Ubuntu20.04でWireGuardを設定する方法
序章
WireGuard は、IPv4およびIPv6接続をサポートする軽量の仮想プライベートネットワーク(VPN)です。 VPNを使用すると、信頼できないネットワークをプライベートネットワーク上にいるかのようにトラバースできます。 ホテルやコーヒーショップのWiFiなど、信頼できないネットワークに接続している場合は、スマートフォンやラップトップからインターネットに安全かつ確実にアクセスできます。
WireGuardの暗号化は、ピアが相互に暗号化されたトンネルを確立するための公開鍵と秘密鍵に依存しています。 WireGuardの各バージョンは、特定の暗号化暗号スイートを使用して、シンプルさ、セキュリティ、およびピアとの互換性を確保します。
対照的に、OpenVPNやIPSecなどの他のVPNソフトウェアは、トランスポート層セキュリティ(TLS)と証明書を使用して、システム間の暗号化されたトンネルを認証および確立します。 TLSのさまざまなバージョンには、何百ものさまざまな暗号化スイートとアルゴリズムのサポートが含まれています。これにより、さまざまなクライアントをサポートするための優れた柔軟性が得られますが、TLSを使用するVPNの構成は、時間がかかり、複雑で、エラーが発生しやすくなります。
このチュートリアルでは、Ubuntu 20.04サーバーでWireGuardをセットアップし、IPv4接続とIPv6接続の両方を使用してピアとして接続するように別のマシンを構成します(一般にデュアルスタック接続と呼ばれます)。 また、暗号化されたピアツーピアトンネルにVPNを使用することに加えて、ゲートウェイ構成でWireGuardサーバーを介してピアのインターネットトラフィックをルーティングする方法についても学習します。
このチュートリアルでは、別のUbuntu 20.04システムをWireGuardサーバーのピア(クライアントとも呼ばれる)として構成します。 このシリーズの後続のチュートリアルでは、Windows、macOS、Android、およびiOSのシステムとデバイスにWireGuardをインストールして実行する方法について説明します。
注: DigitalOcean DropletにWireGuardをセットアップする場合は、多くのホスティングプロバイダーと同様に、帯域幅の超過に対して課金されることに注意してください。 このため、サーバーが処理しているトラフィックの量に注意してください。 詳細については、このページを参照してください。
前提条件
このチュートリアルに従うには、次のものが必要です。
- sudo非rootユーザーとファイアウォールが有効になっている1台のUbuntu20.04サーバー。 これを設定するには、 Ubuntu20.04を使用したサーバーの初期設定チュートリアルに従うことができます。 このガイドでは、これを WireGuardServerと呼びます。
- WireGuardサーバーへの接続に使用するクライアントマシンが必要です。 このチュートリアルでは、このマシンを WireGuardPeerと呼びます。 このチュートリアルでは、ローカルマシンをWireGuard Peerとして使用することをお勧めしますが、必要に応じて、リモートサーバーまたは携帯電話をクライアントとして使用できます。 リモートシステムを使用している場合は、このチュートリアルの後半にあるすべてのオプションのセクションに必ず従ってください。そうしないと、システムからロックアウトされる可能性があります。
- WireGuardをIPv6で使用するには、サーバーがそのタイプのトラフィックをサポートするように構成されていることも確認する必要があります。 WireGuardでIPv6サポートを有効にし、DigitalOceanドロップレットを使用している場合は、このドキュメントページドロップレットでIPv6を有効にする方法を参照してください。 ドロップレットを作成するとき、または後でそのページの手順を使用して、IPv6サポートを追加できます。
ステップ1—WireGuardのインストールとキーペアの生成
このチュートリアルの最初のステップは、サーバーにWireGuardをインストールすることです。 まず、WireGuard Serverのパッケージインデックスを更新し、次のコマンドを使用してWireGuardをインストールします。 このセッションでsudo
を初めて使用する場合は、sudoユーザーのパスワードの入力を求められる場合があります。
- sudo apt update
- sudo apt install wireguard
WireGuardがインストールされたので、次のステップはサーバーの秘密鍵と公開鍵のペアを生成することです。 組み込みのwg genkey
およびwg pubkey
コマンドを使用してキーを作成し、秘密キーをWireGuardの構成ファイルに追加します。
また、chmod
コマンドを使用して作成したキーの権限も変更する必要があります。これは、デフォルトでは、ファイルはサーバー上のすべてのユーザーが読み取ることができるためです。
WireGuardの秘密鍵を作成し、次のコマンドを使用してその許可を変更します。
- wg genkey | sudo tee /etc/wireguard/private.key
- sudo chmod go= /etc/wireguard/private.key
sudo chmod go=...
コマンドは、rootユーザー以外のユーザーおよびグループのファイルに対するすべてのアクセス許可を削除して、rootユーザーのみが秘密鍵にアクセスできるようにします。
base64
でエンコードされた出力の1行を受信する必要があります。これは秘密鍵です。 出力のコピーは、コマンドのtee
部分で後で参照できるように、/etc/wireguard/private.key
ファイルにも保存されます。 このセクションの後半でWireGuardの構成ファイルに追加する必要があるため、出力される秘密鍵を注意深くメモしてください。
次のステップは、秘密鍵から派生した対応する公開鍵を作成することです。 次のコマンドを使用して、公開鍵ファイルを作成します。
- sudo cat /etc/wireguard/private.key | wg pubkey | sudo tee /etc/wireguard/public.key
このコマンドは、|
(パイプ)演算子を使用してチェーン化された3つの個別のコマンドで構成されています。
sudo cat /etc/wireguard/private.key
:このコマンドは秘密鍵ファイルを読み取り、それを標準出力ストリームに出力します。wg pubkey
:2番目のコマンドは、最初のコマンドからの出力を標準入力として受け取り、それを処理して公開鍵を生成します。sudo tee /etc/wireguard/public.key
:最後のコマンドは、公開鍵生成コマンドの出力を取得し、それを/etc/wireguard/public.key
という名前のファイルにリダイレクトします。
コマンドを実行すると、WireGuardサーバーの公開鍵であるbase64
でエンコードされた出力が1行表示されます。 サーバーに接続するすべてのピアに公開鍵を配布する必要があるため、参照用にどこかにコピーしてください。
ステップ2—IPv4およびIPv6アドレスの選択
前のセクションでは、WireGuardをインストールし、サーバーとの間のトラフィックを暗号化するために使用されるキーペアを生成しました。 このセクションでは、サーバーの構成ファイルを作成し、サーバーの再起動時に自動的に起動するようにWireGuardを設定します。 また、WireGuardサーバーおよびピアで使用するプライベートIPv4およびIPv6アドレスを定義します。
IPv4アドレスとIPv6アドレスの両方を使用する場合は、これらのセクションの両方に従ってください。 それ以外の場合は、VPNのネットワークニーズに適したセクションの手順に従ってください。
ステップ2(a)—IPv4範囲の選択
WireGuardサーバーをIPv4ピアで使用している場合、サーバーには、クライアントとそのトンネルインターフェイスに使用する一連のプライベートIPv4アドレスが必要です。 次の予約済みアドレスブロックから任意の範囲のIPアドレスを選択できます(これらのブロックの割り当て方法について詳しく知りたい場合は、 RFC 1918仕様にアクセスしてください)。
10.0.0.0
から10.255.255.255
(10/8プレフィックス)172.16.0.0
から172.31.255.255
(172.16 / 12プレフィックス)192.168.0.0
から192.168.255.255
(192.168 / 16プレフィックス)
このチュートリアルでは、予約済みIPの最初の範囲からのIPアドレスのブロックとして10.8.0.0/24
を使用します。 この範囲では、最大255の異なるピア接続が可能であり、通常、他のプライベートIP範囲と重複または競合するアドレスを持つべきではありません。 この例の範囲がネットワークと互換性がない場合は、ネットワーク構成で機能するアドレスの範囲を自由に選択してください。
WireGuard Serverは、その範囲の単一のIPアドレスをプライベートトンネルIPv4アドレスに使用します。 ここでは10.8.0.1/24
を使用しますが、10.8.0.1
から10.8.0.255
の範囲の任意のアドレスを使用できます。 10.8.0.1/24
とは異なるものを使用する場合は、選択したIPアドレスをメモしてください。 このIPv4アドレスを、ステップ3 —WireGuardサーバー構成の作成で定義した構成ファイルに追加します。
ステップ2(b)—IPv6範囲の選択
IPv6でWireGuardを使用している場合は、 RFC4193のアルゴリズムに基づいて一意のローカルIPv6ユニキャストアドレスプレフィックスを生成する必要があります。 WireGuardで使用するアドレスは、仮想トンネルインターフェースに関連付けられます。 プライベートIPv6アドレスの予約済みfd00::/8
ブロック内にランダムで一意のIPv6プレフィックスを生成するには、いくつかの手順を完了する必要があります。
RFCによると、一意のIPv6プレフィックスを取得するための推奨される方法は、時刻を、シリアル番号やデバイスIDなどのシステムからの一意の識別値と組み合わせることです。 次に、これらの値はハッシュされて切り捨てられ、IPの予約済みプライベートfd00::/8
ブロック内で一意のアドレスとして使用できるビットのセットになります。
WireGuardサーバーのIPv6範囲の生成を開始するには、次のコマンドでdate
ユーティリティを使用して64ビットのタイムスタンプを収集します。
- date +%s%N
次のような数値が表示されます。これは、1970-01からの秒数(date
コマンドの%s
)とナノ秒(%N
)です。 01 00:00:00 UTCを組み合わせて:
Output1628101352127592197
このセクションの後半で使用するために、値をどこかに記録します。 次に、サーバーのmachine-id
値を/var/lib/dbus/machine-id
ファイルからコピーします。 この識別子はシステムに固有であり、サーバーが存在する限り変更しないでください。
- cat /var/lib/dbus/machine-id
次のような出力が表示されます。
/var/lib/dbus/machine-id20086c25853947c7aeee2ca1ea849d7d
次に、タイムスタンプをmachine-id
と組み合わせ、SHA-1アルゴリズムを使用して結果の値をハッシュする必要があります。 コマンドは次の形式を使用します。
printf <timestamp><machine-id> | sha1sum
タイムスタンプとマシンIDの値を代入してコマンドを実行します。
- printf 162810135212759219720086c25853947c7aeee2ca1ea849d7d | sha1sum
次のようなハッシュ値を受け取ります。
Output4f267c51857d6dc93a0bca107bca2f0d86fac3bc -
sha1sum
コマンドの出力は16進数であるため、出力は2文字を使用して1バイトのデータを表すことに注意してください。 たとえば、出力例の4f
と26
は、ハッシュされたデータの最初の2バイトです。
RFCのアルゴリズムは、ハッシュ出力の最下位(末尾)の40ビットまたは5バイトのみを必要とします。 cut
コマンドを使用して、ハッシュから最後の5つの16進エンコードバイトを出力します。
- printf 4f267c51857d6dc93a0bca107bca2f0d86fac3bc | cut -c 31-
-c
引数は、cut
コマンドに指定された文字セットのみを選択するように指示します。 31-
引数は、cut
に、位置31から入力行の終わりまでのすべての文字を出力するように指示します。
次のような出力を受け取るはずです。
Output0d86fac3bc
この出力例では、バイトのセットは0d 86 fa c3 bc
です。
これで、生成した5バイトにfd
プレフィックスを追加し、すべての 2 バイトを:
コロンで区切って、独自のIPv6ネットワークプレフィックスを作成できます。 一意のプレフィックス内の各サブネットは合計18,446,744,073,709,551,616の可能なIPv6アドレスを保持できるため、簡単にするためにサブネットを/64
の標準サイズに制限できます。
/64
サブネットサイズで以前に生成されたバイトを使用すると、結果のプレフィックスは次のようになります。
Unique Local IPv6 Address Prefixfd0d:86fa:c3bc::/64
このfd0d:86fa:c3bc::/64
の範囲は、サーバーとピアのWireGuardトンネルインターフェイスに個々のIPアドレスを割り当てるために使用する範囲です。 サーバーにIPを割り当てるには、最後の::
文字の後に1
を追加します。 結果のアドレスはfd0d:86fa:c3bc::1/64
になります。 ピアは範囲内の任意のIPを使用できますが、通常、ピアを追加するたびに値が1ずつ増加します。 fd0d:86fa:c3bc::2/64
。 IPをメモし、このチュートリアルの次のセクションでWireGuardサーバーの構成に進みます。
ステップ3—WireGuardサーバー構成の作成
WireGuard Serverの構成を作成する前に、次の情報が必要になります。
-
ステップ1—WireGuardのインストールとキーペアの生成から秘密鍵を使用できることを確認してください。
-
IPv4でWireGuardを使用している場合は、ステップ2(a)— IPv4範囲の選択でサーバーに選択したIPアドレスが必要になります。この例では、
10.8.0.1/24
です。 。 -
IPv6でWireGuardを使用している場合は、ステップ2(b)—IPv6範囲の選択で生成したサーバーのIPアドレスが必要になります。 この例では、IPは
fd0d:86fa:c3bc::1/64
です。
必要な秘密鍵とIPアドレスを取得したら、次のコマンドを実行して、nano
または任意のエディターを使用して新しい構成ファイルを作成します。
- sudo nano /etc/wireguard/wg0.conf
次の行をファイルに追加し、強調表示されたbase64_encoded_private_key_goes_here
値の代わりに秘密鍵を使用し、Address
行のIPアドレスを使用します。 WireGuardを別のポートで使用できるようにする場合は、ListenPort
行を変更することもできます。
/etc/wireguard/wg0.conf[Interface]
PrivateKey = base64_encoded_private_key_goes_here
Address = 10.8.0.1/24, fd0d:86fa:c3bc::1/64
ListenPort = 51820
SaveConfig = true
SaveConfig
行は、WireGuardインターフェースがシャットダウンされたときに、変更が構成ファイルに保存されることを保証します。
/etc/wireguard/wg0.conf
ファイルを保存して閉じます。 nano
を使用している場合は、CTRL+X
、Y
、ENTER
の順に使用して確認できます。 これで、WireGuardVPNサーバーの使用方法に応じて構築できる初期サーバー構成ができました。
ステップ4—WireGuardサーバーのネットワーク構成を調整する
サーバーのみのサービスにアクセスするためにWireGuardを使用してピアをWireGuardサーバーに接続している場合は、このセクションを完了する必要はありません。 WireGuard PeerのインターネットトラフィックをWireGuardサーバー経由でルーティングする場合は、チュートリアルのこのセクションに従ってIP転送を構成する必要があります。
転送を構成するには、nano
またはお好みのエディターを使用して/etc/sysctl.conf
ファイルを開きます。
- sudo nano /etc/sysctl.conf
WireGuardでIPv4を使用している場合は、ファイルの最後に次の行を追加します。
net.ipv4.ip_forward=1
WireGuardでIPv6を使用している場合は、ファイルの最後に次の行を追加します。
net.ipv6.conf.all.forwarding=1
IPv4とIPv6の両方を使用している場合は、両方の回線が含まれていることを確認してください。 終了したら、ファイルを保存して閉じます。
ファイルを読み取り、現在のターミナルセッションの新しい値をロードするには、次のコマンドを実行します。
- sudo sysctl -p
Outputnet.ipv6.conf.all.forwarding = 1
net.ipv4.ip_forward = 1
これで、WireGuard Serverは、仮想VPNイーサネットデバイスからサーバー上の他のデバイスに、そしてそこからパブリックインターネットに着信トラフィックを転送できるようになります。 この構成を使用すると、WireGuard PeerからサーバーのIPアドレスを介してすべてのWebトラフィックをルーティングでき、クライアントのパブリックIPアドレスが効果的に非表示になります。
ただし、トラフィックをサーバー経由で正しくルーティングする前に、いくつかのファイアウォールルールを構成する必要があります。 これらのルールにより、WireGuardサーバーとピアとの間のトラフィックが適切に流れるようになります。
ステップ5—WireGuardサーバーのファイアウォールを構成する
このセクションでは、WireGuard Serverの構成を編集して、サーバーとクライアントとの間のトラフィックが正しくルーティングされるようにするファイアウォールルールを追加します。 前のセクションと同様に、VPNに制限されているリソースにアクセスするためのマシン間接続にWireGuard VPNのみを使用している場合は、この手順をスキップしてください。
WireGuard VPNトラフィックがサーバーのファイアウォールを通過できるようにするには、マスカレードを有効にする必要があります。これは、クライアント接続を正しくルーティングするためのオンザフライの動的ネットワークアドレス変換(NAT)を提供するiptablesの概念です。
まず、ip route
サブコマンドを使用して、WireGuardサーバーのパブリックネットワークインターフェイスを見つけます。
- ip route list default
パブリックインターフェイスは、このコマンドの出力内にある「dev」という単語に続く文字列です。 たとえば、この結果はeth0
という名前のインターフェイスを示しており、以下で強調表示されています。
Outputdefault via 203.0.113.1 dev eth0 proto static
次の手順でiptables
ルールにデバイスを追加するため、デバイスの名前をメモしてください。
WireGuardサーバーにファイアウォールルールを追加するには、/etc/wireguard/wg0.conf
ファイルをnano
またはお好みのエディターで再度開きます。
- sudo nano /etc/wireguard/wg0.conf
ファイルの下部のSaveConfig = true
行の後に、次の行を貼り付けます。
/etc/wireguard/wg0.conf. . .
PostUp = ufw route allow in on wg0 out on eth0
PostUp = iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE
PostUp = ip6tables -t nat -I POSTROUTING -o eth0 -j MASQUERADE
PreDown = ufw route delete allow in on wg0 out on eth0
PreDown = iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
PreDown = ip6tables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
PostUp
回線は、WireGuardサーバーが仮想VPNトンネルを開始したときに実行されます。 この例では、3つのufw
およびiptables
ルールが追加されます。
ufw route allow in on wg0 out on eth0
-このルールは、wg0
VPNインターフェースで着信するIPv4およびIPv6トラフィックをサーバー上のeth0
ネットワークインターフェースに転送することを許可します。 これは、前のセクションで構成したnet.ipv4.ip_forward
およびnet.ipv6.conf.all.forwarding
sysctl値と連動して機能します。iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE
-このルールはマスカレードを構成し、wg0
VPNインターフェイスに着信するIPv4トラフィックを書き換えて、WireGuardサーバーのパブリックIPv4アドレスから直接発信されているように見せます。ip6tables -t nat -I POSTROUTING -o eth0 -j MASQUERADE
-このルールはマスカレードを構成し、wg0
VPNインターフェイスに着信するIPv6トラフィックを書き換えて、WireGuardサーバーのパブリックIPv6アドレスから直接発信されているように見せます。
PreDown
ルールは、WireGuardサーバーが仮想VPNトンネルを停止したときに実行されます。 これらのルールはPostUp
ルールの逆であり、VPNが停止したときにVPNインターフェイスの転送ルールとマスカレードルールを元に戻すように機能します。
どちらの場合も、VPNに適したIPv4およびIPv6ルールを含めるか除外するように構成を編集します。 たとえば、IPv4のみを使用している場合は、ip6tables
コマンドを使用して行を除外できます。
逆に、IPv6のみを使用している場合は、ip6tables
コマンドのみを含めるように構成を編集します。 ufw
回線は、IPv4ネットワークとIPv6ネットワークの任意の組み合わせに存在する必要があります。 終了したら、ファイルを保存して閉じます。
WireGuardサーバーでファイアウォールを構成する最後の部分は、WireGuardUDPポート自体との間のトラフィックを許可することです。 サーバーの/etc/wireguard/wg0.conf
ファイルのポートを変更しなかった場合、開くポートは51820
です。 設定を編集するときに別のポートを選択した場合は、必ず次のUFWコマンドでそのポートに置き換えてください。
前提条件のチュートリアルに従うときにSSHポートを開くのを忘れた場合は、ここにも追加してください。
- sudo ufw allow 51820/udp
- sudo ufw allow OpenSSH
注:別のファイアウォールを使用している場合、またはUFW構成をカスタマイズしている場合は、ファイアウォールルールを追加する必要がある場合があります。 たとえば、VPN接続を介してすべてのネットワークトラフィックをトンネリングする場合は、ポート53
トラフィックがDNS要求に許可されていること、および80
や443
それぞれHTTPおよびHTTPSトラフィック用。 VPNを介して使用している他のプロトコルがある場合は、それらのルールも追加する必要があります。
これらのルールを追加した後、UFWを無効にしてから再度有効にして再起動し、変更したすべてのファイルから変更をロードします。
- sudo ufw disable
- sudo ufw enable
ufw status
コマンドを実行すると、ルールが適用されていることを確認できます。 それを実行すると、次のような出力を受け取るはずです。
- sudo ufw status
OutputStatus: active
To Action From
-- ------ ----
51280/udp ALLOW Anywhere
22/tcp ALLOW Anywhere
51280/udp (v6) ALLOW Anywhere (v6)
22/tcp (v6) ALLOW Anywhere (v6)
これで、WireGuardサーバーは、ピアの転送やマスカレードなど、VPNのトラフィックを正しく処理するように構成されました。 ファイアウォールルールを設定すると、WireGuardサービス自体を開始してピア接続をリッスンできます。
ステップ6—WireGuardサーバーを起動する
WireGuardは、組み込みのwg-quick
スクリプトを使用して、systemd
サービスとして実行するように構成できます。 wg
コマンドを手動で使用して、VPNを使用するたびにトンネルを作成することもできますが、そうすることは手動のプロセスであり、繰り返してエラーが発生しやすくなります。 代わりに、systemctl
を使用して、wg-quick
スクリプトを使用してトンネルを管理できます。
systemd
サービスを使用すると、サーバーが実行されている限りいつでもVPNに接続できるように、起動時に起動するようにWireGuardを構成できます。 これを行うには、systemctl
に追加して、定義したwg0
トンネルのwg-quick
サービスを有効にします。
- sudo systemctl enable [email protected]
このコマンドは、サービス名の一部としてトンネルwg0
デバイス名の名前を指定していることに注意してください。 この名前は、/etc/wireguard/wg0.conf
構成ファイルにマップされます。 この命名方法は、サーバーを使用して必要な数の個別のVPNトンネルを作成できることを意味します。
たとえば、トンネルデバイスとprod
という名前があり、その構成ファイルは/etc/wireguard/prod.conf
になります。 各トンネル構成には、異なるIPv4、IPv6、およびクライアントファイアウォール設定を含めることができます。 このようにして、それぞれが独自のIPアドレスとルーティングルールを持つ複数の異なるピア接続をサポートできます。
次に、サービスを開始します。
- sudo systemctl start [email protected]
次のコマンドを使用して、WireGuardサービスがアクティブであることを再確認します。 出力にactive (running)
が表示されます。
- sudo systemctl status [email protected]
Output● [email protected] - WireGuard via wg-quick(8) for wg0
Loaded: loaded (/lib/systemd/system/[email protected]; enabled; vendor preset: enabled)
Active: active (exited) since Wed 2021-08-25 15:24:14 UTC; 5s ago
Docs: man:wg-quick(8)
man:wg(8)
https://www.wireguard.com/
https://www.wireguard.com/quickstart/
https://git.zx2c4.com/wireguard-tools/about/src/man/wg-quick.8
https://git.zx2c4.com/wireguard-tools/about/src/man/wg.8
Process: 3245 ExecStart=/usr/bin/wg-quick up wg0 (code=exited, status=0/SUCCESS)
Main PID: 3245 (code=exited, status=0/SUCCESS)
Aug 25 15:24:14 wg0 wg-quick[3245]: [#] wg setconf wg0 /dev/fd/63
Aug 25 15:24:14 wg0 wg-quick[3245]: [#] ip -4 address add 10.8.0.1/24 dev wg0
Aug 25 15:24:14 wg0 wg-quick[3245]: [#] ip -6 address add fd0d:86fa:c3bc::1/64 dev wg0
Aug 25 15:24:14 wg0 wg-quick[3245]: [#] ip link set mtu 1420 up dev wg0
Aug 25 15:24:14 wg0 wg-quick[3245]: [#] ufw route allow in on wg0 out on eth0
Aug 25 15:24:14 wg0 wg-quick[3279]: Rule added
Aug 25 15:24:14 wg0 wg-quick[3279]: Rule added (v6)
Aug 25 15:24:14 wg0 wg-quick[3245]: [#] iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE
Aug 25 15:24:14 wg0 wg-quick[3245]: [#] ip6tables -t nat -I POSTROUTING -o eth0 -j MASQUERADE
Aug 25 15:24:14 wg0 systemd[1]: Finished WireGuard via wg-quick(8) for wg0.
出力には、仮想wg0
デバイスを作成し、構成ファイルに追加したIPv4およびIPv6アドレスを割り当てるために使用されるip
コマンドが表示されます。 これらのルールを使用してトンネルのトラブルシューティングを行うか、VPNインターフェイスを手動で構成する場合はwg
コマンド自体を使用できます。
サーバーを構成して実行したら、次のステップは、クライアントマシンをWireGuard Peerとして構成し、WireGuardサーバーに接続することです。
ステップ7—WireGuardピアの設定
WireGuardピアの設定は、WireGuardサーバーの設定に似ています。 クライアントソフトウェアをインストールしたら、公開鍵と秘密鍵のペアを生成し、ピアの1つまたは複数のIPアドレスを決定し、ピアの構成ファイルを定義してから、wg-quick
を使用してトンネルを開始します。 ] 脚本。
次の手順を使用してキーペアと構成を生成することにより、VPNに必要な数のピアを追加できます。 VPNに複数のピアを追加する場合は、衝突を防ぐために、必ずプライベートIPアドレスを追跡してください。
WireGuard Peerを構成するには、次のapt
コマンドを使用してWireGuardパッケージがインストールされていることを確認してください。 WireGuardピアの実行で:
- sudo apt update
- sudo apt install wireguard
WireGuardピアのキーペアの作成
次に、サーバーで使用したのと同じ手順を使用して、ピアでキーペアを生成する必要があります。 ピアとして機能するローカルマシンまたはリモートサーバーから、次のコマンドを使用して続行し、ピアの秘密鍵を作成します。
- wg genkey | sudo tee /etc/wireguard/private.key
- sudo chmod go= /etc/wireguard/private.key
ここでも、秘密鍵であるbase64
エンコードされた出力の1行を受け取ります。 出力のコピーも/etc/wireguard/private.key
に保存されます。 このセクションの後半でWireGuardの構成ファイルに追加する必要があるため、出力される秘密鍵を注意深くメモしてください。
次に、次のコマンドを使用して公開鍵ファイルを作成します。
- sudo cat /etc/wireguard/private.key | wg pubkey | sudo tee /etc/wireguard/public.key
再び、WireGuardPeerの公開鍵であるbase64
エンコードされた出力の1行を受け取ります。 暗号化された接続を確立するには、公開鍵をWireGuardサーバーに配布する必要があるため、参照用にどこかにコピーしてください。
WireGuardピアの構成ファイルの作成
キーペアができたので、WireGuardServerへの接続を確立するために必要なすべての情報を含むピアの構成ファイルを作成できます。
構成ファイルには、次のいくつかの情報が必要です。
-
ピアで生成した
base64
エンコードされた秘密鍵。 -
WireGuardサーバーで定義したIPv4およびIPv6アドレス範囲。
-
WireGuardサーバーからの
base64
エンコードされた公開鍵。 -
WireGuardサーバーのパブリックIPアドレスとポート番号。 通常、これはIPv4アドレスになりますが、サーバーにIPv6アドレスがあり、クライアントマシンにインターネットへのIPv6接続がある場合は、IPv4の代わりにこれを使用できます。
これらすべての情報が手元にある状態で、nano
またはお好みのエディターを使用して、WireGuardPeerマシンで新しい/etc/wireguard/wg0.conf
ファイルを開きます。
- sudo nano /etc/wireguard/wg0.conf
次の行をファイルに追加し、必要に応じて、強調表示されたセクションにさまざまなデータを代入します。
/etc/wireguard/wg0.conf[Interface]
PrivateKey = base64_encoded_peer_private_key_goes_here
Address = 10.8.0.2/24
Address = fd0d:86fa:c3bc::2/64
[Peer]
PublicKey = U9uE2kb/nrrzsEU58GD3pKFU3TLYDMCbetIsnV8eeFE=
AllowedIPs = 10.8.0.0/24, fd0d:86fa:c3bc::/64
Endpoint = 203.0.113.1:51820
最初のAddress
行が、前に選択した10.8.0.0/24
サブネットのIPv4アドレスをどのように使用しているかに注目してください。 このIPアドレスは、サーバーのIPと異なる限り、サブネット内の任意のアドレスにすることができます。 ピアを追加するたびにアドレスを1ずつ増やすのが、一般的にIPを割り当てる最も簡単な方法です。
同様に、2番目のAddress
行が前に生成したサブネットのIPv6アドレスを使用し、サーバーのアドレスを1つ増やしていることに注目してください。 繰り返しますが、別のアドレスを使用する場合は、範囲内のすべてのIPが有効です。
ファイルの他の注目すべき部分は、最後のAllowedIPs
行です。 これらの2つのIPv4およびIPv6範囲は、宛先システムのIPアドレスがいずれかの範囲にある場合にのみVPN経由でトラフィックを送信するようにピアに指示します。 AllowedIPs
ディレクティブを使用すると、ピア上のVPNを制限して、VPN上の他のピアとサービスにのみ接続するか、VPNを介してすべてのトラフィックをトンネリングし、WireGuardサーバーをとして使用するように設定を構成できます。ゲートウェイ。
IPv4のみを使用している場合は、末尾のfd0d:86fa:c3bc::/64
範囲(,
コンマを含む)を省略します。 逆に、IPv6のみを使用している場合は、fd0d:86fa:c3bc::/64
プレフィックスのみを含め、10.8.0.0/24
IPv4範囲を除外します。
どちらの場合も、VPNを介してすべてのピアのトラフィックを送信し、WireGuard Serverをすべてのトラフィックのゲートウェイとして使用する場合は、IPv4アドレス空間全体を表す0.0.0.0/0
と[ IPv6アドレス空間全体のX217X]