blob: 176be93809623d888b059171124dcf90b66821f1 (
plain)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
|
<!DOCTYPE html>
<html lang="ja-JP">
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<meta name="author" content="nsfisis">
<meta name="copyright" content="© 2024 nsfisis">
<meta name="description" content="個人用サービスのセルフホストに使っているサーバに WireGuard を導入する作業をしたメモ">
<meta name="keywords" content="備忘録,WireGuard">
<meta property="og:type" content="article">
<meta property="og:title" content="【備忘録】 個人用サーバに WireGuard を導入する|REPL: Rest-Eat-Program Loop">
<meta property="og:description" content="個人用サービスのセルフホストに使っているサーバに WireGuard を導入する作業をしたメモ">
<meta property="og:site_name" content="REPL: Rest-Eat-Program Loop">
<meta property="og:locale" content="ja_JP">
<meta name="Hatena::Bookmark" content="nocomment">
<link rel="icon" type="image/svg+xml" href="/favicon.svg">
<title>【備忘録】 個人用サーバに WireGuard を導入する|REPL: Rest-Eat-Program Loop</title>
<link rel="stylesheet" href="/style.css?h=899271ae83285479ca025cc358975c53">
</head>
<body class="single">
<header class="header">
<div class="site-logo">
<a href="/">REPL: Rest-Eat-Program Loop</a>
</div>
<nav class="nav">
<ul>
<li>
<a href="/about/">About</a>
</li>
<li>
<a href="/posts/">Posts</a>
</li>
<li>
<a href="/slides/">Slides</a>
</li>
<li>
<a href="/tags/">Tags</a>
</li>
</ul>
</nav>
</header>
<main class="main">
<article class="post-single">
<header class="post-header">
<h1 class="post-title">【備忘録】 個人用サーバに WireGuard を導入する</h1>
<ul class="post-tags">
<li class="tag">
<a href="/tags/note-to-self/">備忘録</a>
</li>
<li class="tag">
<a href="/tags/wireguard/">WireGuard</a>
</li>
</ul>
</header>
<div class="post-content">
<section id="changelog">
<h2><a href="#changelog">更新履歴</a></h2>
<ol>
<li class="revision">
<time datetime="2024-02-03">2024-02-03</time>: 公開
</li>
<li class="revision">
<time datetime="2024-02-17">2024-02-17</time>: 80 番ポートについて追記
</li>
</ol>
</section>
<section id="section--intro">
<h2><a href="#section--intro">はじめに</a></h2>
<p>
個人用サービスのセルフホストに使っているサーバに <a href="https://www.wireguard.com/" rel="noreferrer" target="_blank">WireGuard</a> を導入する作業をしたのでメモ。
</p>
<p>
登場するホストは以下のとおり:
</p>
<ul>
<li>
サーバ (Ubuntu): <code>10.10.1.1</code>
</li>
<li>
クライアント 1 (Windows): <code>10.10.1.2</code>
</li>
<li>
クライアント 2 (Android): <code>10.10.1.3</code>
</li>
</ul>
<p>
後ろの IP アドレスは VPN 内で使用するプライベート IP アドレス。
</p>
</section>
<section id="section--install-wireguard-server">
<h2><a href="#section--install-wireguard-server">WireGuard のインストール: サーバ</a></h2>
<p>
まずは個人用サービスをホストしている Ubuntu のサーバに WireGuard をインストールする。
</p>
<div class="codeblock">
<pre class="shiki github-light" style="background-color:#f5f5f5;color:#24292e" tabindex="0"><code><span class="line"><span>$ sudo apt install wireguard</span></span></code></pre>
</div>
<p>
次に、WireGuard で使用する鍵を生成する。
</p>
<div class="codeblock">
<pre class="shiki github-light" style="background-color:#f5f5f5;color:#24292e" tabindex="0"><code><span class="line"><span>$ wg genkey | sudo tee /etc/wireguard/server.key | wg pubkey | sudo tee /etc/wireguard/server.pub</span></span>
<span class="line"><span>$ sudo chmod 600 /etc/wireguard/server.{key,pub}</span></span></code></pre>
</div>
</section>
<section id="section--install-wireguard-client">
<h2><a href="#section--install-wireguard-client">WireGuard のインストール: クライアント</a></h2>
<p>
公式サイトから各 OS 向けのクライアントソフトウェアを入手し、インストールする。次に、設定をおこなう。
</p>
<div class="codeblock">
<pre class="shiki github-light" style="background-color:#f5f5f5;color:#24292e" tabindex="0"><code><span class="line"><span style="color:#6A737D"># クライアント 1 の場合</span></span>
<span class="line"><span style="color:#6F42C1">[Interface]</span></span>
<span class="line"><span style="color:#D73A49">Address</span><span style="color:#24292E"> = 10.10.1.2/32</span></span>
<span class="line"><span style="color:#D73A49">PrivateKey</span><span style="color:#24292E"> = <クライアント 1 の秘密鍵></span></span>
<span class="line"></span>
<span class="line"><span style="color:#6F42C1">[Peer]</span></span>
<span class="line"><span style="color:#D73A49">PublicKey</span><span style="color:#24292E"> = <サーバの公開鍵></span></span>
<span class="line"><span style="color:#D73A49">AllowedIPs</span><span style="color:#24292E"> = <サーバの外部 IP アドレス>/32</span></span>
<span class="line"><span style="color:#D73A49">Endpoint</span><span style="color:#24292E"> = <サーバの外部 IP アドレス>:51820</span></span></code></pre>
</div>
<div class="codeblock">
<pre class="shiki github-light" style="background-color:#f5f5f5;color:#24292e" tabindex="0"><code><span class="line"><span style="color:#6A737D"># クライアント 2 の場合</span></span>
<span class="line"><span style="color:#6F42C1">[Interface]</span></span>
<span class="line"><span style="color:#D73A49">Address</span><span style="color:#24292E"> = 10.10.1.3/32</span></span>
<span class="line"><span style="color:#D73A49">PrivateKey</span><span style="color:#24292E"> = <クライアント 2 の秘密鍵></span></span>
<span class="line"></span>
<span class="line"><span style="color:#6F42C1">[Peer]</span></span>
<span class="line"><span style="color:#D73A49">PublicKey</span><span style="color:#24292E"> = <サーバの公開鍵></span></span>
<span class="line"><span style="color:#D73A49">AllowedIPs</span><span style="color:#24292E"> = <サーバの外部 IP アドレス>/32</span></span>
<span class="line"><span style="color:#D73A49">Endpoint</span><span style="color:#24292E"> = <サーバの外部 IP アドレス>:51820</span></span></code></pre>
</div>
<p>
<code>PrivateKey</code> や <code>PublicKey</code> は鍵ファイルのパスではなく中身を書くことに注意。
</p>
</section>
<section id="section--configure-wireguard">
<h2><a href="#section--configure-wireguard">WireGuard の設定</a></h2>
<p>
一度サーバへ戻り、WireGuard の設定ファイルを書く。
</p>
<div class="codeblock">
<pre class="shiki github-light" style="background-color:#f5f5f5;color:#24292e" tabindex="0"><code><span class="line"><span>$ sudo vim /etc/wireguard/wg0.conf</span></span></code></pre>
</div>
<div class="codeblock">
<pre class="shiki github-light" style="background-color:#f5f5f5;color:#24292e" tabindex="0"><code><span class="line"><span style="color:#6F42C1">[Interface]</span></span>
<span class="line"><span style="color:#D73A49">Address</span><span style="color:#24292E"> = 10.10.1.1/32</span></span>
<span class="line"><span style="color:#D73A49">SaveConfig</span><span style="color:#24292E"> = true</span></span>
<span class="line"><span style="color:#D73A49">PrivateKey</span><span style="color:#24292E"> = <サーバの秘密鍵></span></span>
<span class="line"><span style="color:#D73A49">ListenPort</span><span style="color:#24292E"> = 51820</span></span>
<span class="line"></span>
<span class="line"><span style="color:#6F42C1">[Peer]</span></span>
<span class="line"><span style="color:#D73A49">PublicKey</span><span style="color:#24292E"> = <クライアント 1 の公開鍵></span></span>
<span class="line"><span style="color:#D73A49">AllowedIPs</span><span style="color:#24292E"> = 10.10.1.2/32</span></span>
<span class="line"></span>
<span class="line"><span style="color:#6F42C1">[Peer]</span></span>
<span class="line"><span style="color:#D73A49">PublicKey</span><span style="color:#24292E"> = <クライアント 2 の公開鍵></span></span>
<span class="line"><span style="color:#D73A49">AllowedIPs</span><span style="color:#24292E"> = 10.10.1.3/32</span></span></code></pre>
</div>
<p>
次に、WireGuard のサービスを起動する。
</p>
<div class="codeblock">
<pre class="shiki github-light" style="background-color:#f5f5f5;color:#24292e" tabindex="0"><code><span class="line"><span>$ sudo systemctl enable wg-quick@wg0</span></span>
<span class="line"><span>$ sudo systemctl start wg-quick@wg0</span></span></code></pre>
</div>
</section>
<section id="section--configure-firewall">
<h2><a href="#section--configure-firewall">ファイアウォールの設定</a></h2>
<p>
続けてファイアウォールを設定する。まずは WireGuard が使用する UDP のポートを開き、<code>wg0</code> を通る通信を許可する。
</p>
<div class="codeblock">
<pre class="shiki github-light" style="background-color:#f5f5f5;color:#24292e" tabindex="0"><code><span class="line"><span>$ sudo ufw allow 51820/udp</span></span>
<span class="line"><span>$ sudo ufw allow in on wg0</span></span>
<span class="line"><span>$ sudo ufw allow out on wg0</span></span></code></pre>
</div>
<p>
次に、80 や 443 などの必要なポートについて、<code>wg0</code> を経由してのアクセスのみ許可する。
</p>
<div class="codeblock">
<pre class="shiki github-light" style="background-color:#f5f5f5;color:#24292e" tabindex="0"><code><span class="line"><span>$ sudo ufw allow in on wg0 to any port 80 proto tcp</span></span>
<span class="line"><span>$ sudo ufw allow in on wg0 to any port 443 proto tcp</span></span></code></pre>
</div>
<p>
最後に、<code>ufw</code> を有効にする。
</p>
<div class="codeblock">
<pre class="shiki github-light" style="background-color:#f5f5f5;color:#24292e" tabindex="0"><code><span class="line"><span>$ sudo ufw status</span></span>
<span class="line"><span>$ sudo ufw enable</span></span></code></pre>
</div>
</section>
<section id="section--connect-each-other">
<h2><a href="#section--connect-each-other">接続する</a></h2>
<p>
これで、各クライアントで VPN を有効にすると、当該サーバの 80 ポートや 443 ポートにアクセスできるようになったはずだ。念のため VPN を切った状態でアクセスできないことも確認しておくとよいだろう。
</p>
</section>
<section id="section--edit-80-port">
<h2><a href="#section--edit-80-port">追記: 80 番ポートについて</a></h2>
<p>
Let’s Encrypt でサーバの証明書を取得している場合、80 番ポートを空けておく必要がある。気づかないうちに証明書が切れないよう注意。
</p>
</section>
</div>
</article>
</main>
<footer class="footer">
© 2021 nsfisis
</footer>
</body>
</html>
|
