouter un client

1. Dans l’interface wg-easy → “Ajouter un client”
2. Donner un nom (ex : “Téléphone vacances”)
3. Cliquer sur l’icône QR code
4. Dans l’application WireGuard sur le smartphone : “Importer depuis QR code”
5. La connexion est configurée en quelques secondes

Pour activer/désactiver le VPN : application WireGuard sur le smartphone, un toggle suffit.