【VPN】 WireGuard Part.1

1 :login:Penguin :2022/03/23(水) 15:16:44.05 ID:wv2RlyN60.net
!extend:checked:vvvvv:1000:512
!extend:checked:vvvvv:1000:512
↑これを2行になるようにコピペしてからスレ立てしてください

WireGuardは最先端の暗号技術を利用した、極めてシンプルかつ高速な最新のVPNです。
WireGuard は2020年から Linux カーネルに組み込まれています。

■ WireGuard公式サイト
https://www.wireguard.com/


VIPQ2_EXTDAT: checked:vvvvv:1000:512:: EXT was configured

31 :6 :2022/03/27(日) 13:12:24.37 ID:d4c2SElXa.net

興味をお持ちの方がいらっしゃる様なのでPCでの設定例を上げておきます
https://i.imgur.com/gxgW0jU.jpg

なお残念ながら他のマシンと同じ鍵で繋ぎに行くのは不可能ですね
この辺はOpenVPNと同じです ちっ

39 :login:Penguin :2022/04/01(金) 12:56:04.32 ID:Rmgzujic0.net

同じく。
サポート切れないで欲しいな。

10 :login:Penguin :2022/03/25(金) 22:41:22.13 ID:GNNLO5G70.net

open VPN設定出来てるなら
カンタン過ぎて鼻血出ると思うw

そしてめちゃくちゃ速いのよねぇ
調べれば調べるほどよく出来てると感心する

14 :login:Penguin :2022/03/26(土) 02:22:28.62 ID:jvewD6I40.net

まぁDockerでWireGuardするならのLinuxServer.ioのコンテナが安定だと思う。
Docker使わなくても鍵作ったらあとは設定ファイルしかいじるところないから環境が汚れるってこともないとは思うけど。

簡単さで鼻血出したいならにあるTalescaleも試してみるといい。
WireGuardの設定をさらに簡単にするサービスで、イメージとしては公開鍵交換サーバー+DDNSな感じかな?
https://tailscale.com/blog/how-tailscale-works/を読むと仕組みが分かる。

15 :login:Penguin :2022/03/26(土) 09:20:54.50 ID:A3dib8LD0.net

サーバ立てられる人なら
dockerfile読むようにするだけで
一瞬で慣れると思うよ、docker

https://github.com/linuxserver/docker-wireguard/blob/master/Dockerfile

慣れるとコンテナ無しの時代が信じられんくらい便利だから
試してみてね。

32 :login:Penguin :2022/03/27(日) 13:24:45.02 ID:O2b9UK4O0.net

いや、コピペは流石に俺でもできる。iptablesの知識が無いから何やってるかわからんという話で。

12 :login:Penguin :2022/03/25(金) 22:48:30.84 ID:GNNLO5G70.net

そのdockerイメージめちゃ便利なんだけど、
peerの設定変えるとクライアントが全部作り直しになるので
初めからピア数100とかにして立ち上げちゃうのがおススメです

43 :login:Penguin :2022/04/08(金) 11:28:10.74 ID:Bbl4TZ1/a.net

これ使う様な人は大丈夫だと思うが一応氏の補足

× openresolve
○ openresolv

34 :login:Penguin :2022/03/29(火) 09:31:18.53 ID:UIpbSbmX0.net

ufw使おうか

8 :login:Penguin :2022/03/25(金) 22:02:36.50 ID:GNNLO5G70.net

サンプルのコマンドコピペするだけで
必要な設定全て込みでサーバが立ち上がるから。
これだけで世界のどこからでも自宅のネットワークや、
接続されたクライアント同士で通信できる。

自分はオフィスのLinux箱6台とMac3台、
自宅のMac3台全部これで繋げてテレワークしてます。
便利

44 :login:Penguin :2022/04/08(金) 11:28:53.43 ID:dcIghJsp0.net

補足さんきゅうです!

21 :6 :2022/03/26(土) 16:05:45.59 ID:UdkaNDvRa.net

何しろ使用開始してから半日も経って無いので内容の把握もこれからなんですが
OpenVPNの tls-auth に準ずる機能があれば是非設定しておきたいと思いまして
https://www.openvpn.jp/document/how-to/#Security
(OpenVPNのセキュリティを強化する の項目)

全ての通信をWireGuard経由にする方法も模索してましたが
そちらは成功しました

46 :login:Penguin :2022/04/10(日) 19:18:51.81 ID:fLV1ZsvK0.net

ラズパイをWireGuardサーバーとして宅内のLAN(192.168.1.0/24)に繋ぎたいんだけど、なぜかPCからの接続だけうまくいかないので助けてほしいです…。
PiVPN使って設定したラズパイのwg0.confはこんな感じ
[Interface]
PrivateKey =
Address = 10.6.0.1/24
MTU = 1420
Listen Port = 51820
PostUp = iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
[Peer]
PublicKey =
PresharedKey =
AllowedIPs = 10.6.0.2/32

クライアント側のconfはこんな感じ
[Interface]
PrivateKey =
Address = 10.6.0.2/24
DNS = 9.9.9.9, 149.112.112.112
[Peer]
PublicKey =
PresharedKey =
Endpoint = vpn.example.com:51820
AllowedIPs = 10.6.0.0/24, 192.168.1.0/24

WindowsPCのWireGuardでトンネルの有効化をすると、ちゃんと緑色の盾が出て有効になるんだけど、192.168.1.xxxにpingが通らない(タイムアウト)。
iPhoneとAndroid端末も同じ設定(同じconfファイル)で試すとこちらはちゃんとつながって、192.168.1.xxxのNASにログインもできる。
PCとスマホで何が違うのか全く分からず困っています…。

18 :6 :2022/03/26(土) 12:41:34.01 ID:i0NZPBSca.net

昨晩は充実した情報提供ありがとうございました
先ず基礎的な事から身体で覚えたいので wireguard をホストマシンにインスコして戦っております
コンテナじゃないのはうちのメイン鯖がDocker使えないと言う理由もあるので

13 :6 :2022/03/25(金) 22:59:33.99 ID:SO/5Ca5i0.net

情報提供の為にお手数かけて頂いて恐縮です
有益に違いないスレが立ったのに盛り上がって無かったので
既存ユーザー様に熱く語って頂きたくて少々いやらしいテクに手を出した事をお許し下さいませ

どれ、早速明日にでもこさえてみるか
dockerはあんまり得意じゃないのでオンプレホストで作ってみるとするか

と書いてたらdockerイメージ激推しに気付いたので
余裕があったらこれを期に特訓してみよう

23 :6 :2022/03/26(土) 17:53:07.86 ID:+Av4CXBka.net

その辺りはOpenVPNのやり方と似たような感じでしたね
熟練者に書いて頂くと説得力がありますな

認証に関しては某ブログに「認証情報が不正ならそもそも応答しない」みたいな事が掲載されておりました
あまりピリピリする必要も無さそうですね

30 :login:Penguin :2022/03/27(日) 13:12:11.08 ID:O2b9UK4O0.net

接続先のLANに接続したい時に書くNAPTの設定がよくわからん。[Interface]のところにPostUp,PostDownの二行書くやつ。

11 :login:Penguin :2022/03/25(金) 22:45:32.52 ID:GNNLO5G70.net

自分は以前はsshトンネルでなんとかやりくりしてたんだけど、
みんながこういうの使いなれてるわけじゃないからね。

ワイヤガードはテキスト数行コピペしたらあっという間に設定終わるから
誰でも使えるのホント素晴らしいよ。

自分はデータ分析チームなんだけどjupyterとかRStudioみたいなWEBアプリが主な用途です

29 :login:Penguin :2022/03/27(日) 09:00:06.28 ID:xQuJ62WMd.net

OpenVPNとどれくらい差があるか試してみたくなってきた

24 :6 :2022/03/26(土) 19:42:45.86 ID:79jXbE1Oa.net

しかしこれはいい
何がいいかって、設定の簡単さもさることながらOpenVPNに付きものの
証明書の期限と言う煩わしさからの解放感
すばらしいの一言に尽きる

50 :login:Penguin :2022/04/11(月) 09:11:25.65 ID:P358N3wJ0.net

回線とブラウザが変わってると誰だかわかりませんね
まあこれ使う人ならごにょごにょしているうちにどうにかなるでしょう

9 :6 :2022/03/25(金) 22:11:03.14 ID:SO/5Ca5i0.net

ありがとう ぱっと見た限りでは確かにすごく簡単そうだねえ
普段はOpenVPNを自宅に仕込んで色々と活用してるんだが俺もこれ使ってみるか

4 :login:Penguin :2022/03/24(木) 07:49:28.62 ID:z1aIG80l0.net

実際使うとOpenVPNより何もかもが速い。
サーバークライアント型じゃないのでOpenVPNみたいに通信速度がサーバーの処理能力によって制限されることがない。
もちろん一つのPeerをハブとしてハブアンドスポーク型のネットワークを作ればOpenVPNと同様にハブの処理能力がボトルネックになるんだろうけど。
多数のPeerでP2P型のネットワークを作ろうとするとコネクションの数が膨大になって管理が大変になるというのはWireGuardの弱点かもしれない。
そこでTalescaleのようなサービスが出てきたわけだけど、似たような仕組みがいずれWireGuard本体に取り込まれそうな気がする。

37 :login:Penguin :2022/04/01(金) 00:41:08.74 ID:vOeM5gLUa.net

結果が出るなら慣れたやり方がいちばん
nft のコマンド構文でやってみようかと思いman開いて5分後にそっ閉じしたワイもおるで

47 :login:Penguin :2022/04/10(日) 20:43:25.40 ID:vQR7hG8P0.net


AllowedIPs = 10.6.0.2/32, 192.168.1.0/24

でどうでしょ
うちは 192.168/16 ネットワーク全許可ですが

41 :login:Penguin :2022/04/07(木) 19:17:39.23 ID:Ql6Tdzwp0.net

その認識で良いのでない?
試すのが手っ取り早そうですが

22 :login:Penguin :2022/03/26(土) 16:43:25.45 ID:ctWaexFZ0.net

送信元の[Peer]でAllowedIPs = 0.0.0.0/0, ::/0

19 :6 :2022/03/26(土) 13:01:53.93 ID:i0NZPBSca.net

取り敢えず開通自体はいとも簡単に終わりました
アプリの設定見てみたらOpenVPNみたく事前共有鍵も使えるんですね
自分以外の接続は徹底排除したいのでこれは設定しなくては

33 :6 :2022/03/27(日) 13:31:52.81 ID:d4c2SElXa.net

b7-さんが書きに来るとは思わず僅差で遅れて貼ったものなのでお気になさらず
他にも感化されてる人がいるのですよ

私もiptablesはその都度調べてるんですがマジ呪文ですよね
こんな感じの事をやってる様ですが
natテーブルを利用したLinuxルータの作成:習うより慣れろ! iptablesテンプレート集(2)(2/6 ページ) – @IT
https://atmarkit.itmedia.co.jp/ait/spv/0505/17/news131_2.html

48 :login:Penguin :2022/04/10(日) 21:18:56.87 ID:vQR7hG8P0.net

あと鯖の [Peer] セクションはクライアントの分全てを書きます
ご存知だとは思いますが確認と言う事で

16 :login:Penguin :2022/03/26(土) 09:22:09.25 ID:A3dib8LD0.net

おー、面白そうな実装だねえ
wgつかってメッシュネットワーク作るんだすごい

今の自分にはオーバーキルな感じもするけど
じっくり読んでみたい

OSSじゃ無いのが少し残念

45 :login:Penguin :2022/04/08(金) 21:53:47.18 ID:eW2Ie5gg0.net

passwdだったりpasswordだったりみたいなもんか

6 :login:Penguin :2022/03/25(金) 20:21:59.24 ID:SO/5Ca5i0.net

で、どうやって使うの?

35 :login:Penguin :2022/03/29(火) 11:55:56.90 ID:vDgGAHIUa.net

ufwでも手軽に nat を扱えるといいんだけどね
確かbefore.rulesに追記しないとならなかった様な
俺はもう使えてるからいいとして

25 :6 :2022/03/26(土) 20:14:50.02 ID:79jXbE1Oa.net

なおズルして同じ秘密鍵/共有鍵を使い回そうとしたら繋がりませんですた
よく出来てやがる

28 :6 :2022/03/26(土) 21:39:02.37 ID:79jXbE1Oa.net

WireGuardデビュー初日 Dockerイメージ不使用での作業内容

1. wireguardメタパッケージインスコ kmod & 管理ツール入る
2. 秘密鍵/公開鍵を鯖PC用・ケータイ用に生成 簡素なコマンド4回
3. 生成した鍵を反映した設定ファイルを書く ものの数行
4. IPフォワーディング・NAT設定(拙はOpenVPNでの設定流用の為ほぼ作業せず)
5. HGWの穴空け
6. 鯖PCでwireguardデーモン起動し、設定をインポートしたケータイアプリでトグルスイッチON
7. ( ゚Д゚)ウマー

初構築での作業時間はだいたい正味1時間強 簡単ですた
https://i.imgur.com/ZoZB50a.png

17 :login:Penguin :2022/03/26(土) 10:05:22.20 ID:ctWaexFZ0.net

クライアントのコードはGithubにあるhttps://github.com/tailscale/tailscale
OSSでTalescaleのサーバー側の実装をしようとしてるHeadscaleっていうのもあるにはあるhttps://github.com/juanfont/headscale

7 :login:Penguin :2022/03/25(金) 21:59:09.50 ID:GNNLO5G70.net

https://hub.docker.com/r/linuxserver/wireguard

これが一番簡単じゃないかな?

awsでlightsail借りるか、自宅鯖のポート開いたらそれだけで準備完了よ。

クライアント側は各OS のアプリストアで配信されてるから
それを入れる

iPhoneならQRスキャンしたら一瞬で終わるね

51 :46 :2022/04/16(土) 09:20:59.72 ID:zoh6x9RE0.net

どうしようもないのでTalescaleで繋いでます。
スマホだとうまくいくのにPCだとうまくいかないのホント謎。

40 :login:Penguin :2022/04/05(火) 10:09:11.42 ID:OfuBTVTC0.net

AllowedIPsに0.0.0.0/0,::/0だと全部WireGuard経由になるじゃん
0.0.0.0/0だけの指定だとIPv6パケットはVPN経由じゃなくて直接出ていくってことになる?

49 :login:Penguin (ワッチョイ 4f43-U3yj):2022/04/11(月) 08:16:37 ID:ROwcSquF0.net

>>47-48
ありがとうございます。
試してみましたが状況は変わらずでした。

42 :login:Penguin :2022/04/08(金) 11:09:13.71 ID:dcIghJsp0.net

細かいメモ書きなんですが、
ubuntuでwgクライアントを設定すると、
`/usr/bin/wg-quick: line 32: resolvconf: command not found`
エラーが出ます

sudo apt install openresolve

すると解決します
lts20.04と22.04betaで確認

42 :login:Penguin :2022/04/08(金) 11:09:13.71 ID:dcIghJsp0.net

細かいメモ書きなんですが、
ubuntuでwgクライアントを設定すると、
`/usr/bin/wg-quick: line 32: resolvconf: command not found`
エラーが出ます

sudo apt install openresolve

すると解決します
lts20.04と22.04betaで確認

27 :6 :2022/03/26(土) 20:34:09.30 ID:79jXbE1Oa.net

秘密鍵/公開鍵の間違いですた
入門者は繋がっただけでも感激しているのでズルの再検証は明日にでもやろうかと

5 :login:Penguin :2022/03/25(金) 19:53:30.60 ID:GNNLO5G70.net

テレワーク必須になって急遽使い始めたけど
今や手放せないわ
めっさ便利で速い

38 :login:Penguin :2022/04/01(金) 04:17:35.34 ID:6IBSWpxy0.net

ipコマンドもそうだけど、だらだら書いていくタイプ増えたよね。
オプションでどの位置でもパラメータ書けるみたいなほうが使いやすいんだけどな。

20 :login:Penguin :2022/03/26(土) 15:05:50.25 ID:ctWaexFZ0.net

あんまりよく分かってないんだけど、PSKは将来的な量子コンピューティングによる暗号解読に備えたオプションなんで、現状設定する意味があるかというとあんまりない、はず。(だよね?)

この辺に書いてあるhttps://www.wireguard.com/known-limitations/
「量子コンピュータが実用化された場合を考慮して、既存の公開鍵暗号に対称鍵暗号のレイヤーを追加するために事前共有鍵を生成することもできます:」https://wiki.archlinux.jp/index.php/WireGuard

ただ、よりセキュアなオプションがあるなら設定した方が精神衛生的にいいというのはわかる。

2 :login:Penguin :2022/03/23(水) 15:17:35.90 ID:wv2RlyN60.net

無かったので立てました

3 :login:Penguin :2022/03/23(水) 16:41:15.03 ID:kwt40Mia0.net

おつ よくやった
OpenVPNとの違いがあまりわからんけど

26 :login:Penguin :2022/03/26(土) 20:25:59.64 ID:QZFq80lWH.net

複数台同時接続じゃなければいけたような?

参考になったらSNSでシェアお願いします!

レスを投稿する(名前省略可)

この記事を読んだ方へのおすすめ

  • たまには、カーネル/シェルの気持ちになってみよう

    元スレ 1 :CHI:03/04/26 21:03 ID:T/16PCqc.net いっつも、あれがうまくいかねー、このコマンド使いづれーとか 文句ばっかりいいやがって、たまにはカーネルとかシェルの気持ち になってみやが…

  • マイクロサーバーすれっど

    元スレ 1 :login:Penguin:04/01/02 21:47 ID:N7heEBBD.net 静音、省エネ、省スペースのマイクロサーバー OpenBlockSなどを語ろう 前スレ http://pc.2ch.n…

  • Jane Style (Windows版) Part180

    元スレ 1 :名無しさん@お腹いっぱい。:2021/12/08(水) 17:54:12.14 ID:sCPiFgL70.net Jane Style (Windows版)のスレッドです スマホ版は誘導先のスレへ 公式サイ…

  • 5ch ブラウザ JD 22

    元スレ 1 :login:Penguin:2019/03/06(水) 22:06:28.90 ID:UHluYceN.net JD/JDim は gtkmm/GTK+ を用いた5chブラウザ(ただし非公認)です。 JDi…

  • PC-98エミュを語ろう18

    元スレ 1 :名無しさん@お腹いっぱい。:2018/09/02(日) 14:33:42.42 ID:nqUzIUYg0.net NEC PC-98シリーズは過去のものとなりましたが、 その膨大な遺産を活用できるPC-98…

  • Google Chrome VS Microsoft Edge

    元スレ 1 :名無しさん@お腹いっぱい。:2016/11/06(日) 21:47:50.54 ID:gqWoSTf50.net Edgeの評価・・・バクだらけにされたJSとセキュリティーホール? Edgeのバージョンが判…

  • アーケードエミュレーターMAMEスレ 0.162

    元スレ 1 :名無しさん@お腹いっぱい。 :2021/06/28(月) 21:22:43.67 ID:hBFBdVvg0.net アーケードエミュレーターMAMEを語るスレです。 雑談も質問も統合でお願いします。ROM関…

  • ニコニコ動画関連ツール総合スレ part8

    元スレ 1 :名無しさん@お腹いっぱい。:2021/02/20(土) 14:53:08.45 ID:N9cffuDJ0.net 前スレ https://egg.5ch.net/test/read.cgi/software…

  • フリー限定「感動した!」ってやつ Part21

    元スレ 1 :名無しさん@お腹いっぱい。:2014/10/24(金) 00:13:19.06 ID:p4hJ6FSE0.net 最初は「どうかな?」って感じだったけど使ってみると「これ、いいじゃん。感動した!」っていうソ…

  • rep2 part65

    元スレ 1 :名無しさん@お腹いっぱい。:2018/10/29(月) 19:16:00.64 ID:61E4peY90.net ※■公式p2はこのスレでは扱っていません■※ ブラウザから 2ちゃんねる、まちBBS、JBB…

  • ◇◇◆Music Center for PC 3◆◇◇

    元スレ 1 :名無しさん@お腹いっぱい。:2018/02/10(土) 14:22:19.57 ID:5yaBdaqz0.net 「Sony | Music Center for PC」は多彩なファイルに対応。音楽CDや音…

  • VMware総合スレ Part48

    元スレ 1 :名無しさん@お腹いっぱい。 :2022/01/15(土) 00:05:51.19 ID:zAKNatt20.net !extend:on:vvvvv:1000:512 次スレを立てる方は↑を二行重ねて書いて…

最近のコメント

匿名 : 【残業代】福井 株式会社アスタ【未払い】
 プライド高いところあるけど清輝あるなら大丈夫か (5/07)
匿名 : 【残業代】福井 株式会社アスタ【未払い】
 プライド高いところあるけど清輝あるから大丈夫やろ (5/04)
匿名 : 【残業代】福井 株式会社アスタ【未払い】
 ひらきよき残業代だがや (3/27)
ページTOPへ↑