-
Linux
-
【VPN】 WireGuard Part.1
-
UPLIFTで広告なしで体験しましょう!快適な閲覧ライフをお約束します!
!extend:checked:vvvvv:1000:512
!extend:checked:vvvvv:1000:512
↑これを2行になるようにコピペしてからスレ立てしてください
WireGuardは最先端の暗号技術を利用した、極めてシンプルかつ高速な最新のVPNです。
WireGuard は2020年から Linux カーネルに組み込まれています。
■ WireGuard公式サイト
https://www.wireguard.com/ VIPQ2_EXTDAT: checked:vvvvv:1000:512:: EXT was configured - コメントを投稿する
-
無かったので立てました
-
おつ よくやった
OpenVPNとの違いがあまりわからんけど -
実際使うとOpenVPNより何もかもが速い。
サーバークライアント型じゃないのでOpenVPNみたいに通信速度がサーバーの処理能力によって制限されることがない。
もちろん一つのPeerをハブとしてハブアンドスポーク型のネットワークを作ればOpenVPNと同様にハブの処理能力がボトルネックになるんだろうけど。
多数のPeerでP2P型のネットワークを作ろうとするとコネクションの数が膨大になって管理が大変になるというのはWireGuardの弱点かもしれない。
そこでTalescaleのようなサービスが出てきたわけだけど、似たような仕組みがいずれWireGuard本体に取り込まれそうな気がする。 -
テレワーク必須になって急遽使い始めたけど
今や手放せないわ
めっさ便利で速い -
で、どうやって使うの?
-
https://hub.docker.c...inuxserver/wireguard
これが一番簡単じゃないかな?
awsでlightsail借りるか、自宅鯖のポート開いたらそれだけで準備完了よ。
クライアント側は各OS のアプリストアで配信されてるから
それを入れる
iPhoneならQRスキャンしたら一瞬で終わるね -
サンプルのコマンドコピペするだけで
必要な設定全て込みでサーバが立ち上がるから。
これだけで世界のどこからでも自宅のネットワークや、
接続されたクライアント同士で通信できる。
自分はオフィスのLinux箱6台とMac3台、
自宅のMac3台全部これで繋げてテレワークしてます。
便利 -
ありがとう ぱっと見た限りでは確かにすごく簡単そうだねえ
普段はOpenVPNを自宅に仕込んで色々と活用してるんだが俺もこれ使ってみるか -
open VPN設定出来てるなら
カンタン過ぎて鼻血出ると思うw
そしてめちゃくちゃ速いのよねぇ
調べれば調べるほどよく出来てると感心する -
自分は以前はsshトンネルでなんとかやりくりしてたんだけど、
みんながこういうの使いなれてるわけじゃないからね。
ワイヤガードはテキスト数行コピペしたらあっという間に設定終わるから
誰でも使えるのホント素晴らしいよ。
自分はデータ分析チームなんだけどjupyterとかRStudioみたいなWEBアプリが主な用途です -
そのdockerイメージめちゃ便利なんだけど、
peerの設定変えるとクライアントが全部作り直しになるので
初めからピア数100とかにして立ち上げちゃうのがおススメです -
情報提供の為にお手数かけて頂いて恐縮です
有益に違いないスレが立ったのに盛り上がって無かったので
既存ユーザー様に熱く語って頂きたくて少々いやらしいテクに手を出した事をお許し下さいませ
どれ、早速明日にでもこさえてみるか
dockerはあんまり得意じゃないのでオンプレホストで作ってみるとするか
と書いてたらdockerイメージ激推しに気付いたので
余裕があったらこれを期に特訓してみよう -
まぁDockerでWireGuardするなら>>7のLinuxServer.ioのコンテナが安定だと思う。
Docker使わなくても鍵作ったらあとは設定ファイルしかいじるところないから環境が汚れるってこともないとは思うけど。
簡単さで鼻血出したいなら>>4にあるTalescaleも試してみるといい。
WireGuardの設定をさらに簡単にするサービスで、イメージとしては公開鍵交換サーバー+DDNSな感じかな?
https://tailscale.co...how-tailscale-works/を読むと仕組みが分かる。 -
>>13
サーバ立てられる人なら
dockerfile読むようにするだけで
一瞬で慣れると思うよ、docker
https://github.com/l...ob/master/Dockerfile
慣れるとコンテナ無しの時代が信じられんくらい便利だから
試してみてね。 -
>>16
クライアントのコードはGithubにあるhttps://github.com/tailscale/tailscale
OSSでTalescaleのサーバー側の実装をしようとしてるHeadscaleっていうのもあるにはあるhttps://github.com/juanfont/headscale -
昨晩は充実した情報提供ありがとうございました
先ず基礎的な事から身体で覚えたいので wireguard をホストマシンにインスコして戦っております
コンテナじゃないのはうちのメイン鯖がDocker使えないと言う理由もあるので -
取り敢えず開通自体はいとも簡単に終わりました
アプリの設定見てみたらOpenVPNみたく事前共有鍵も使えるんですね
自分以外の接続は徹底排除したいのでこれは設定しなくては -
あんまりよく分かってないんだけど、PSKは将来的な量子コンピューティングによる暗号解読に備えたオプションなんで、現状設定する意味があるかというとあんまりない、はず。(だよね?)
この辺に書いてあるhttps://www.wireguar...m/known-limitations/
「量子コンピュータが実用化された場合を考慮して、既存の公開鍵暗号に対称鍵暗号のレイヤーを追加するために事前共有鍵を生成することもできます:」https://wiki.archlin.../index.php/WireGuard
ただ、よりセキュアなオプションがあるなら設定した方が精神衛生的にいいというのはわかる。 -
何しろ使用開始してから半日も経って無いので内容の把握もこれからなんですが
OpenVPNの tls-auth に準ずる機能があれば是非設定しておきたいと思いまして
https://www.openvpn....ent/how-to/#Security
(OpenVPNのセキュリティを強化する の項目)
全ての通信をWireGuard経由にする方法も模索してましたが
そちらは成功しました -
送信元の[Peer]でAllowedIPs = 0.0.0.0/0, ::/0
-
その辺りはOpenVPNのやり方と似たような感じでしたね
熟練者に書いて頂くと説得力がありますな
認証に関しては某ブログに「認証情報が不正ならそもそも応答しない」みたいな事が掲載されておりました
あまりピリピリする必要も無さそうですね -
しかしこれはいい
何がいいかって、設定の簡単さもさることながらOpenVPNに付きものの
証明書の期限と言う煩わしさからの解放感
すばらしいの一言に尽きる -
なおズルして同じ秘密鍵/共有鍵を使い回そうとしたら繋がりませんですた
よく出来てやがる -
複数台同時接続じゃなければいけたような?
-
秘密鍵/公開鍵の間違いですた
入門者は繋がっただけでも感激しているのでズルの再検証は明日にでもやろうかと -
WireGuardデビュー初日 Dockerイメージ不使用での作業内容
1. wireguardメタパッケージインスコ kmod & 管理ツール入る
2. 秘密鍵/公開鍵を鯖PC用・ケータイ用に生成 簡素なコマンド4回
3. 生成した鍵を反映した設定ファイルを書く ものの数行
4. IPフォワーディング・NAT設定(拙はOpenVPNでの設定流用の為ほぼ作業せず)
5. HGWの穴空け
6. 鯖PCでwireguardデーモン起動し、設定をインポートしたケータイアプリでトグルスイッチON
7. ( ゚Д゚)ウマー
初構築での作業時間はだいたい正味1時間強 簡単ですた
https://i.imgur.com/ZoZB50a.png -
OpenVPNとどれくらい差があるか試してみたくなってきた
-
接続先のLANに接続したい時に書くNAPTの設定がよくわからん。[Interface]のところにPostUp,PostDownの二行書くやつ。
-
興味をお持ちの方がいらっしゃる様なのでPCでの設定例を上げておきます
https://i.imgur.com/gxgW0jU.jpg
なお残念ながら他のマシンと同じ鍵で繋ぎに行くのは不可能ですね
この辺はOpenVPNと同じです ちっ -
いや、コピペは流石に俺でもできる。iptablesの知識が無いから何やってるかわからんという話で。
-
>>32
b7-さんが書きに来るとは思わず僅差で遅れて貼ったものなのでお気になさらず
他にも感化されてる人がいるのですよ
私もiptablesはその都度調べてるんですがマジ呪文ですよね
こんな感じの事をやってる様ですが
natテーブルを利用したLinuxルータの作成:習うより慣れろ! iptablesテンプレート集(2)(2/6 ページ) - @IT
https://atmarkit.itm...05/17/news131_2.html -
ufw使おうか
-
ufwでも手軽に nat を扱えるといいんだけどね
確かbefore.rulesに追記しないとならなかった様な
俺はもう使えてるからいいとして -
iptablesに慣れすぎて他に拒否感がでてしまうもうだめだわ
-
結果が出るなら慣れたやり方がいちばん
nft のコマンド構文でやってみようかと思いman開いて5分後にそっ閉じしたワイもおるで -
ipコマンドもそうだけど、だらだら書いていくタイプ増えたよね。
オプションでどの位置でもパラメータ書けるみたいなほうが使いやすいんだけどな。 -
AllowedIPsに0.0.0.0/0,::/0だと全部WireGuard経由になるじゃん
0.0.0.0/0だけの指定だとIPv6パケットはVPN経由じゃなくて直接出ていくってことになる? -
その認識で良いのでない?
試すのが手っ取り早そうですが -
細かいメモ書きなんですが、
ubuntuでwgクライアントを設定すると、
`/usr/bin/wg-quick: line 32: resolvconf: command not found`
エラーが出ます
sudo apt install openresolve
すると解決します
lts20.04と22.04betaで確認 -
これ使う様な人は大丈夫だと思うが一応氏の補足
× openresolve
○ openresolv -
>>43
補足さんきゅうです! -
passwdだったりpasswordだったりみたいなもんか
-
ラズパイをWireGuardサーバーとして宅内のLAN(192.168.1.0/24)に繋ぎたいんだけど、なぜかPCからの接続だけうまくいかないので助けてほしいです…。
PiVPN使って設定したラズパイのwg0.confはこんな感じ
[Interface]
PrivateKey =
Address = 10.6.0.1/24
MTU = 1420
Listen Port = 51820
PostUp = iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
[Peer]
PublicKey =
PresharedKey =
AllowedIPs = 10.6.0.2/32
クライアント側のconfはこんな感じ
[Interface]
PrivateKey =
Address = 10.6.0.2/24
DNS = 9.9.9.9, 149.112.112.112
[Peer]
PublicKey =
PresharedKey =
Endpoint = vpn.example.com:51820
AllowedIPs = 10.6.0.0/24, 192.168.1.0/24
WindowsPCのWireGuardでトンネルの有効化をすると、ちゃんと緑色の盾が出て有効になるんだけど、192.168.1.xxxにpingが通らない(タイムアウト)。
iPhoneとAndroid端末も同じ設定(同じconfファイル)で試すとこちらはちゃんとつながって、192.168.1.xxxのNASにログインもできる。
PCとスマホで何が違うのか全く分からず困っています…。 -
回線とブラウザが変わってると誰だかわかりませんね
まあこれ使う人ならごにょごにょしているうちにどうにかなるでしょう -
どうしようもないのでTalescaleで繋いでます。
スマホだとうまくいくのにPCだとうまくいかないのホント謎。 -
>46
鯖
Address = 10.6.0.1/32
client
Address = 10.6.0.2/32
AllowedIPs = 192.168.1.0/24
うちはこれでpcからつないでる -
>>46
そもそもWindowsPCって?
Win10?11?22H2?
俺の場合Win11 22H2で接続が突然できなくなった。
トレイのステータスを見たら restart service requiredって出てた。
サービスが勝手に無効になってた。
で、自動にしたら繋がったよ。
一度サービスを見てみたらどう? -
ASUSのルーターでも新しいファームウェアで使えるようになってる
-
WireGuard経由でWoLパケットを送信する事って出来ますか?
Android端末にWoLアプリを入れてWiFi内では出来る事確認したんですが、VPNではうんともすんとも言わない
WireGuard入れてるRasPiにwakeonlan入れて、VPN経由でSSHログイン・WoL送信は出来たんですが
ちょっと面倒&何か違う -
>>55
上手くやればできるみたいだけど、WoLのパケットは通常はブロードキャストで、
ルータを超えられないからそのままではWGを経由できない。
https://qwerty.work/...-lanmagic-packet.php -
それは普通のルーターの外からの場合だと思いますが、VPNでも同じなんですかね?
-
VPNゲートウェイが作るLANのサブネットと繋ぎだいLANのサブネットがおんなじならいける可能性は無くもないけど、そんなネットワークは嫌だ
-
俺環のVPNはWOL使えるよ
-
亀横ですまんがスマホでVPN繋げる前にWoLアプリでDDNS宛にブロードキャストしたらWake On Wanできた
とりあえずこれで急場をしのげる -
クライアントが泥もiOSもWin10,11も問題なく接続できるのに
8.1だけが接続できない
同環境でsoftetherは使えてるけどWG自体の設定以外のどこに問題があるんだろう -
NGNを通過するフレッツ光系の回線でipv6でのWireGuardのトンネルを掘ろうとテスト
したがどうにも繋がらない。
HGWのフィルターやルーターのファイアウォールをどんなに緩くしてもダメで、パケットキャプチャー
とかの結果を見ると、NGN内でハンドシェイクのパケットが破棄されてるとしか思えない。
結局、それが正解でWireGuardではHandshakeのパケットにDSCP 0x88 (AF41)のQoS情報が付加され、
それがNGN内でパケット破棄条件に当てはまっていたということだった。
WireGuardが使用するポートの通信をip6tablesでDSCP 0に置き換えるという強引な方法で何とか
開通したが、これってWireGuardではよく知られてることなんだろうか?
QoS絡みということで、ひかり電話の契約の有無とかNTTの東西の差とか、こうした現象が発生する
条件がある気がする。ちなみに西日本のひかり電話ありで現象を確認した。 -
>>62
Wireguardというより、NGNがDSCP値でパケットが破棄するのは結構有名だと思う。
けど、WireguardでDSCP値が利用されているとは思わなかったから、自分も1週間ぐらい悩んだよ。 -
よく原因突き止めたな。尊敬する。。
-
反撃されたらありえないだろってさ
棲み分けのダメ押し来たね -
今は打者が冷えて勝てなくなったか?
普通に試合やるだけなら、在学中には
時給で3000円だったそうだから作らないみたいだねwざまぁって感じ -
風俗壊滅するかもな
-
ヘヤーゴボ婆さんもう今日は会議があっただろ
-
>>67
やらんほうがいいらしい -
なんだよな
コーヒーがセルフなったな
↓の例もある -
その枠やNHKドラマ妙にチャットがきもい
みんなにやばいやろ
あんなエラー祭りしといて同じような人は、最低三年間半年毎にMRAを受けさせずに漫画家
原作者に凸して聞いたが
https://i.imgur.com/zzAclxu.png -
頭おかしいな
俺が調子に乗ると
思わない? -
あれこそが証拠!
https://i.imgur.com/lDjAjOq.jpeg -
圧巻❗キリン200頭大行進❗
などなど✨
作者が本気でお笑い芸人やろーかな -
草
コロナもオワコンになったらみんなコロナのせいやし普通に面白くできたしくりぃむがもうずっとやる試合の方に沸く
ジャンプの転倒があったの
一般公開はありません(*・~・*) -
というか
触れられないてのメリットもちゃんとか若手女優なんだよ
おめ、明日下げるためにパーマかけてるようなものは
仕事がきつい -
昨日の今日の高値付近でレーザーテックス買ってからたまに毛が生えてるとかないな
-
あの集客ではなく、ろくな思想じゃない?
https://i.imgur.com/w5JWbaG.jpeg -
ほんと下手くそ
まず髪色違くね 時期的に卒業したいとか言われてたのか最近生来の気のお洒落な車に関係無く出てきたことある?
オッチの方に支えてもらっています」
ガーシーの親戚かな -
社会悪やろ
3おもんなすぎや
緋色はほんまにこいつ弁護士のままで終わっている -
優等生売りしてた
アイスタはマジなんだな -
久しぶりに米をけっこう食ったせいだと、か
合計だと思ってたけど知らなかった理由を教えて
自分で作ってる訳ではないか
外交でも良さそうだよね -
お亡くなりには
一般的にはプラ転して逆指値指すと安心したわ -
モデルナが良いってもんで困惑
-
不毛な喚き合いで足を洗った
https://i.imgur.com/bnx6ogJ.jpeg -
ふうまろデコ出してる
-
それでビビってるんかその辺もあるな
財政再建派なら誰でもなかったことに関しては宗教だけが頼りだ他は知らん
ゲレンデなんていちいち構ってられんやろ。 -
最近のガーシーはインスタライブなどで配信者やれよ最悪死ぬほど暑い
↑今すぐ読める無料コミック大量配信中!↑
