Ubuntu 22.04へのWireGuardのインストールと設定：包括的かつ実践的なガイド

Ubuntu 22.04 で WireGuard を選択する理由は何ですか?

VPNをお探しなら モダンな、 スタイル、 安全 そして 高効率 クラウドサーバー、トレーディングやゲーム用のVPSに接続したり、GPUクラスターにアクセスしたりするには、 ワイヤーガード それは最良の選択肢の一つです。.

このガイドでは、WireGuardのインストール、設定、最適化、セキュリティのヒントについて、ステップバイステップで説明します。 ウブントゥ 22.04 実用的な例、Linux コマンド、サーバー/クライアント構成について説明します。.

前提条件

始める前に次のものが必要です:

• サーバー ウブントゥ 22.04 root または sudo ユーザー アクセスを使用します。.
• ファイアウォールでUDPポートを開く（デフォルト） 51820).
• サーバー マシンへの SSH アクセス。.
• 提案: 会社のVPSまたはクラウドサーバーのいずれかを使用して、 世界85か所以上の拠点 最低の ping と最適な BGP ルートを実現します。.

Ubuntu 22.04にWireGuardをインストールする

Ubuntu 22.04では、Wireguardパッケージは通常、公式リポジトリで入手できます。最新バージョンが必要な場合はPPAやバックポートを利用できますが、公式ディストリビューションパッケージで十分かつ安定しています。.

apt update && apt upgrade -y
apt install -y wireguard qrencode iptables-persistent

キーとファイル構造の生成

以下の例は、サーバー鍵の生成とサンプルクライアントを示しています。秘密鍵を保護するため、ファイルは適切な権限で保存する必要があります。.

mkdir -p /etc/wireguard
cd /etc/wireguard
umask 077
wg genkey | tee server_private.key | wg pubkey > server_public.key
wg genkey | tee client_private.key | wg pubkey > client_public.key
chmod 600 /etc/wireguard/*key

サーバー設定 - 実例 wg0.conf

パス内のサンプルサーバー構成ファイル /etc/wireguard/wg0.conf 次のように表示されます。括弧内の値をキーとゲートウェイの実際の値に置き換えてください。クラウド環境では、ネットワークインターフェース名が eth0 いいえ（例） ens3 または ens5).

[Interface]
Address = 10.10.0.1/24
ListenPort = 51820
PrivateKey = <محتوای سرور_private.key>
SaveConfig = true

# NAT هنگام بالا آمدن اینترفیس
PostUp = ip -4 rule add from 10.10.0.0/24 table 51820 || true
PostUp = ip -4 route add default via <SERIAL_IF_GATEWAY> dev eth0 table 51820 || true
PostUp = iptables -t nat -A POSTROUTING -s 10.10.0.0/24 -o eth0 -j MASQUERADE
PostDown = iptables -t nat -D POSTROUTING -s 10.10.0.0/24 -o eth0 -j MASQUERADE

クライアント構成 (Linux、Windows、モバイル)

フルトンネルを作成する Linux またはモバイル クライアントのサンプル構成:

[Interface]
PrivateKey = <محتوای client_private.key>
Address = 10.10.0.2/32
DNS = 1.1.1.1

[Peer]
PublicKey = <محتوای server_public.key>
Endpoint = your.server.ip.or.hostname:51820
AllowedIPs = 0.0.0.0/0, ::/0
PersistentKeepalive = 25
MTU = 1420

モバイル用のQRコードを生成するには:

qrencode -t ansiutf8 < client.conf

IP転送とNATの有効化

トラフィックがサーバーを通過するには、IP 転送を有効にし、適切な NAT ルールを設定する必要があります。.

sysctl -w net.ipv4.ip_forward=1
# برای دائمی کردن:
echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/99-wg-forward.conf

ファイアウォール (UFW/nftables/iptables)

UFWとnftablesの設定例を以下に示します。UFWを使用している場合は、ip_forwardを有効にし、NATルールを追加する必要があります。.

ufw allow 51820/udp
ufw allow OpenSSH
echo "net/ipv4/ip_forward=1" > /etc/ufw/sysctl.conf
# اضافه کردن قوانین NAT ممکن است در /etc/ufw/before.rules یا با iptables-persistent انجام شود

nftables の例 (iptables の代替):

nft add table ip wg
nft 'add chain ip wg postrouting { type nat hook postroute priority 100; }'
nft add rule ip wg postrouting oifname "eth0" ip saddr 10.10.0.0/24 masquerade

WireGuardサービスの設定

設定後、サービスを有効にして実行し、そのステータスを確認できます。.

systemctl enable wg-quick@wg0
systemctl start wg-quick@wg0
wg show
ip a show wg0

MTU、キープアライブ、AllowedIPsの最適化

最大伝送速度: デフォルト値 1420 多くの場合適切ですが、オーバーヘッドが大きい場合には、 1380 なれ。.

永続キープアライブ: 額 25 クライアントが NAT タイムアウトを回避するのに適しています。.

許可されたIP: WireGuard では、ルーターとフィルターの両方の役割を果たすため、慎重に設定してください。.

トンネルの種類と許可IP

よくある 2 つのパターン:

• フルトンネル: 許可IP = 0.0.0.0/0, ::/0
• スプリットトンネル: AllowedIPs には、VPN を通過する必要があるネットワークのみが含まれます (例: 10.10.0.0/24 または 192.168.1.0/24)。.

さまざまなユースケースに関する専門家の推奨事項

1) 取引用VPS（外国為替/暗号通貨）

取引を行うには、取引所サーバーに近い場所を選ぶことが重要です。85以上の拠点の中から、低レイテンシのBGPルートを備えた最も近いデータセンターを選択し、レイテンシを削減しましょう。.

構成： 制限的なファイアウォールと標準 MTU、固定キープアライブを備えた完全なトンネル。.

安全： VPN の内部 IP への SSH アクセスを制限し、Anti-DDoS 機能を備えた専用サーバーまたは VPS を使用します。.

2) ゲーム用VPS

ゲームの場合は、ゲームサーバーまたはゲーマーのISPに近い場所を選択してください。スプリットトンネリングを使用して、ゲームトラフィックのみをVPN経由で送信すると、ping値が向上します。.

pingを減らす: UDP、適切な MTU、10Gbps ネットワーク インターフェイスを備えたサーバーの使用をお勧めします。.

3) GPUクラウド、AI、レンダリング

WireGuardは、GPUサーバーやレンダリングクラスターへの安全かつ高速なアクセスに最適です。大規模なデータ転送には、AIデータセンターやネットワークバックボーンに直接接続できる場所を選択することが重要です。.

構成： AllowedIPs はクラスター サブネットに制限され、ネットワーク レベルで QoS パラメータを使用します。.

4) ウェブホスティングとデータベース

WireGuardは、Webサーバーとデータベース間の安全な通信のための隔離されたプライベートネットワークとして使用できます。管理トラフィックは、VPNとパブリックWebを介してパブリックネットワーク上に保持されます。.

セキュリティ、鍵の循環と監視

主なメンテナンスと安全に関するヒント:

• キーのメンテナンス: 秘密鍵は決して公開しないでください。機密性の高いサーバーでは暗号化されたファイルシステムを使用することをお勧めします。.
• キーローテーション: キーの更新スケジュールを設定します。中断を避けるため、古いキーを削除する前に新しいピアを追加します。.
• ログ記録と監視: 次のようなツールから wg監視には iptables、fail2ban、Prometheus/Grafana ログを使用します。.
• アクセスを制限する: 各ピアを特定の IP/サービスに制限し、理由なくグローバル AllowedIP を避けます。.

マルチピア構成と実稼働環境での使用

複数のクライアントを追加するには、セクションをクリックするだけです [ピア] 各クライアントにブロックサーバーを追加します。WireGuardは多数のピアに適していますが、数千のクライアントに拡張する場合は、オーケストレーションまたはロードバランサーを使用する必要があります。.

[Peer]
PublicKey = <client1_pubkey>
AllowedIPs = 10.10.0.2/32

[Peer]
PublicKey = <client2_pubkey>
AllowedIPs = 10.10.0.3/32

クイックトラブルシューティング

トラブルシューティングのヒントと手順:

• WGショー: ステータス、RX/TX 統計、および最後のハンドシェイクを確認します。.
• journalctl -u wg-quick@wg0 -e: サービス ログを表示します。.
• tcpdump -i wg0: トンネル内のパッケージをチェックしています。.
• ハンドシェイクが機能しない場合は、ファイアウォールと NAT プロバイダーで UDP ポートが開いていることを確認してください (一部のホーム NAT ネットワークではポート転送が必要です)。.

実践的かつ実験的なヒント

持続可能なスタートアップのための実践的な経験：

• キャリア NAT を使用するネットワークでは、通常とは異なるポートやリレー/ブリッジの使用が必要になる場合があります。.
• モバイル クライアントや動的 IP を持つクライアントの場合、PersistentKeepalive を使用すると便利です。.
• WireGuard ゲートウェイを CDN に直接接続できる場所に配置すると、負荷とレイテンシを最適化できます。.

企業サービスへの接続（85以上の拠点とサービス）

WireGuardをグローバルなインフラに導入したい場合は、 85以上の拠点 ping値を削減し、ルートを改善するために、会社のデータセンターに最も近い場所を選択できます。提供されるサービスには以下が含まれます。

• 低pingとアンチDDoSを備えた取引用VPS
• 低遅延ネットワークインターフェースを備えたゲーミングVPS
• WireGuard 経由で安全なアクセスを備えた AI およびレンダリング用のグラフィック サーバー (GPU クラウド)
• ウェブトラフィック用の BGP/Direct Connect および CDN 接続を備えた専用サーバーとクラウド サーバー
• セキュリティ強化のため、WireGuard 内部ネットワーク上で GitLab とデータベースをホスティング

結論

WireGuardは、Ubuntu 22.04に簡単にインストール・設定できる、高速でシンプル、そして安全なVPNです。上記のヒントに従うことで、取引、ゲーム、AI、社内ネットワーク向けに、安全で低遅延、そして信頼性の高いトンネルを提供できます。.

常に安全のために 秘密鍵 ネットワークを保護し、適切なファイアウォールを設定し、 許可されたIP 制限を設けてください。.

プランとサポートを見る

グローバル対応のインフラストラクチャ上で起動するには、当社のVPS、専用サーバー、GPUクラウドプランからお選びいただけます。当社の技術チームは、必要に応じて、専門的な設定、最適なロケーションの選択、WireGuardネットワークの設定など、サポートを提供いたします。.

よくある質問