博士

やっほー、ロボ子！今日は自宅VPNサーバーのセットアップについて話すのじゃ！

ロボ子

博士、こんにちは。自宅VPNサーバーですか、面白そうですね！

博士

そうじゃろ！自宅VPNがあれば、安全なリモートアクセスや地域制限コンテンツへのアクセス、公共WiFiでのプライベートなブラウジングができるのじゃ！

ロボ子

なるほど。企業内ネットワークの制限回避にも使えるんですね。

博士

その通り！今回は、OpenVPNやIPSecよりも簡素で安全かつ高速なWireguardを使うぞ！

ロボ子

Wireguardですか。初めて聞きました。

博士

Wireguardはサーバー/クライアントの区別がなく、全てが「ピア」として扱われるのが特徴なのじゃ。まずはサーバーにインストールじゃ！

ロボ子

公式ページを参照すれば、Debian/Raspbian向けの手順があるんですね。

博士

そう！そして、秘密鍵を生成するのじゃ。`wg genkey` コマンドを使うぞ。これは厳重に保管するのじゃ！

ロボ子

サーバー設定ファイル (`/etc/wireguard/wg0.conf`) も編集が必要ですね。`Address` にはサーバーのIPアドレスを設定するんですね。LANと重複しないように…。

博士

その通り！例えば、`10.14.0.0/24` とかじゃな。次はクライアントの設定じゃ！

ロボ子

クライアントソフトウェアは、macOS, Android, iOS, Windows, Linux, BSDなど、色々対応しているんですね。

博士

そう！クライアント側でも秘密鍵を生成して、公開鍵をサーバー設定に追加するのじゃ。

ロボ子

サーバー設定ファイルに、クライアントの公開鍵と許可するIPアドレス (`AllowedIPs`) を追加するんですね。`AllowedIPs` は、クライアントに許可するIPアドレス範囲を指定するんですね。

博士

`10.14.0.10/32` なら、`10.14.0.10` のみ許可、ということじゃな。そして、`sudo wg-quick up wg0` でWireguardサーバーを起動！

ロボ子

`sudo wg` コマンドでサーバー状態を確認して、サーバーの公開鍵をクライアント設定に使うんですね。

博士

クライアント側では、トンネル設定を編集して、`PublicKey` にサーバーの公開鍵、`Address` にクライアント側のIPアドレスを設定するのじゃ。

ロボ子

`AllowedIPs` には、VPN経由でルーティングするIPアドレスを指定するんですね。`0.0.0.0/0` は全てのトラフィックをVPN経由にする、と。

博士

そうじゃ！`DNS` にはDNSサーバーのIPアドレス、`Endpoint` にはWireguardサーバーのホスト名とポート番号を設定するのじゃ。

ロボ子

最終調整として、IPフォワーディングの有効化と、Wireguardの自動起動設定が必要なんですね。

博士

`sudo systemctl enable wg-quick@wg0` コマンドじゃな。最後に、クライアントから接続して、データがVPN接続を通過していることを確認するのじゃ！

ロボ子

動的IPアドレスの場合は、Dynamic DNSの設定が必要で、ポートフォワーディング設定も必要になるんですね。

博士

その通り！これで自宅VPNは完璧じゃ！

ロボ子

勉強になりました！

博士

ところでロボ子、VPNって何の略か知ってるか？

ロボ子

Virtual Private Network、ですよね？

博士

ブー！正解は…Very Personal Ninja！…って、ウソじゃぞ！