12.4. RHEL Web コンソールを使用した WireGuard サーバーの設定

ブラウザーベースの RHEL Web コンソールを使用して WireGuard サーバーを設定できます。この方法を使用して、NetworkManager に WireGuard 接続を管理させます。

前提条件

  • RHEL Web コンソールにログインしています。
  • 以下の情報を把握している。

    • サーバーとクライアントの両方の静的トンネル IP アドレスとサブネットマスク
    • クライアントの公開鍵

手順

  1. 画面左側のナビゲーションで Networking タブを選択します。
  2. Interfaces セクションで Add VPN をクリックします。
  3. wireguard-tools および systemd-resolved パッケージがまだインストールされていない場合は、Web コンソールにその旨の通知が表示されます。これらのパッケージをインストールするには、Install をクリックします。
  4. 作成する WireGuard デバイスの名前を入力します。
  5. このホストの鍵ペアを設定します。

    • Web コンソールによって作成された鍵を使用する場合は、次の手順を実行します。

      1. Private key エリアで、事前に選択済みの Generated オプションをそのままにします。
      2. Public key の値をメモします。クライアントを設定するときにこの情報が必要になります。
    • 既存の秘密鍵を使用する場合は、次の手順を実行します。

      1. Private key エリアで Paste existing key を選択します。
      2. 秘密鍵をテキストフィールドに貼り付けます。Web コンソールにより対応する公開鍵が自動的に計算されます。
  6. 着信 WireGuard 接続のリッスンポート番号 (51820 など) を設定します。

    着信 WireGuard 接続を受信するホストでは、常に固定ポート番号を設定してください。ポートを設定しないと、WireGuard はインターフェイスをアクティブにするたびにランダムな空きポートを使用します。

  7. サーバーのトンネル IPv4 アドレスおよびサブネットマスクを設定します。

    IPv6 アドレスも設定するには、接続を作成した後に編集する必要があります。

  8. このサーバーとの通信を許可する各クライアントのピア設定を追加します。

    1. Add peer をクリックします。
    2. クライアントの公開鍵を入力します。
    3. Endpoint フィールドは空のままにします。
    4. Allowed IPs フィールドに、このサーバーへのデータ送信を許可するクライアントのトンネル IP アドレスを設定します。
    WireGuard サーバー設定
  9. Add をクリックして WireGuard 接続を作成します。
  10. トンネル IPv6 アドレスも設定する場合は、次の手順を実行します。

    1. Interfaces セクションで WireGuard 接続の名前をクリックします。
    2. IPv6 の横にある edit をクリックします。
    3. Addresses フィールドを Manual に設定し、サーバーのトンネル IPv6 アドレスと接頭辞を入力します。
    4. Save をクリックします。

検証

  1. wg0 デバイスのインターフェイス設定を表示します。

    # wg show wg0
    interface: wg0
      public key: UtjqCJ57DeAscYKRfp7cFGiQqdONRn69u249Fa4O6BE=
      private key: (hidden)
      listening port: 51820
    
    peer: bnwfQcC8/g2i4vvEqcRUM2e6Hi3Nskk6G9t4r26nFVM=
      allowed ips: 192.0.2.2/32, 2001:db8:1::2/128

    出力で秘密鍵を表示するには、WG_HIDE_KEYS=never wg show wg0 コマンドを使用します。

  2. wg0 デバイスの IP 設定を表示します。

    # ip address show wg0
    20: wg0: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000
        link/none
        inet 192.0.2.1/24 brd 192.0.2.255 scope global noprefixroute wg0
           valid_lft forever preferred_lft forever
        inet6 2001:db8:1::1/32 scope global noprefixroute
           valid_lft forever preferred_lft forever
        inet6 fe80::3ef:8863:1ce2:844/64 scope link noprefixroute
           valid_lft forever preferred_lft forever