GNU/Linux >> Linux の 問題 >  >> Ubuntu

Ubuntu20.04でWireGuardVPNを設定する方法

WireGuardは、最先端の暗号化を利用する最新のVPN(仮想プライベートネットワーク)テクノロジーです。 IPsecやOpenVPNなどの他の一般的なVPNソリューションと比較して、WireGuardはより高速で、構成が簡単で、フットプリントが小さくなっています。クロスプラットフォームであり、Linux、Windows、Android、macOSなど、ほぼどこでも実行できます。

WireguardはピアツーピアVPNです。クライアントサーバーモデルは使用しません。構成に応じて、ピアは従来のサーバーまたはクライアントとして機能できます。これは、トンネルとして機能する各ピアデバイス上にネットワークインターフェイスを作成することによって機能します。ピアは、SSHモデルを模倣して、公開鍵を交換および検証することにより、相互に認証します。公開鍵は、トンネルで許可されているIPアドレスのリストにマッピングされます。 VPNトラフィックはUDPにカプセル化されています。

この記事では、VPNサーバーとして機能するUbuntu20.04でWireGuardVPNを設定する方法について説明します。また、WireGuardをクライアントとして構成する方法についても説明します。クライアントのトラフィックはUbuntu20.04サーバーを経由してルーティングされます。

この設定は、中間者攻撃に対する保護、匿名でのWebサーフィン、地理的に制限されたコンテンツのバイパス、または自宅で仕事をしている同僚が会社のネットワークに安全に接続できるようにするために使用できます。

前提条件#

このガイドに従うには、rootまたはsudoアクセスを備えたUbuntu20.04サーバーが必要です。

WireGuardサーバーのセットアップ#

まず、UbuntuマシンにWireGuardをインストールし、サーバーとして機能するように設定します。また、クライアントのトラフィックをシステム経由でルーティングするようにシステムを構成します。

Ubuntu 20.04にWireGuardをインストールする#

WireGuardは、デフォルトのUbuntuリポジトリから利用できます。インストールするには、次のコマンドを実行します。

sudo apt updatesudo apt install wireguard

これにより、WireGuardモジュールとツールがインストールされます。

WireGuardはカーネルモジュールとして実行されます。

WireGuardの構成#

wg およびwg-quick コマンドラインツールを使用すると、WireGuardインターフェイスを構成および管理できます。

WireGuard VPNネットワーク内の各デバイスには、秘密鍵と公開鍵が必要です。次のコマンドを実行して、キーペアを生成します。

wg genkey | sudo tee /etc/wireguard/privatekey | wg pubkey | sudo tee /etc/wireguard/publickey

ファイルは/etc/wireguardに生成されます ディレクトリ。 catを使用してファイルの内容を表示できます またはless 。秘密鍵は決して​​誰とも共有してはならず、常に安全に保つ必要があります。

Wireguardは、事前共有キーもサポートしています。これにより、対称キー暗号化のレイヤーが追加されます。このキーはオプションであり、ピアペアごとに一意である必要があります。

次のステップは、VPNトラフィックをルーティングするトンネルデバイスを構成することです。

デバイスは、コマンドラインからipを使用してセットアップできます。 およびwg コマンドを使用するか、テキストエディタで構成ファイルを作成します。

wg0.confという名前の新しいファイルを作成します 次のコンテンツを追加します:

sudo nano /etc/wireguard/wg0.conf
/etc/wireguard/wg0.conf 
[Interface]
Address = 10.0.0.1/24
SaveConfig = true
ListenPort = 51820
PrivateKey = SERVER_PRIVATE_KEY
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o ens3 -j MASQUERADE

インターフェイスには任意の名前を付けることができますが、wg0のような名前を使用することをお勧めします またはwgvpn0 。インターフェイスセクションの設定には、次の意味があります。

  • アドレス-wg0のv4またはv6IPアドレスのコンマ区切りリスト インターフェース。プライベートネットワーク用に予約されている範囲(10.0.0.0/8、172.16.0.0/12、または192.168.0.0/16)のIPを使用します。

  • ListenPort-リスニングポート。

  • PrivateKey-wg genkeyによって生成された秘密鍵 指図。 (ファイルタイプの内容を確認するには:sudo cat /etc/wireguard/privatekey

  • SaveConfig-trueに設定すると、シャットダウン時にインターフェイスの現在の状態が構成ファイルに保存されます。

  • PostUp-インターフェイスを起動する前に実行されるコマンドまたはスクリプト。この例では、マスカレードを有効にするためにiptablesを使用しています。これにより、トラフィックがサーバーを離れることができ、VPNクライアントがインターネットにアクセスできるようになります。

    必ずens3を置き換えてください -A POSTROUTING パブリックネットワークインターフェイスの名前と一致します。次のインターフェースを簡単に見つけることができます:

    ip -o -4 route show to default | awk '{print $5}'

  • PostDown-インターフェイスを停止する前に実行されるコマンドまたはスクリプト。インターフェイスがダウンすると、iptablesルールは削除されます。

wg0.conf およびprivatekey 通常のユーザーはファイルを読み取れないようにする必要があります。 chmodを使用する 権限を600に設定します :

sudo chmod 600 /etc/wireguard/{privatekey,wg0.conf}

完了したら、wg0を持参してください 構成ファイルで指定された属性を使用してインターフェースを確立します:

sudo wg-quick up wg0

このコマンドは、次のような出力を生成します。

[#] ip link add wg0 type wireguard
[#] wg setconf wg0 /dev/fd/63
[#] ip -4 address add 10.0.0.1/24 dev wg0
[#] ip link set mtu 1420 up dev wg0
[#] iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE

インターフェイスの状態と構成を確認するには、次のように入力します。

sudo wg show wg0
interface: wg0
  public key: r3imyh3MCYggaZACmkx+CxlD6uAmICI8pe/PGq8+qCg=
  private key: (hidden)
  listening port: 51820

ip a show wg0を実行することもできます インターフェイスの状態を確認するには:

ip a show wg0
4: wg0: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000
    link/none 
    inet 10.0.0.1/24 scope global wg0
       valid_lft forever preferred_lft forever

WireGuardはSystemdで管理することもできます。

起動時にWireGuardインターフェースを使用するには、次のコマンドを実行します。

sudo systemctl enable wg-quick@wg0

サーバーネットワークとファイアウォールの構成#

NATを機能させるには、IP転送を有効にする必要があります。 /etc/sysctl.confを開きます 次の行をファイルして追加またはコメント解除します:

sudo nano /etc/sysctl.conf
/etc/sysctl.conf 
net.ipv4.ip_forward = 1

ファイルを保存して変更を適用します:

sudo sysctl -p
net.ipv4.ip_forward = 1

UFWを使用してファイアウォールを管理している場合は、ポート51820でUDPトラフィックを開く必要があります。 :

sudo ufw allow 51820/udp

それでおしまい。サーバーとして機能するUbuntuピアがセットアップされました。

LinuxおよびmacOSクライアントのセットアップ#

サポートされているすべてのプラットフォームのインストール手順は、https://wireguard.com/install/で入手できます。 Linuxシステムでは、ディストリビューションパッケージマネージャーを使用してパッケージをインストールでき、macOSではbrewを使用してインストールできます。 。

インストールしたら、以下の手順に従ってクライアントデバイスを構成します。

LinuxおよびmacOSクライアントをセットアップするプロセスは、サーバーの場合とほとんど同じです。まず、公開鍵と秘密鍵を生成します:

wg genkey | sudo tee /etc/wireguard/privatekey | wg pubkey | sudo tee /etc/wireguard/publickey

ファイルwg0.confを作成します 次のコンテンツを追加します:

sudo nano /etc/wireguard/wg0.conf
/etc/wireguard/wg0.conf 
[Interface]
PrivateKey = CLIENT_PRIVATE_KEY
Address = 10.0.0.2/24


[Peer]
PublicKey = SERVER_PUBLIC_KEY
Endpoint = SERVER_IP_ADDRESS:51820
AllowedIPs = 0.0.0.0/0

インターフェイスセクションの設定は、サーバーを設定するときと同じ意味です。

  • アドレス-wg0のv4またはv6IPアドレスのコンマ区切りリスト インターフェース。
  • PrivateKey-クライアントマシンでファイルの内容を確認するには、次のコマンドを実行します:sudo cat /etc/wireguard/privatekey

ピアセクションには、次のフィールドが含まれています。

  • PublicKey-接続するピアの公開鍵。 (サーバーの/etc/wireguard/publickeyの内容 ファイル)。
  • エンドポイント-接続するピアのIPまたはホスト名、コロン、リモートピアがリッスンするポート番号。
  • AllowedIPs-ピアの着信トラフィックが許可され、このピアの発信トラフィックが送信されるv4またはv6IPアドレスのコンマ区切りのリスト。トラフィックをルーティングしていて、サーバーピアが任意の送信元IPでパケットを送信するようにしたいため、0.0.0.0/0を使用しています。

追加のクライアントを構成する必要がある場合は、別のプライベートIPアドレスを使用して同じ手順を繰り返すだけです。

Windowsクライアントのセットアップ#

WireGuardWebサイトからWindowsmsiパッケージをダウンロードしてインストールします。

インストールしたら、WireGuardアプリケーションを開き、下の画像に示すように、[トンネルの追加]->[空のトンネルの追加...]をクリックします。

公開鍵のペアが自動的に作成され、画面に表示されます。

トンネルの名前を入力し、次のように構成を編集します。

[Interface]
PrivateKey = CLIENT_PRIVATE_KEY
Address = 10.0.0.2/24


[Peer]
PublicKey = SERVER_PUBLIC_KEY
Endpoint = SERVER_IP_ADDRESS:51820
AllowedIPs = 0.0.0.0/0

インターフェイスセクションで、クライアントトンネルアドレスを定義するための新しい行を追加します。

ピアセクションで、次のフィールドを追加します。

  • PublicKey-Ubuntuサーバーの公開鍵(/etc/wireguard/publickey ファイル)。
  • エンドポイント-UbuntuサーバーのIPアドレスと、それに続くコロン、およびWireGuardポート(51820)。
  • 許可されたIP-0.0.0.0/0

完了したら、[保存]ボタンをクリックします。

クライアントピアをサーバーに追加する#

最後のステップは、クライアントの公開鍵とIPアドレスをサーバーに追加することです。これを行うには、Ubuntuサーバーで次のコマンドを実行します。

sudo wg set wg0 peer CLIENT_PUBLIC_KEY allowed-ips 10.0.0.2

必ずCLIENT_PUBLIC_KEYを変更してください クライアントマシンで生成した公開鍵(sudo cat /etc/wireguard/publickey )クライアントのIPアドレスが異なる場合は調整します。 Windowsユーザーは、WireGuardアプリケーションから公開鍵をコピーできます。

完了したら、クライアントマシンに戻り、トンネリングインターフェイスを起動します。

LinuxおよびmacOSクライアント#

次のコマンドを実行して、インターフェイスを起動します。

sudo wg-quick up wg0

これで、Ubuntuサーバーに接続し、クライアントマシンからのトラフィックをUbuntuサーバー経由でルーティングする必要があります。次のコマンドで接続を確認できます:

sudo wg
interface: wg0
  public key: gFeK6A16ncnT1FG6fJhOCMPMeY4hZa97cZCNWis7cSo=
  private key: (hidden)
  listening port: 53527
  fwmark: 0xca6c

peer: r3imyh3MCYggaZACmkx+CxlD6uAmICI8pe/PGq8+qCg=
  endpoint: XXX.XXX.XXX.XXX:51820
  allowed ips: 0.0.0.0/0
  latest handshake: 53 seconds ago
  transfer: 3.23 KiB received, 3.50 KiB sent

ブラウザを開いて「whatismyip」と入力すると、UbuntuサーバーのIPアドレスが表示されます。

トンネリングを停止するには、wg0を停止します インターフェイス:

sudo wg-quick down wg0

Windowsクライアント#

WindowsにWireGuardをインストールした場合は、[アクティブ化]ボタンをクリックします。ピアが接続されると、トンネルのステータスがアクティブに変わります:


Ubuntu

  1. UbuntuでWireGuardVPNを設定する方法(ステップバイステップガイド)

  2. Ubuntu22.04でWireGuardを設定する方法

  3. Ubuntu – Ubuntuで静的IPを設定する方法は?

  1. CentOS8でWireguardVPNを設定する方法

  2. Ubuntu20.04でWireGuardVPNを設定する方法

  3. CentOS8でWireGuardVPNを設定する方法

  1. Ubuntu 20.04/18.04にRedisをインストールする方法

  2. Wireguardを使用してUbuntu20.04でVPNを作成する方法

  3. Ubuntu18.04でOpenVPNサーバーをセットアップする方法