7.10. nmcli を使用した WireGuard クライアントの設定

手順

1. NetworkManager WireGuard 接続プロファイルを追加します。

   # nmcli connection add type wireguard con-name client-wg0 ifname wg0

   client-wg0 という名前のプロファイルを作成し、そのプロファイルに仮想インターフェイス wg0 を割り当てます。

2. オプション: NetworkManager が client-wg 接続を自動的に起動しないように設定します。

   # nmcli connection modify client-wg0 autoconnect no

3. クライアントのトンネル IPv4 アドレスとサブネットマスクを設定します。

   # nmcli connection modify client-wg0 ipv4.method manual ipv4.addresses 192.0.2.2/24

4. クライアントのトンネル IPv6 アドレスとサブネットマスクを設定します。

   # nmcli connection modify client-wg0 ipv6.method manual ipv6.addresses 2001:db8:1::2/64

5. すべてのトラフィックをトンネル経由でルーティングする場合は、サーバーのトンネル IP アドレスをデフォルトゲートウェイとして設定します。

   # nmcli connection modify client-wg0 ipv4.gateway 192.0.2.1 ipv6.gateway 2001:db8:1::1

   すべてのトラフィックをトンネル経由でルーティングするには、後の手順で、このクライアントの allowed-ips を 0.0.0.0/0;::/0 に設定する必要があります。

   すべてのトラフィックをトンネル経由でルーティングすると、サーバーのルーティングとファイアウォールの設定によっては他のホストへの接続に影響が及ぶ可能性があることに注意してください。

6. クライアントの秘密鍵を接続プロファイルに追加します。

   # nmcli connection modify client-wg0 wireguard.private-key "aPUcp5vHz8yMLrzk8SsDyYnV33IhE/k20e52iKJFV0A="

7. このクライアントとの通信を許可するサーバーごとにピア設定を追加します。

   # nmcli connection modify client-wg0 wireguard.peers 'kEyMNyYhpmn9zPQ4m7iGmU9G7nooS9eeUBe0Y0wO0gM= endpoint=server.example.com:51820 allowed-ips=0.0.0.0/0 ;::/0'

   wireguard.peers パラメーターは、NetworkManager 接続プロファイルにおけるクライアントのピアセクションを定義します。allowed-ips に 0.0.0.0/0;::/0; を使用すると、任意のリモート IPv4 および IPv6 アドレスがこのクライアントと通信できるようになります。この設定を使用して、すべてのトラフィックをトンネル経由でルーティングし、WireGuard サーバーをデフォルトゲートウェイとして使用します。

8. client-wg0 接続を再アクティブ化します。

   # nmcli connection up client-wg0

9. DHCP またはステートレスアドレス自動設定 (SLAAC) が設定されたネットワークでこのホストを使用すると、接続がリダイレクトされる危険性があります。詳細と軽減策は、接続がトンネルを回避しないように VPN 接続を専用ルーティングテーブルに割り当てる を参照してください。

検証

1. サーバーの IP アドレスの ping を実行します。

   # ping 192.0.2.1
   # ping6 2001:db8:1::1

2. wg0 デバイスのインターフェイス設定を表示します。

   # wg show wg0
   interface: wg0
     public key: bnwfQcC8/g2i4vvEqcRUM2e6Hi3Nskk6G9t4r26nFVM=
     private key: (hidden)
     listening port: 51820
   
   peer: UtjqCJ57DeAscYKRfp7cFGiQqdONRn69u249Fa4O6BE=
     endpoint: server.example.com:51820
     allowed ips: 192.0.2.1/32, 2001:db8:1::1/128
     latest handshake: 1 minute, 41 seconds ago
     transfer: 824 B received, 1.01 KiB sent
     persistent keepalive: every 20 seconds

   出力に秘密鍵を表示するには、WG_HIDE_KEYS=never wg show wg0 コマンドを使用します。

   VPN トンネルを介してトラフィックを送信している場合は、latest handshake エントリーと transfer エントリーのみが含まれることに注意してください。

3. wg0 デバイスの IP 設定を表示します。

   # ip address show wg0
   10: wg0: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000
       link/none
       inet 192.0.2.2/24 brd 192.0.2.255 scope global noprefixroute wg0
          valid_lft forever preferred_lft forever
       inet6 2001:db8:1::2/64 scope global noprefixroute
          valid_lft forever preferred_lft forever
       inet6 fe80::73d9:6f51:ea6f:863e/64 scope link noprefixroute
          valid_lft forever preferred_lft forever