blob: 9dee8fcef0aceb6ac8468dae63d68451f2dcbea5 (
plain)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
|
---
[article]
uuid = "210673d0-c19e-4195-a280-968a0729dd41"
title = "【備忘録】 個人用サーバに WireGuard を導入する"
description = "個人用サービスのセルフホストに使っているサーバに WireGuard を導入する作業をしたメモ"
tags = [
"note-to-self",
"wireguard",
]
[[article.revisions]]
date = "2024-02-03"
remark = "公開"
[[article.revisions]]
date = "2024-02-17"
remark = "80 番ポートについて追記"
---
<article>
<section id="intro">
<h>はじめに</h>
<p>
個人用サービスのセルフホストに使っているサーバに <a href="https://www.wireguard.com/">WireGuard</a> を導入する作業をしたのでメモ。
</p>
<p>
登場するホストは以下のとおり:
</p>
<ul>
<li>サーバ (Ubuntu): <code>10.10.1.1</code></li>
<li>クライアント 1 (Windows): <code>10.10.1.2</code></li>
<li>クライアント 2 (Android): <code>10.10.1.3</code></li>
</ul>
<p>
後ろの IP アドレスは VPN 内で使用するプライベート IP アドレス。
</p>
</section>
<section id="install-wireguard-server">
<h>WireGuard のインストール: サーバ</h>
<p>
まずは個人用サービスをホストしている Ubuntu のサーバに WireGuard をインストールする。
</p>
<codeblock>
<![CDATA[
$ sudo apt install wireguard
]]>
</codeblock>
<p>
次に、WireGuard で使用する鍵を生成する。
</p>
<codeblock>
<![CDATA[
$ wg genkey | sudo tee /etc/wireguard/server.key | wg pubkey | sudo tee /etc/wireguard/server.pub
$ sudo chmod 600 /etc/wireguard/server.{key,pub}
]]>
</codeblock>
</section>
<section id="install-wireguard-client">
<h>WireGuard のインストール: クライアント</h>
<p>
公式サイトから各 OS 向けのクライアントソフトウェアを入手し、インストールする。次に、設定をおこなう。
</p>
<codeblock language="ini">
<![CDATA[
# クライアント 1 の場合
[Interface]
Address = 10.10.1.2/32
PrivateKey = <クライアント 1 の秘密鍵>
[Peer]
PublicKey = <サーバの公開鍵>
AllowedIPs = <サーバの外部 IP アドレス>/32
Endpoint = <サーバの外部 IP アドレス>:51820
]]>
</codeblock>
<codeblock language="ini">
<![CDATA[
# クライアント 2 の場合
[Interface]
Address = 10.10.1.3/32
PrivateKey = <クライアント 2 の秘密鍵>
[Peer]
PublicKey = <サーバの公開鍵>
AllowedIPs = <サーバの外部 IP アドレス>/32
Endpoint = <サーバの外部 IP アドレス>:51820
]]>
</codeblock>
<p>
<code>PrivateKey</code> や <code>PublicKey</code> は鍵ファイルのパスではなく中身を書くことに注意。
</p>
</section>
<section id="configure-wireguard">
<h>
WireGuard の設定
</h>
<p>
一度サーバへ戻り、WireGuard の設定ファイルを書く。
</p>
<codeblock>
<![CDATA[
$ sudo vim /etc/wireguard/wg0.conf
]]>
</codeblock>
<codeblock language="ini">
<![CDATA[
[Interface]
Address = 10.10.1.1/32
SaveConfig = true
PrivateKey = <サーバの秘密鍵>
ListenPort = 51820
[Peer]
PublicKey = <クライアント 1 の公開鍵>
AllowedIPs = 10.10.1.2/32
[Peer]
PublicKey = <クライアント 2 の公開鍵>
AllowedIPs = 10.10.1.3/32
]]>
</codeblock>
<p>
次に、WireGuard のサービスを起動する。
</p>
<codeblock>
<![CDATA[
$ sudo systemctl enable wg-quick@wg0
$ sudo systemctl start wg-quick@wg0
]]>
</codeblock>
</section>
<section id="configure-firewall">
<h>
ファイアウォールの設定
</h>
<p>
続けてファイアウォールを設定する。まずは WireGuard が使用する UDP のポートを開き、<code>wg0</code> を通る通信を許可する。
</p>
<codeblock>
<![CDATA[
$ sudo ufw allow 51820/udp
$ sudo ufw allow in on wg0
$ sudo ufw allow out on wg0
]]>
</codeblock>
<p>
次に、80 や 443 などの必要なポートについて、<code>wg0</code> を経由してのアクセスのみ許可する。
</p>
<codeblock>
<![CDATA[
$ sudo ufw allow in on wg0 to any port 80 proto tcp
$ sudo ufw allow in on wg0 to any port 443 proto tcp
]]>
</codeblock>
<p>
最後に、<code>ufw</code> を有効にする。
</p>
<codeblock>
<![CDATA[
$ sudo ufw status
$ sudo ufw enable
]]>
</codeblock>
</section>
<section id="connect-each-other">
<h>
接続する
</h>
<p>
これで、各クライアントで VPN を有効にすると、当該サーバの 80 ポートや 443 ポートにアクセスできるようになったはずだ。念のため VPN を切った状態でアクセスできないことも確認しておくとよいだろう。
</p>
</section>
<section id="edit-80-port">
<h>
追記: 80 番ポートについて
</h>
<p>
Let's Encrypt でサーバの証明書を取得している場合、80 番ポートを空けておく必要がある。気づかないうちに証明書が切れないよう注意。
</p>
</section>
</article>
|
