8.17. wg-quick サービスを使用した WireGuard クライアントの設定

手順

1. wireguard-tools パッケージをインストールします。

   # dnf install wireguard-tools

2. 以下の内容で /etc/wireguard/wg0.conf ファイルを作成します。

   [Interface]
   Address = 192.0.2.2/24, 2001:db8:1::2/32
   PrivateKey = aPUcp5vHz8yMLrzk8SsDyYnV33IhE/k20e52iKJFV0A=
   
   [Peer]
   PublicKey = UtjqCJ57DeAscYKRfp7cFGiQqdONRn69u249Fa4O6BE=
   AllowedIPs = 192.0.2.1, 2001:db8:1::1
   Endpoint = server.example.com:51820
   PersistentKeepalive = 20

   • [Interface] セクションでは、クライアントのインターフェイスの WireGuard 設定を説明します。

     • Address: クライアントのトンネル IP アドレスをコンマで区切ったリスト。
     • PrivateKey: クライアントの秘密鍵。

   • [Peer] セクションでは、サーバーの設定を説明します。

     • PublicKey: サーバーの公開鍵。

     • AllowedIPs: このクライアントへのデータ送信を許可する IP アドレス。たとえば、このパラメーターを次のように設定します。

       • サーバーのトンネル IP アドレスに設定すると、そのサーバーのみがこのクライアントと通信できるようになります。上記の例の値を使用すると、そのように設定されます。
       • 0.0.0.0/0, ::/0 に設定すると、リモートの IPv4 アドレスおよび IPv6 アドレスがこのクライアントと通信できるようになります。この設定を使用して、すべてのトラフィックをトンネル経由でルーティングし、WireGuard サーバーをデフォルトゲートウェイとして使用します。
     • Endpoint: サーバーのホスト名または IP アドレスとポートを設定します。クライアントはこの情報を使用して接続を確立します。
     • オプションの persistent-keepalive パラメーターは、WireGuard がサーバーにキープアライブパケットを送信する間隔を秒単位で定義します。ネットワークアドレス変換 (NAT) を使用するネットワークでクライアントを使用する場合、またはしばらく非アクティブにした後にファイアウォールが UDP 接続を閉じる場合は、このパラメーターを設定します。

3. WireGuard 接続を有効にして起動します。

   # systemctl enable --now wg-quick@wg0

   systemd インスタンス名は、.conf 接尾辞のない /etc/wireguard/ ディレクトリー内の設定ファイルの名前と一致する必要があります。このサービスは、仮想ネットワークインターフェイスにもこの名前を使用します。

4. DHCP またはステートレスアドレス自動設定 (SLAAC) が設定されたネットワークでこのホストを使用すると、接続がリダイレクトされる危険性があります。詳細と軽減策については、接続がトンネルを回避しないように VPN 接続を専用ルーティングテーブルに割り当てる を参照してください。

検証

1. サーバーの IP アドレスの ping を実行します。

   # ping 192.0.2.1
   # ping6 2001:db8:1::1

2. wg0 デバイスのインターフェイス設定を表示します。

   # wg show wg0
   interface: wg0
     public key: bnwfQcC8/g2i4vvEqcRUM2e6Hi3Nskk6G9t4r26nFVM=
     private key: (hidden)
     listening port: 51820
   
   peer: UtjqCJ57DeAscYKRfp7cFGiQqdONRn69u249Fa4O6BE=
     endpoint: server.example.com:51820
     allowed ips: 192.0.2.1/32, 2001:db8:1::1/128
     latest handshake: 1 minute, 41 seconds ago
     transfer: 824 B received, 1.01 KiB sent
     persistent keepalive: every 20 seconds

   出力に秘密鍵を表示するには、WG_HIDE_KEYS=never wg show wg0 コマンドを使用します。

   VPN トンネルを介してトラフィックをすでに送信している場合は、latest handshake エントリーと transfer エントリーのみが出力に含まれることに注意してください。

3. wg0 デバイスの IP 設定を表示します。

   # ip address show wg0
   10: wg0: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000
       link/none
       inet 192.0.2.2/24 scope global wg0
          valid_lft forever preferred_lft forever
       inet6 2001:db8:1::2/32 scope global
          valid_lft forever preferred_lft forever