7.5. nmcli を使用した WireGuard サーバーの設定

手順

1. NetworkManager WireGuard 接続プロファイルを追加します。

   # nmcli connection add type wireguard con-name server-wg0 ifname wg0 autoconnect no

   このコマンドは、server-wg0 という名前のプロファイルを作成し、それに仮想インターフェイス wg0 を割り当てます。設定を確定せずに接続を追加した後、接続が自動的に開始しないようにするには、autoconnect パラメーターを無効にします。

2. サーバーのトンネル IPv4 アドレスおよびサブネットマスクを設定します。

   # nmcli connection modify server-wg0 ipv4.method manual ipv4.addresses 192.0.2.1/24

3. サーバーのトンネル IPv6 アドレスおよびサブネットマスクを設定します。

   # nmcli connection modify server-wg0 ipv6.method manual ipv6.addresses 2001:db8:1::1/32

4. サーバーの秘密鍵を接続プロファイルに追加します。

   # nmcli connection modify server-wg0 wireguard.private-key "YFAnE0psgIdiAF7XR4abxiwVRnlMfeltxu10s/c4JXg="

5. 着信 WireGuard 接続のポートを設定します。

   # nmcli connection modify server-wg0 wireguard.listen-port 51820

   着信 WireGuard 接続を受信するホストでは、常に固定ポート番号を設定してください。ポートを設定しないと、WireGuard は wg0 インターフェイスをアクティブにするたびにランダムに空きポートを使用します。

6. このサーバーとの通信を許可する各クライアントに、ピア設定を追加します。これらの設定は手動で追加する必要があります。nmcli ユーティリティーでは、対応する接続プロパティーの設定をサポートしていないためです。

   1. /etc/NetworkManager/system-connections/server-wg0.nmconnection ファイルを編集し、以下を追加します。

      [wireguard-peer.bnwfQcC8/g2i4vvEqcRUM2e6Hi3Nskk6G9t4r26nFVM=]
      allowed-ips=192.0.2.2;2001:db8:1::2;

      • [wireguard-peer.<public_key_of_the_client>] エントリーは、クライアントのピアセクションを定義し、セクション名にはクライアントの公開鍵が含まれます。

      • allowed-ips パラメーターは、このサーバーへのデータ送信が許可されているクライアントのトンネル IP アドレスを設定します。

        各クライアントにセクションを追加します。

   2. server-wg0 接続プロファイルをリロードします。

      # nmcli connection load /etc/NetworkManager/system-connections/server-wg0.nmconnection

7. 必要に応じて、自動的に起動するように接続を設定し、次のコマンドを実行します。

   # nmcli connection modify server-wg0 autoconnect yes

8. server-wg0 接続を再アクティブ化します。

   # nmcli connection up server-wg0

9. DHCP またはステートレスアドレス自動設定 (SLAAC) が設定されたネットワークでこのホストを使用すると、接続がリダイレクトされる危険性があります。詳細と軽減策は、接続がトンネルを回避しないように VPN 接続を専用ルーティングテーブルに割り当てる を参照してください。

検証

1. wg0 デバイスのインターフェイス設定を表示します。

   # wg show wg0
   interface: wg0
     public key: UtjqCJ57DeAscYKRfp7cFGiQqdONRn69u249Fa4O6BE=
     private key: (hidden)
     listening port: 51820
   
   peer: bnwfQcC8/g2i4vvEqcRUM2e6Hi3Nskk6G9t4r26nFVM=
     allowed ips: 192.0.2.2/32, 2001:db8:1::2/128

   出力に秘密鍵を表示するには、WG_HIDE_KEYS=never wg show wg0 コマンドを使用します。

2. wg0 デバイスの IP 設定を表示します。

   # ip address show wg0
   20: wg0: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000
       link/none
       inet 192.0.2.1/24 brd 192.0.2.255 scope global noprefixroute wg0
          valid_lft forever preferred_lft forever
       inet6 2001:db8:1::1/32 scope global noprefixroute
          valid_lft forever preferred_lft forever
       inet6 fe80::3ef:8863:1ce2:844/64 scope link noprefixroute
          valid_lft forever preferred_lft forever