WireGuardサーバ機能

[更新: 2023年1月20日]

VPCルータのWireGuardサーバ機能の設定方法についての説明です。

注意

WireGuardサーバ機能はバージョン2のVPCルータのみでご利用いただけます。

VPCルータのWireGuardサーバ機能の概要

VPCルータのWireGuardサーバ機能は、VPCルータを介して外部ネットワークからプライベートネットワーク側(VPCネットワーク側)やサイト間VPNで接続したネットワークへ安全な経路で接続するための機能です。

WireGuardサーバ仕様

WireGuardサーバ機能の仕様は以下の通りです。対向側でこの仕様に対応したWireGuardの設定をすることにより、使用することができます。

ポート

UDP 51820

共通鍵

なし

インターフェースアドレス

任意のネットワークアドレス

注意

WireGuardサーバに設定したネットワークアドレス外のアドレスをピアに設定することはできません。

WireGuardサーバ設定

設定したいVPCルータの設定画面より、「リモートアクセス」タブ→「WireGuardサーバ」タブを選択します。WireGuardサーバ機能の設定状況が表示されるので、変更する場合は「編集」ボタンをクリックします。

画像ファイル

WireGuardサーバ機能の設定画面が表示されるので、各項目を選択・入力します。

画像ファイル

WireGuardサーバ

WireGuardサーバ機能を「有効」または「無効」から選択
※「有効」選択時に以下の設定項目が表示されます

IPアドレス

WireGuardで利用するIPアドレスをネットワークアドレスで入力

※いずれも入力必須項目となります
※ピアで利用するIPアドレスはここで指定したネットワークアドレス内である必要があります

「反映」ボタンをクリックします。

画像ファイル

設定が完了すると、WireGuardサーバの設定状況画面に反映されます。

注釈

WireGuardサーバ設定の変更を行った場合、「反映」ボタンをクリックしVPCルータ側への設定反映が必要となります(VPCルータが起動状態の場合でも、電源をシャットダウンすることなく「反映」ボタンのクリックで設定が反映されます)。

※スタンダードプランではグローバルインターフェースに割り当てられたIPアドレスに、プレミアムプランではグローバルインターフェースに設定した仮想IPアドレスにWireGuard接続を行ってください

WireGuardピア設定

設定したいVPCルータの設定画面より、「リモートアクセス」タブ→「WireGuardサーバ」タブを選択します。設定されているピアのリストが表示されるので、新たに追加する場合は「追加」ボタンをクリックします。

画像ファイル

ピア追加設定画面が表示されるので、各設定項目に情報を入力し「追加」ボタンをクリックます。

画像ファイル

名前

任意の文字列を入力 (接続には利用されません)

IPアドレス

ピアに割り当てるIPアドレスを入力

公開鍵

ピアの公開鍵 (BASE64エンコードされた文字列) を入力

注意

WireGuardサーバに設定したネットワークアドレス外のアドレスをピアに設定することはできません。

「反映」ボタンをクリックします。

画像ファイル

設定が完了するとリストに追加されます。作成済みのエントリはリスト右側の鉛筆アイコンで編集、削除アイコンで消去が行えます。

画像ファイル

注釈

・公開鍵はWireGuardサーバ機能が有効な状態でVPCルータが起動していた場合のみ表示されます。起動中にWireGuardサーバ機能を有効にした場合は一旦VPCルータの再起動が必要となります。
・ピア設定の追加・変更・削除を行った場合、「反映」ボタンをクリックしVPCルータ側への設定反映が必要となります(VPCルータが起動状態の場合でも、電源をシャットダウンすることなく「反映」ボタンのクリックで設定が反映されます)。

ピアの設定例

wgコマンドにおけるピアの設定

# wg genkey > privatekey
# wg pubkey < privatekey > publickey
# ip link add dev wg0 type wireguard
# ip addr add 10.0.0.2/32 dev wg0
# wg set wg0 listen-port 51820 private-key ./privatekey
# wg set wg0 peer XJruZpCCYKEr0/qmhISH8lRQIW0iy7qeWP85E3YM1EY= persistent-keepalive 25 allowed-ips 10.0.0.0/24 endpoint 203.0.113.123:51820
# ip link set wg0 up
# ip route add 10.0.0.0/24 dev wg0

wg-quickにおけるピアの設定

/etc/wiregurad/wg0.conf を以下のように作成。

[Interface]
PrivateKey = uCZGCqc9PYJ2gSulPt/RNjFGyH2FEy5DdHl8ZomSdUI=
Address = 10.0.0.2
ListenPort = 51820

[Peer]
PublicKey = XJruZpCCYKEr0/qmhISH8lRQIW0iy7qeWP85E3YM1EY=
Endpoint = 203.0.113.123:51820
AllowedIPs = 10.0.0.0/24
PersistentKeepAlive = 25

# service wg-quick@wg0 restart