MochiuWiki : SUSE, EC, PCB
案内
メインページ
最近の更新
おまかせ表示
MediaWiki についてのヘルプ
ツール
リンク元
関連ページの更新状況
特別ページ
ページ情報
We ask for
Donations
検索
個人用ツール
ログイン
Toggle dark mode
名前空間
ページ
議論
表示
閲覧
ソースを閲覧
履歴を表示
設定 - VPNサーバのソースを表示
提供: MochiuWiki : SUSE, EC, PCB
←
設定 - VPNサーバ
あなたには「このページの編集」を行う権限がありません。理由は以下の通りです:
この操作は、次のグループのいずれかに属する利用者のみが実行できます:
管理者
、new-group。
このページのソースの閲覧やコピーができます。
== 概要 == <br><br> == WireGuard == WireGuardは、IPv4およびIPv6接続をサポートする軽量のVPNである。<br> <br> VPNは、信頼されていないネットワークをプライベートネットワークであるかのように通過することができる。<br> また、Tailscaleの仕組みと同様に、SSHや他の機密ポートをオープンにしておく必要がないように、自社のインフラにアクセスするためにVPNを導入したいと思うかもしれない。<br> <br> WireGuardの暗号化は、ピア同士が暗号化されたトンネルを確立するための公開鍵と秘密鍵に依存している。<br> WireGuardの各バージョンでは、シンプルさ、セキュリティ、ピアとの互換性を確保するために、特定の暗号スイートが使用されている。<br> <br> それに比べて、OpenVPNやIPSec等の他のVPNソフトウェアは、TLS(Transport Layer Security)と証明書を使用して、システム間の認証と暗号化トンネルの確立を行う。<br> TLSのバージョンが異なると、何百種類もの暗号スイートやアルゴリズムがサポートされるため、様々なクライアントに柔軟に対応できる反面、TLSを使用したVPNの設定に時間がかかり、複雑で、エラーが起こりやすくなる。<br> <br><br> == VPNサーバの構築 (BPHの使用) == ==== BPHの概要 ==== しかし、Netflixやその他のストリーミングサービスのブロックを解除する場合、VPSを使用してもVPNの使用が検出される可能性が高いため、うまくいかない場合がある。<br> また、Torrentの利用にはセキュリティの強化が必要なため、VPSの利用は推奨しない。<br> <br> VPSとOutlineというソフトウェアを使用して、Shadowsocksプロトコルをセットアップした方がよい。<br> <br> ==== BPHサービス企業 ==== BPH(防弾ホスティング)のVPS<br> * HostMaze *: ルーマニア拠点 *: https://hostmaze.com * CockBox *: ルーマニア拠点 *: https://cockbox.org * W3Space *: バングラデシュ拠点 *: https://www.w3space.net/ * VPSAG *: キプロスに拠点を置く。サーバは、ブルガリアのNeterraを利用している。 *: https://www.vpsag.com/ * Vultr *: https://www.vultr.com/ * BitLaunch *: https://bitlaunch.io/ * Pterodactyl *: https://pterodactyl.io/ * NiceVPS.net *: https://nicevps.net/ <br> ==== 構築 ステップ1 : WireGuardのインストールとキーペアの生成 ==== Debian 11上でWireGuardをセットアップして、IPv4とIPv6の両方の接続(一般にデュアルスタック接続と呼ばれる)を使用して、ピアとして接続するように別のデバイスを設定する。<br> また、暗号化されたP2PトンネルにVPNを使用するだけでなく、ゲートウェイ構成でピアのインターネットトラフィックをWireGuardサーバー経由でルーティングする方法も記載する。<br> <br> ここでは、Debian 11をWireGuardサーバのピア(クライアントとも呼ばれる)として設定する。<br> <br> まず、WireGuardをサーバにインストールする。<br> sudo apt update sudo apt install wireguard <br> 次に、WireGuardサーバ用の秘密鍵と公開鍵のペアを生成する。<br> 組み込みのwg genkeyおよびwg pubkeyコマンドを使用して鍵を作成して、秘密鍵をWireGuardの設定ファイルに追加する。<br> <bt> また、chmodコマンドを使用して、作成した鍵のパーミッションを変更する必要がある。<br> (<code>chmod go=</code>コマンドは、ルートユーザだけが秘密鍵にアクセスできるように、ルートユーザ以外のユーザやグループのファイルのパーミッションを削除している。)<br> wg genkey | sudo tee /etc/wireguard/private.key sudo chmod go= /etc/wireguard/private.key <br> base64エンコードされた1行を出力する。これが秘密鍵である。<br> この出力は、/etc/wireguard/private.keyファイルにも保存されている。<br> 出力された秘密鍵は、WireGuardの設定ファイルに追加する必要があるため、覚えておく必要がある。<br> <br> 次に、秘密鍵から派生する対応する公開鍵を作成する。<br> # 最初のコマンドは、秘密鍵ファイルを読み込み、標準出力ストリームに出力する。 # 2番目のコマンドは、最初のコマンドの出力を標準入力として受け取り、それを処理して公開鍵を生成する。 # 最後のコマンドは、公開鍵生成コマンドの出力を受け取り、/etc/wireguard/public.keyファイルにリダイレクトする。 sudo cat /etc/wireguard/private.key | wg pubkey | sudo tee /etc/wireguard/public.key <br> 上記のコマンドを実行すると、Base64エンコードされた出力が1行表示される。<br> この公開鍵は、WireGuardサーバに接続するピアに配布する必要があるため、参照用にどこかにコピーする必要がある。<br> <br> ==== 構築 ステップ2 : IPv4 および IPv6 アドレスの選択 ==== 上記のセクションでは、WireGuardをインストールし、サーバとの間のトラフィックを暗号化するために使用するキーペアを生成した。<br> <br> このセクションでは、WireGuardサーバ用の設定ファイルを作成して、WireGuardサーバの再起動時にWireGuardが自動的に起動するように設定する。<br> また、WireGuardサーバとピアで使用するプライベートIPv4アドレスとIPv6アドレスを定義する。<br> <br> IPv4アドレスとIPv6アドレスの両方を使用する場合は、このセクションの両方に従う必要がある。<br> <br> ===== IPv4を使用する ===== WireGuardサーバをIPv4ピアで使用する場合、サーバには、クライアントおよびトンネルインターフェースに使用するプライベートIPv4アドレスの範囲が必要である。<br> 以下の予約済みアドレスブロックから、任意の範囲のIPアドレスを選択できる。<br> * 10.0.0.0 ~ 10.255.255.255 (10/8 プレフィックス) * 172.16.0.0~172.31.255.255 (172.16/12プレフィックス) * 192.168.0.0〜192.168.255.255 (192.168/16プレフィックス) <br> ここでは、予約IPの最初の範囲からIPアドレスのブロックとして、10.8.0.0/24を使用する。<br> この範囲は最大255の異なるピア接続を許可して、一般的に他のプライベートIP範囲と重複または競合するアドレスを持つべきではない。<br> この例の範囲がユーザのネットワークに適合しない場合は、ユーザのネットワーク構成に適合するアドレス範囲を自由に選択する。<br> <br> WireGuardサーバは、プライベートトンネルIPv4アドレスとして、この範囲から1つのIPアドレスを使用する。<br> ここでは、10.8.0.1/24を使用するが、10.8.0.1~10.8.0.255の範囲であればどのアドレスでも使用できる。<br> 10.8.0.1/24と異なるものを使用する場合は、選択したIPアドレスを覚えておくこと。<br> <br> このIPv4アドレスは、次のセクションで定義する設定ファイルに追加する。<br> <br> ===== IPv6を使用する ===== IPv6でWireGuardを使用する場合は、RFC 4193のアルゴリズムに基づいて、一意のローカルIPv6ユニキャストアドレスプレフィックスを生成する必要がある。<br> WireGuardサーバで使用するアドレスは、仮想トンネルインターフェースに関連付けられる。<br> <br> プライベートIPv6アドレスの予約済みfd00::/8ブロック内でランダムな一意のIPv6プレフィックスを生成するには、いくつかの手順を完了する必要がある。<br> <br> RFCによると、一意のIPv6プレフィックスを取得する推奨方法は、シリアル番号やデバイスIDのようなシステムからの一意の識別値と時刻を組み合わせることである。<br> これらの値は、ハッシュ化されて切り捨てられた結果、IPの予約済みプライベートfd00::/8ブロック内で一意なアドレスとして使用できるビットセットになる。<br> <br> まず、WireGuardサーバのIPv6範囲の生成を開始するには、日付ユーティリティを使用して64ビットのタイムスタンプを収集する。<br> 以下の例では、1970-01-01 00:00:00 UTCからの秒数(<code>date</code>コマンドの<code>%s</code>)とナノ秒数(<code>%N</code>)を合わせたものである。<br> date +%s%N 出力例 : 1650301699497770167 <br> 次に、WireGuardサーバのマシンID値を、/var/lib/dbus/machine-idファイルからコピーする。<br> この識別子は、システム固有のもので、WireGuardサーバが存在する限り変更されることはない。<br> # /var/lib/dbus/machine-idファイルの例 610cef4946ed46da8f71dba9d66c67fb <br> タイムスタンプとマシンIDを組み合わせて、SHA-1アルゴリズムを使用してハッシュ化する必要がある。<br> printf <タイムスタンプ><マシンID> | sha1sum # 実行例 : printf 1650301699497770167610cef4946ed46da8f71dba9d66c67fb | sha1sum # 出力例 : 442adea1488d96388dae9ab816045b24609a6c18 - <br> <code>sha1sum</code>コマンドの出力は16進数であるため、1バイトのデータを表すのに2文字を使用することに注意する。<br> 例えば、出力例の4fと26は、ハッシュ化されたデータの最初の2バイトである。<br> <br> RFCのアルゴリズムは、ハッシュ化された出力の最下位(末尾)の40ビット、つまり5バイトしか必要としないため、<code>cut</code>コマンドを使用して、ハッシュから最後の5バイトを16進エンコードして出力する。<br> <code>-c</code>オプションは、<code>cut</code>コマンドに指定された文字の集合だけを選択するように指示する。<br> 例えば、31-オプションは、<code>cut</code>コマンドに31位から入力行の終わりまでの全ての文字を表示する。<br> printf 442adea1488d96388dae9ab816045b24609a6c18 | cut -c 31- # 出力例 : 24609a6c18 <br> 上記の出力例では、バイトのセットは、24 60 9a 6c 18となる。<br> これにより、生成した5バイトをfdプレフィックスに追加して、2バイトごとに:(コロン)で区切って読みやすくすることで、一意のIPv6ネットワークプレフィックスを構築することができる。<br> 一意なプレフィックスに含まれる各サブネットは、合計で18,446,744,073,709,551,616個のIPv6アドレスを保持できるため、簡単にするためにサブネットを標準サイズの/64に制限することができる。<br> <br> 先に/64サブネットサイズで生成したバイトを使用すると、結果のプレフィックスは次のようになる。<br> # 一意のローカルIPv6プレフィックス例 fd24:609a:6c18::/64 <br> 上記の例のfd24:609a:6c18::/64の範囲は、WireGuardサーバとピアのWireGuardトンネルインターフェイスに個々のIPアドレスを割り当てるために使用する。<br> WireGuardサーバにIPアドレスを割り当てるには、最後の<code>::</code>の後に1を追加する。<br> 上記のものを例に取ると、アドレスはfd24:609a:6c18::1/64になる。<br> <br> ピアはこの範囲内のどのIPアドレスでも使用できるが、通常はピアを追加するたびに値を1ずつ増やす。(例 : fd24:609a:6c18::2/64)<br> このIPアドレスは、次のセクションのWireGuardサーバの設定で使用するために覚えておく必要がある。<br> <br> ==== 構築 ステップ3 : WireGuardサーバ構成の作成 ==== 必要な秘密鍵とIPアドレスを使用して、WireGuardサーバの設定ファイルを作成する。<br> <br> PrivateKeyキー値は秘密鍵のフルパス、Addressキー値はIPアドレスを指定する。<br> SaveConfigキー値は、WireGuardインターフェイスがシャットダウンされた時に、変更内容が設定ファイルに保存されるようにする設定である。<br> WireGuardを別のポートで使用したい場合は、ListenPortキー値を変更することもできる。<br> sudo vi /etc/wireguard/wg0.conf <br> # /etc/wireguard/wg0.confファイル [Interface] PrivateKey = <秘密鍵ファイルのフルパス> Address = <IPv4のアドレス 例 : 10.8.0.1/24>, <IPv6のアドレス 例 : fd24:609a:6c18::1/64> ListenPort = 51820 SaveConfig = true <br> ==== 構築 ステップ4 : WireGuardサーバのネットワーク設定の調整 ==== WireGuardピアのインターネットトラフィックをWireGuardサーバー経由でルーティングする場合は、このセクションに従ってIP転送を設定する必要がある。<br> <u>WireGuardを使用してピアをWireGuardサーバーに接続して、サーバー上のサービスにのみアクセスする場合は、このセクションの設定は不要である。</u><br> <br> 転送の設定をするには、/etc/sysctl.confファイルを編集する。<br> sudo vi /etc/sysctl.conf <br> WireGuardでIPv4を使用している場合は、ファイルの一番下に以下の行を追加する。<br> net.ipv4.ip_forward=1 <br> WireGuardでIPv6を使用する場合は、ファイルの末尾に次の行を追加する。<br> net.ipv6.conf.all.forwarding=1 <br> <u>IPv4とIPv6の両方を使用する場合は、両方の行を追記する。</u><br> <br> 設定を反映させる。<br> sudo sysctl -p <br> これにより、WireGuardサーバは、仮想VPNイーサネットデバイスからの受信トラフィックをサーバー上の他のデバイスに転送して、そこからパブリックインターネットに転送できるようになる。<br> この設定を使用すると、WireGuardピアからの全てのウェブトラフィックをサーバのIPアドレス経由で転送できるようになり、クライアントのパブリックIPアドレスは効果的に隠蔽される。<br> <br> ただし、トラフィックをサーバ経由で正しくルーティングする前に、いくつかのファイアウォールルールを設定する必要がある。<br> このルールにより、WireGuardサーバとピアとの間のトラフィックが正しく流れるようになる。<br> <br><br> __FORCETOC__ [[カテゴリ:RHEL]][[カテゴリ:SUSE]][[カテゴリ:Raspberry_Pi]][[カテゴリ:PinePhone]][[カテゴリ:Windows10]]
設定 - VPNサーバ
に戻る。
案内
メインページ
最近の更新
おまかせ表示
MediaWiki についてのヘルプ
ツール
リンク元
関連ページの更新状況
特別ページ
ページ情報
We ask for
Donations
Collapse