blob: e48e135b3a8876b3bf23ef7602536d139c302bcf (
plain)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
|
<!DOCTYPE html>
<html lang="ja-JP">
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<meta name="author" content="nsfisis">
<meta name="copyright" content="© 2024 nsfisis">
<meta name="description" content="個人用サービスのセルフホストに使っているサーバに WireGuard を導入する作業をしたメモ">
<meta name="keywords" content="備忘録,WireGuard">
<meta property="og:type" content="article">
<meta property="og:title" content="【備忘録】 個人用サーバに WireGuard を導入する|REPL: Rest-Eat-Program Loop">
<meta property="og:description" content="個人用サービスのセルフホストに使っているサーバに WireGuard を導入する作業をしたメモ">
<meta property="og:site_name" content="REPL: Rest-Eat-Program Loop">
<meta property="og:locale" content="ja_JP">
<link rel="icon" type="image/svg+xml" href="/favicon.svg">
<title>【備忘録】 個人用サーバに WireGuard を導入する|REPL: Rest-Eat-Program Loop</title>
<link rel="stylesheet" href="/style.css?h=79020a898c7052f79b32e90376a4497d">
<link rel="stylesheet" href="/hl.css?h=340e65ffd5c17713efc9107c06304f7b">
</head>
<body class="single">
<header class="header">
<div class="site-logo">
<a href="/">REPL: Rest-Eat-Program Loop</a>
</div>
<nav class="nav">
<ul>
<li>
<a href="/about/">About</a>
</li>
<li>
<a href="/posts/">Posts</a>
</li>
<li>
<a href="/slides/">Slides</a>
</li>
<li>
<a href="/tags/">Tags</a>
</li>
</ul>
</nav>
</header>
<main class="main">
<article class="post-single">
<header class="post-header">
<h1 class="post-title">【備忘録】 個人用サーバに WireGuard を導入する</h1>
<ul class="post-tags">
<li class="tag">
<a href="/tags/note-to-self/">備忘録</a>
</li>
<li class="tag">
<a href="/tags/wireguard/">WireGuard</a>
</li>
</ul>
</header>
<div class="post-content">
<section>
<h2 id="changelog">更新履歴</h2>
<ol>
<li class="revision">
<time datetime="2024-02-03">2024-02-03</time>: 公開
</li>
<li class="revision">
<time datetime="2024-02-17">2024-02-17</time>: 80 番ポートについて追記
</li>
</ol>
</section>
<section id="section--intro">
<h2><a href="#section--intro">はじめに</a></h2>
<p>
個人用サービスのセルフホストに使っているサーバに <a href="https://www.wireguard.com/">WireGuard</a> を導入する作業をしたのでメモ。
</p>
<p>
登場するホストは以下のとおり:
</p>
<ul>
<li>
サーバ (Ubuntu): <code>10.10.1.1</code>
</li>
<li>
クライアント 1 (Windows): <code>10.10.1.2</code>
</li>
<li>
クライアント 2 (Android): <code>10.10.1.3</code>
</li>
</ul>
<p>
後ろの IP アドレスは VPN 内で使用するプライベート IP アドレス。
</p>
</section>
<section id="section--install-wireguard-server">
<h2><a href="#section--install-wireguard-server">WireGuard のインストール: サーバ</a></h2>
<p>
まずは個人用サービスをホストしている Ubuntu のサーバに WireGuard をインストールする。
</p>
<pre class="highlight"><code>$ sudo apt install wireguard</code></pre>
<p>
次に、WireGuard で使用する鍵を生成する。
</p>
<pre class="highlight"><code>$ wg genkey | sudo tee /etc/wireguard/server.key | wg pubkey | sudo tee /etc/wireguard/server.pub
$ sudo chmod 600 /etc/wireguard/server.{key,pub}</code></pre>
</section>
<section id="section--install-wireguard-client">
<h2><a href="#section--install-wireguard-client">WireGuard のインストール: クライアント</a></h2>
<p>
公式サイトから各 OS 向けのクライアントソフトウェアを入手し、インストールする。次に、設定をおこなう。
</p>
<pre class="highlight" language="ini"><code class="highlight"><span class="hljs-comment"># クライアント 1 の場合</span>
<span class="hljs-section">[Interface]</span>
<span class="hljs-attr">Address</span> = <span class="hljs-number">10.10</span>.<span class="hljs-number">1.2</span>/<span class="hljs-number">32</span>
<span class="hljs-attr">PrivateKey</span> = <クライアント <span class="hljs-number">1</span> の秘密鍵>
<span class="hljs-section">[Peer]</span>
<span class="hljs-attr">PublicKey</span> = <サーバの公開鍵>
<span class="hljs-attr">AllowedIPs</span> = <サーバの外部 IP アドレス>/<span class="hljs-number">32</span>
<span class="hljs-attr">Endpoint</span> = <サーバの外部 IP アドレス>:<span class="hljs-number">51820</span></code></pre>
<pre class="highlight" language="ini"><code class="highlight"><span class="hljs-comment"># クライアント 2 の場合</span>
<span class="hljs-section">[Interface]</span>
<span class="hljs-attr">Address</span> = <span class="hljs-number">10.10</span>.<span class="hljs-number">1.3</span>/<span class="hljs-number">32</span>
<span class="hljs-attr">PrivateKey</span> = <クライアント <span class="hljs-number">2</span> の秘密鍵>
<span class="hljs-section">[Peer]</span>
<span class="hljs-attr">PublicKey</span> = <サーバの公開鍵>
<span class="hljs-attr">AllowedIPs</span> = <サーバの外部 IP アドレス>/<span class="hljs-number">32</span>
<span class="hljs-attr">Endpoint</span> = <サーバの外部 IP アドレス>:<span class="hljs-number">51820</span></code></pre>
<p>
<code>PrivateKey</code> や <code>PublicKey</code> は鍵ファイルのパスではなく中身を書くことに注意。
</p>
</section>
<section id="section--configure-wireguard">
<h2><a href="#section--configure-wireguard"> WireGuard の設定 </a></h2>
<p>
一度サーバへ戻り、WireGuard の設定ファイルを書く。
</p>
<pre class="highlight"><code>$ sudo vim /etc/wireguard/wg0.conf</code></pre>
<pre class="highlight" language="ini"><code class="highlight"><span class="hljs-section">[Interface]</span>
<span class="hljs-attr">Address</span> = <span class="hljs-number">10.10</span>.<span class="hljs-number">1.1</span>/<span class="hljs-number">32</span>
<span class="hljs-attr">SaveConfig</span> = <span class="hljs-literal">true</span>
<span class="hljs-attr">PrivateKey</span> = <サーバの秘密鍵>
<span class="hljs-attr">ListenPort</span> = <span class="hljs-number">51820</span>
<span class="hljs-section">[Peer]</span>
<span class="hljs-attr">PublicKey</span> = <クライアント <span class="hljs-number">1</span> の公開鍵>
<span class="hljs-attr">AllowedIPs</span> = <span class="hljs-number">10.10</span>.<span class="hljs-number">1.2</span>/<span class="hljs-number">32</span>
<span class="hljs-section">[Peer]</span>
<span class="hljs-attr">PublicKey</span> = <クライアント <span class="hljs-number">2</span> の公開鍵>
<span class="hljs-attr">AllowedIPs</span> = <span class="hljs-number">10.10</span>.<span class="hljs-number">1.3</span>/<span class="hljs-number">32</span></code></pre>
<p>
次に、WireGuard のサービスを起動する。
</p>
<pre class="highlight"><code>$ sudo systemctl enable wg-quick@wg0
$ sudo systemctl start wg-quick@wg0</code></pre>
</section>
<section id="section--configure-firewall">
<h2><a href="#section--configure-firewall"> ファイアウォールの設定 </a></h2>
<p>
続けてファイアウォールを設定する。まずは WireGuard が使用する UDP のポートを開き、<code>wg0</code> を通る通信を許可する。
</p>
<pre class="highlight"><code>$ sudo ufw allow 51820/udp
$ sudo ufw allow in on wg0
$ sudo ufw allow out on wg0</code></pre>
<p>
次に、80 や 443 などの必要なポートについて、<code>wg0</code> を経由してのアクセスのみ許可する。
</p>
<pre class="highlight"><code>$ sudo ufw allow in on wg0 to any port 80 proto tcp
$ sudo ufw allow in on wg0 to any port 443 proto tcp</code></pre>
<p>
最後に、<code>ufw</code> を有効にする。
</p>
<pre class="highlight"><code>$ sudo ufw status
$ sudo ufw enable</code></pre>
</section>
<section id="section--connect-each-other">
<h2><a href="#section--connect-each-other"> 接続する </a></h2>
<p>
これで、各クライアントで VPN を有効にすると、当該サーバの 80 ポートや 443 ポートにアクセスできるようになったはずだ。念のため VPN を切った状態でアクセスできないことも確認しておくとよいだろう。
</p>
</section>
<section id="section--edit-80-port">
<h2><a href="#section--edit-80-port"> 追記: 80 番ポートについて </a></h2>
<p>
Let's Encrypt でサーバの証明書を取得している場合、80 番ポートを空けておく必要がある。気づかないうちに証明書が切れないよう注意。
</p>
</section>
</div>
</article>
</main>
<footer class="footer">
© 2021 nsfisis
</footer>
</body>
</html>
|
