!extend:checked:vvvvv:1000:512
↑これを2行になるようにコピペしてからスレ立てしてください
WireGuardは最先端の暗号技術を利用した、極めてシンプルかつ高速な最新のVPNです。
WireGuard は2020年から Linux カーネルに組み込まれています。
■ WireGuard公式サイト
https://www.wireguard.com/
VIPQ2_EXTDAT: checked:vvvvv:1000:512:: EXT was configured
探検
【VPN】 WireGuard Part.1
!extend:checked:vvvvv:1000:512
↑これを2行になるようにコピペしてからスレ立てしてください
WireGuardは最先端の暗号技術を利用した、極めてシンプルかつ高速な最新のVPNです。
WireGuard は2020年から Linux カーネルに組み込まれています。
■ WireGuard公式サイト
https://www.wireguard.com/
VIPQ2_EXTDAT: checked:vvvvv:1000:512:: EXT was configured
OpenVPNとの違いがあまりわからんけど
サーバークライアント型じゃないのでOpenVPNみたいに通信速度がサーバーの処理能力によって制限されることがない。
もちろん一つのPeerをハブとしてハブアンドスポーク型のネットワークを作ればOpenVPNと同様にハブの処理能力がボトルネックになるんだろうけど。
多数のPeerでP2P型のネットワークを作ろうとするとコネクションの数が膨大になって管理が大変になるというのはWireGuardの弱点かもしれない。
そこでTalescaleのようなサービスが出てきたわけだけど、似たような仕組みがいずれWireGuard本体に取り込まれそうな気がする。
今や手放せないわ
めっさ便利で速い
これが一番簡単じゃないかな?
awsでlightsail借りるか、自宅鯖のポート開いたらそれだけで準備完了よ。
クライアント側は各OS のアプリストアで配信されてるから
それを入れる
iPhoneならQRスキャンしたら一瞬で終わるね
必要な設定全て込みでサーバが立ち上がるから。
これだけで世界のどこからでも自宅のネットワークや、
接続されたクライアント同士で通信できる。
自分はオフィスのLinux箱6台とMac3台、
自宅のMac3台全部これで繋げてテレワークしてます。
便利
普段はOpenVPNを自宅に仕込んで色々と活用してるんだが俺もこれ使ってみるか
カンタン過ぎて鼻血出ると思うw
そしてめちゃくちゃ速いのよねぇ
調べれば調べるほどよく出来てると感心する
みんながこういうの使いなれてるわけじゃないからね。
ワイヤガードはテキスト数行コピペしたらあっという間に設定終わるから
誰でも使えるのホント素晴らしいよ。
自分はデータ分析チームなんだけどjupyterとかRStudioみたいなWEBアプリが主な用途です
peerの設定変えるとクライアントが全部作り直しになるので
初めからピア数100とかにして立ち上げちゃうのがおススメです
有益に違いないスレが立ったのに盛り上がって無かったので
既存ユーザー様に熱く語って頂きたくて少々いやらしいテクに手を出した事をお許し下さいませ
どれ、早速明日にでもこさえてみるか
dockerはあんまり得意じゃないのでオンプレホストで作ってみるとするか
と書いてたらdockerイメージ激推しに気付いたので
余裕があったらこれを期に特訓してみよう
Docker使わなくても鍵作ったらあとは設定ファイルしかいじるところないから環境が汚れるってこともないとは思うけど。
簡単さで鼻血出したいなら>>4にあるTalescaleも試してみるといい。
WireGuardの設定をさらに簡単にするサービスで、イメージとしては公開鍵交換サーバー+DDNSな感じかな?
https://tailscale.com/blog/how-tailscale-works/を読むと仕組みが分かる。
サーバ立てられる人なら
dockerfile読むようにするだけで
一瞬で慣れると思うよ、docker
https://github.com/linuxserver/docker-wireguard/blob/master/Dockerfile
慣れるとコンテナ無しの時代が信じられんくらい便利だから
試してみてね。
おー、面白そうな実装だねえ
wgつかってメッシュネットワーク作るんだすごい
今の自分にはオーバーキルな感じもするけど
じっくり読んでみたい
OSSじゃ無いのが少し残念
クライアントのコードはGithubにあるhttps://github.com/tailscale/tailscale
OSSでTalescaleのサーバー側の実装をしようとしてるHeadscaleっていうのもあるにはあるhttps://github.com/juanfont/headscale
先ず基礎的な事から身体で覚えたいので wireguard をホストマシンにインスコして戦っております
コンテナじゃないのはうちのメイン鯖がDocker使えないと言う理由もあるので
アプリの設定見てみたらOpenVPNみたく事前共有鍵も使えるんですね
自分以外の接続は徹底排除したいのでこれは設定しなくては
この辺に書いてあるhttps://www.wireguard.com/known-limitations/
「量子コンピュータが実用化された場合を考慮して、既存の公開鍵暗号に対称鍵暗号のレイヤーを追加するために事前共有鍵を生成することもできます:」https://wiki.archlinux.jp/index.php/WireGuard
ただ、よりセキュアなオプションがあるなら設定した方が精神衛生的にいいというのはわかる。
OpenVPNの tls-auth に準ずる機能があれば是非設定しておきたいと思いまして
https://www.openvpn.jp/document/how-to/#Security
(OpenVPNのセキュリティを強化する の項目)
全ての通信をWireGuard経由にする方法も模索してましたが
そちらは成功しました
熟練者に書いて頂くと説得力がありますな
認証に関しては某ブログに「認証情報が不正ならそもそも応答しない」みたいな事が掲載されておりました
あまりピリピリする必要も無さそうですね
何がいいかって、設定の簡単さもさることながらOpenVPNに付きものの
証明書の期限と言う煩わしさからの解放感
すばらしいの一言に尽きる
よく出来てやがる
入門者は繋がっただけでも感激しているのでズルの再検証は明日にでもやろうかと
1. wireguardメタパッケージインスコ kmod & 管理ツール入る
2. 秘密鍵/公開鍵を鯖PC用・ケータイ用に生成 簡素なコマンド4回
3. 生成した鍵を反映した設定ファイルを書く ものの数行
4. IPフォワーディング・NAT設定(拙はOpenVPNでの設定流用の為ほぼ作業せず)
5. HGWの穴空け
6. 鯖PCでwireguardデーモン起動し、設定をインポートしたケータイアプリでトグルスイッチON
7. ( ゚Д゚)ウマー
初構築での作業時間はだいたい正味1時間強 簡単ですた
https://i.imgur.com/ZoZB50a.png
https://i.imgur.com/gxgW0jU.jpg
なお残念ながら他のマシンと同じ鍵で繋ぎに行くのは不可能ですね
この辺はOpenVPNと同じです ちっ
b7-さんが書きに来るとは思わず僅差で遅れて貼ったものなのでお気になさらず
他にも感化されてる人がいるのですよ
私もiptablesはその都度調べてるんですがマジ呪文ですよね
こんな感じの事をやってる様ですが
natテーブルを利用したLinuxルータの作成:習うより慣れろ! iptablesテンプレート集(2)(2/6 ページ) - @IT
https://atmarkit.itmedia.co.jp/ait/spv/0505/17/news131_2.html
確かbefore.rulesに追記しないとならなかった様な
俺はもう使えてるからいいとして
nft のコマンド構文でやってみようかと思いman開いて5分後にそっ閉じしたワイもおるで
オプションでどの位置でもパラメータ書けるみたいなほうが使いやすいんだけどな。
同じく。
サポート切れないで欲しいな。
0.0.0.0/0だけの指定だとIPv6パケットはVPN経由じゃなくて直接出ていくってことになる?
試すのが手っ取り早そうですが
ubuntuでwgクライアントを設定すると、
`/usr/bin/wg-quick: line 32: resolvconf: command not found`
エラーが出ます
sudo apt install openresolve
すると解決します
lts20.04と22.04betaで確認
× openresolve
○ openresolv
補足さんきゅうです!
PiVPN使って設定したラズパイのwg0.confはこんな感じ
[Interface]
PrivateKey =
Address = 10.6.0.1/24
MTU = 1420
Listen Port = 51820
PostUp = iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
[Peer]
PublicKey =
PresharedKey =
AllowedIPs = 10.6.0.2/32
クライアント側のconfはこんな感じ
[Interface]
PrivateKey =
Address = 10.6.0.2/24
DNS = 9.9.9.9, 149.112.112.112
[Peer]
PublicKey =
PresharedKey =
Endpoint = vpn.example.com:51820
AllowedIPs = 10.6.0.0/24, 192.168.1.0/24
WindowsPCのWireGuardでトンネルの有効化をすると、ちゃんと緑色の盾が出て有効になるんだけど、192.168.1.xxxにpingが通らない(タイムアウト)。
iPhoneとAndroid端末も同じ設定(同じconfファイル)で試すとこちらはちゃんとつながって、192.168.1.xxxのNASにログインもできる。
PCとスマホで何が違うのか全く分からず困っています…。
鯖
AllowedIPs = 10.6.0.2/32, 192.168.1.0/24
でどうでしょ
うちは 192.168/16 ネットワーク全許可ですが
あと鯖の [Peer] セクションはクライアントの分全てを書きます
ご存知だとは思いますが確認と言う事で
ありがとうございます。
試してみましたが状況は変わらずでした。
まあこれ使う人ならごにょごにょしているうちにどうにかなるでしょう
スマホだとうまくいくのにPCだとうまくいかないのホント謎。
鯖
Address = 10.6.0.1/32
client
Address = 10.6.0.2/32
AllowedIPs = 192.168.1.0/24
うちはこれでpcからつないでる
そもそもWindowsPCって?
Win10?11?22H2?
俺の場合Win11 22H2で接続が突然できなくなった。
トレイのステータスを見たら restart service requiredって出てた。
サービスが勝手に無効になってた。
で、自動にしたら繋がったよ。
一度サービスを見てみたらどう?
Android端末にWoLアプリを入れてWiFi内では出来る事確認したんですが、VPNではうんともすんとも言わない
WireGuard入れてるRasPiにwakeonlan入れて、VPN経由でSSHログイン・WoL送信は出来たんですが
ちょっと面倒&何か違う
上手くやればできるみたいだけど、WoLのパケットは通常はブロードキャストで、
ルータを超えられないからそのままではWGを経由できない。
ttps://qwerty.work/blog/2008/12/wolwake-on-lanmagic-packet.php
とりあえずこれで急場をしのげる
8.1だけが接続できない
同環境でsoftetherは使えてるけどWG自体の設定以外のどこに問題があるんだろう
したがどうにも繋がらない。
HGWのフィルターやルーターのファイアウォールをどんなに緩くしてもダメで、パケットキャプチャー
とかの結果を見ると、NGN内でハンドシェイクのパケットが破棄されてるとしか思えない。
結局、それが正解でWireGuardではHandshakeのパケットにDSCP 0x88 (AF41)のQoS情報が付加され、
それがNGN内でパケット破棄条件に当てはまっていたということだった。
WireGuardが使用するポートの通信をip6tablesでDSCP 0に置き換えるという強引な方法で何とか
開通したが、これってWireGuardではよく知られてることなんだろうか?
QoS絡みということで、ひかり電話の契約の有無とかNTTの東西の差とか、こうした現象が発生する
条件がある気がする。ちなみに西日本のひかり電話ありで現象を確認した。
Wireguardというより、NGNがDSCP値でパケットが破棄するのは結構有名だと思う。
けど、WireguardでDSCP値が利用されているとは思わなかったから、自分も1週間ぐらい悩んだよ。
レスを投稿する
ニュース
- 【社会】頂き女子りりちゃんに3800万円渡した50代男性「憎しみしか無い。金を全額返してほしい」 実刑判決にコメント★3 [シャチ★]
- 【8050→9060】92歳父の年金月23万円で食いつなぎ、薄暗い自室にひきこもる61歳兄 [おっさん友の会★]
- 他に空いているのに横に座られ…『女性の隣』がトレンド入り…元プラスマイナス岩橋も反論した「あえて女性の横に座る男性」の賛否 [muffin★]
- 2月の実質賃金、1.8%減 速報から下方修正、厚労省 ★2 [蚤の市★]
- 【緊縛】代々木公園の「LGBTQ+」イベント 「過度な露出」に運営が声明「あえて社会規範に挑戦」「ご理解を」 [梵天丸★]
- 減少する街の書店どう救う? 経産省専門チーム発足 仏に反アマゾン法 23日は本を贈り合う日 [蚤の市★]
- ぬわ粘の🏡
- アイクぬわらのお🏡
- 【動画】集団下校中のJSの群れに突風が吹き全てまくられる
- 【悲報】女性が強いられている家庭内"無償"労働、どう甘く見積もっても月額総額90万円相当を超えるのことが明らかに… [339712612]
- 公園で男性が燃え上がる「タバコが消えたと思ってポケットに入れたら、消えていなかった」 [545512288]
- 若者、ガチで風俗に行かない…なぜ? [994924181]