WireGuard VPN サーバーとクライアントの設定を QVPN Service 3 で行う方法

このチュートリアルでは、QVPN Service 3を使用してQNAPデバイスでWireGuardを設定する方法を説明します。

WireGuardは、オープンソースのVPNプロトコルで、ネットワーク通信にUser Datagram Protocol (UDP) を使用します。このプロトコルは、セキュアなVPNトンネルを導入するに際しいくつかの暗号化ツールを使用します。

［QVPN Service］を開きます。
［VPNサーバー］ > ［WireGuard］に進みます。
［WireGuard VPNサーバの有効化］をクリックします。

WireGuard設定を行います。

設定	ユーザーの操作
サーバー名	VPNサーバーの名前を指定します。注意: 要件：有効な文字：A–Z、a–z、0–9
プライベートキー	［キーペアの生成］をクリックすると、32バイトの一意のプライベートキーが自動的に入力されます。
IP アドレス	VPNサーバー用の固定IPサブネットを入力します。重要: デフォルトでは、このサーバーはIPアドレス10.8.0.0/24からの使用を前提とします。この範囲を使用する別の接続が設定されている場合は、IPコンフリクトエラーが発生します。このサーバーを追加する前に、VPNクライアントがその範囲で使われるように設定していないことを確認してください。
リッスンポート	1～65535間のUDPポート番号を指定します。注意: デフォルトのWireGuardポート番号は51820です。
ネットワークインターフェイス（ネクストホップ）	VPNサーバーに接続している場合に使用できるネットワークインタフェースを指定します。利用可能なオプション：すべて (自動検出) なし手動で割り当て
DNSサーバー	WireGuardサーバー用のDNSサーバーを指定します。注意:DNSクイックウィザードがこの設定を案内します。より詳細は、DNSクイックウィザード設定を行うをご覧ください。

［ピアの追加］をクリックします。

ピアの追加ウィンドウが開きます。

ピア設定を行います。

設定	ユーザーの操作
ピア名	ピアの名前を指定します。注意: 要件：有効な文字：A–Z、a–z、0–9 有効な特殊文字：ハイフン "-"
パブリックキー	VPNクライアントデバイスでWireGuardアプリケーションを使って生成されるパブリックキーを入力します。
詳細設定
事前共有キー	VPNクライアントが事前共有キー機能をサポートする場合に限り、オプションの事前共有キーを指定できます。重要: セキュリティのためのベストプラクティスとして、QNAPでは強力な事前共有キーの指定を推奨します。 VPNトンネルに接続するにあたり、事前共有キーがVPNサーバーとクライアント設定ページの両方で指定されていることを確認してください。
エンドポイント	オプションのエンドポイントIPアドレスを、`IPアドレス:リッスンポート`の形式で指定します。例：`192.168.10.1:51820`
パーシステントキープアライブ	ピアがファイアウォールの背後にある場合には、キープアライブパケットの送信間隔を秒単位で指定します。

［適用］をクリックします。

QVPN Serviceがピアを追加します。
［適用］をクリックします。

QVPN ServiceがWireGuard VPNサーバー設定を適用します。

ドメインネームシステム (DNS) は、ウェブサイトの名前をIPアドレスに変換するサービスです。DNSによりユーザーは、ウェブサイトおよびサービスへのアクセスを複雑で長いIPアドレスではなく、覚えやすいURL (たとえばwww.qnap.com) で行えます。DNSクイックウィザードは、ユーザーがそのニーズにもっとも適したDNSサービスを選べるよう案内します。大半の場合、このウィザードのデフォルトオプションでうまくいきますが、慣れたユーザーは追加のDNSサービスを手動で追加することもできます。

注意:このウィザードは、QVPN Serviceで任意のVPNサーバを有効にした後にアクセスできるようになります。

［QVPN Service］を開きます。
VPNサーバーを選択します。
VPNサーバーを有効にします。
DNSクイックウィザードをクリックします。

DNS設定ウィンドウが開きます。
［次へ］をクリックします。

DNSオプションを選択してください。

オプション	ユーザーの操作
パブリックDNS	パブリックソースの一覧からDNSを選択します。
NASデフォルト	デフォルトDNSサーバーを使用します。ヒント：このオプションは、VPN接続のセキュリティを高めます。注意: このオプションは、WireGuard VPN設定には適用されません。
手動で割り当て	DNSサービスのIPアドレスを手動で入力します。

［適用］をクリックします。

QVPN ServiceがDNS設定を、VPNサーバーまたはクライアントに適用します。

別のデバイス上で設定されたWireGuardサーバーに接続する場合にのみ、QVPN Serviceでお客様のデバイスをWireGuard VPNクライアントとして設定できます。

［QVPN Service］を開きます。
［VPNクライアント］>［VPN接続プロファイル］に進みます。
［追加］をクリックします。
WireGuardを選択します。

VPN接続 (WireGuard) の作成ウィンドウが開きます。

VPN接続設定を接続します。

設定	ユーザーの操作
サーバー名	VPNサーバーの名前を指定します。注意: 要件：有効な文字：A–Z、a–z、0–9
プライベートキー	［キーペアの生成］をクリックすると、32バイトの一意のプライベートキーとパブリックキーが自動的に入力されます。
パブリックキー	パブリックキーをクリップボードにコピーします。重要: QVPN ServiceのWireGuardピア設定ページに、コピーされたパブリックキーが指定されていることを確認してください。
IPアドレス	WireGuard VPNサーバーページに指定されたIPサブネットを入力します。
リッスンポート	1～65535間のオプションのUDPポート番号を指定します。
DNSサーバー	WireGuard VPNサーバーがVPNトンネル経由でアクセスできる、DNSサーバー用のIPアドレスを指定します。注意:DNSクイックウィザードがこの設定を案内します。より詳細は、DNSクイックウィザード設定を行うをご覧ください。

ピア設定を行います。

設定	ユーザーの操作
パブリックキー	WireGuard VPNサーバーページからパブリックキーをコピーアンドペーストします。注意: サーバーおよびクライアント両方で認証するには、QVPN ServiceのWireGuard VPNサーバーページ内で生成されたbase64エンコードされたパブリックキーが必要です。
エンドポイント	`IPアドレス:リッスンポート`の形式を用いてWireGuardサーバーのIPアドレスを指定します。例：`192.168.10.1:51820`
詳細設定
事前共有キー	この鍵は、VPNサーバーデバイスに事前共有キーが設定されている場合のみ指定してください。重要: VPNトンネルに接続するにあたり、事前共有キーがVPNサーバーとクライアント設定ページの両方で指定されていることを確認してください。
許可されている IP	そのピアにルーティングされるIPアドレスのリストを指定します。注意: WireGuard接続の内部IPアドレスを含むIPサブネットを少なくとも１つ入力してください。任意のIPサブネットからのパケットを許可するには、`0.0.0.0/0`を入力します。
パーシステントキープアライブ	ピアがファイアウォールの背後にある場合には、キープアライブパケットの送信間隔を秒単位で指定します。

［Create (作成)］をクリックします。

注意:
デフォルトでは、QVPN QBeltサーバーは、前提として10.2.0.0/24からのIPアドレスを使用します。この範囲を使用する別の接続が設定されている場合は、IPコンフリクトエラーが発生します。この接続を追加する前に、IPのコンフリクトが起きていないことを確認してください。

QVPN Serviceが、WireGuard VPNクライアント接続プロファイルを作成します。

WireGuardウェブサイトから、WireGuardをダウンロードし、インストールします。

WireGuardを開きます。
［空のトンネルの追加］をクリックします。

新しいトンネルの作成ウィンドウが開きます。

トンネルの設定を行います。

設定	ユーザーの操作
名前	トンネルの名前を指定します。
パブリックキー	パブリックキーをクリップボードにコピーします。重要: QVPN ServiceのWireGuard VPN サーバーピア設定ページに、コピーされたパブリックキーを確実に貼り付けてください。
インターフェイス
プライベートキー	プライベートキーは、新しいトンネルが作られる際に自動的に生成されます。
住所	WireGuard VPNサーバーページに指定されたIPサブネットを入力します。
DNSサーバ	WireGuard VPNクライアントがVPNトンネル経由でアクセスできる、DNSサーバー用のIPアドレスを指定します。
ピア
パブリックキー	WireGuard VPNサーバーページからパブリックキーをコピーアンドペーストします。注意: サーバーおよびクライアント両方で認証するには、QVPN ServiceのWireGuard VPNサーバーページ内で生成されたbase64エンコードされたパブリックキーが必要です。
許可されている IP	そのピアにルーティングされるIPアドレスのリストを指定します。WireGuard接続の内部IPアドレスを含むIPサブネットを少なくとも１つ入力してください。任意のIPサブネットからのパケットを許可するには、0.0.0.0/0を入力します。
エンドポイント	`IPアドレス:リッスンポート`の形式を用いてWireGuardサーバーのIPアドレスを指定します。例：`192.168.10.1:51820`

オプション：トンネルされていないトラフィックをブロック (キルスイッチ)を有効にします。

お客様のIPアドレスが外部に漏れないようにし、VPNトンネルに属さないトラフィックをブロックします。
［保存］をクリックします。

WireGuardアプリケーションがトンネルプロファイルを追加します。
［ライセンス認証］をクリックします。

WireGuardアプリケーションがVPNサーバーとのVPNトンネルを確立します。

WireGuardウェブサイトから、WireGuardをダウンロードし、インストールします。

WireGuardを開きます。
左下で+をクリックします。
［空のトンネルの追加］をクリックします。

トンネル作成ウィンドウが現れます。

トンネルの設定を行います。

設定	ユーザーの操作
名前	トンネルの名前を指定します。
パブリックキー	パブリックキーをクリップボードにコピーします。重要: QVPN ServiceのWireGuardピア設定ページに、コピーされたパブリックキーが指定されていることを確認してください。
オンデマンド	WireGuard接続用のネットワークインターフェイスを指定します。
インターフェイス
プライベートキー	プライベートキーは、新しいトンネルが作られる際に自動的に生成されます。
住所	WireGuard VPNサーバーページに指定されたIPサブネットを入力します。
DNS サーバー	WireGuard VPNサーバーがVPNトンネル経由でアクセスできる、DNSサーバー用のIPアドレスを指定します。
ピア
パブリックキー	WireGuard VPNサーバーページからパブリックキーをコピーアンドペーストします。注意: サーバーおよびクライアント両方で認証するには、QVPN ServiceのWireGuard VPNサーバーページ内で生成されたbase64エンコードされたパブリックキーが必要です。
許可されている IP	そのピアにルーティングされるIPアドレスのリストを指定します。WireGuard接続の内部IPアドレスを含むIPサブネットを少なくとも１つ入力してください。任意のIPサブネットからのパケットを許可するには、0.0.0.0/0を入力します。
エンドポイント	`IPアドレス:リッスンポート`の形式を用いてWireGuardサーバーのIPアドレスを指定します。例：`192.168.10.1:51820`
パーシステントキープアライブ	ピアがファイアウォールの背後にある場合には、キープアライブパケットの送信間隔を秒単位でオプション指定します。

オプション：プライベートIPアドレスを除外するには、プライベートIPを除外をクリックします。
［保存］をクリックします。

WireGuardアプリケーションがトンネルプロファイルを追加します。
［ライセンス認証］をクリックします。

WireGuardアプリケーションがVPNサーバーとのVPNトンネルを確立します。

WireGuardウェブサイトから、WireGuardをダウンロードし、インストールします。

WireGuardを開きます。
右上の+をクリックします。
［最初から構築する］をクリックします。

WireGuardトンネルの作成ページが開きます。

トンネルの設定を行います。

設定	ユーザーの操作
名前	トンネルの名前を指定します。
秘密鍵	［キーペアの生成］をクリックすると、32バイトの一意の秘密鍵とパブリックキーが自動的に入力されます。
パブリックキー	パブリックキーをクリップボードにコピーします。重要: QVPN ServiceのWireGuardピア設定ページに、コピーされたパブリックキーが指定されていることを確認してください。
アドレス	WireGuard VPNサーバーページに指定されたIPサブネットを入力します。
リッスンポート	1～65535間のオプションのUDPポート番号を指定します。ヒント：アプリケーションがリッスンポートを選択できるようにするには、このフィールドは空にしてください。
MTU	オプションのMTU値を指定します。注意: 推奨値は1420です。ヒント：アプリケーションがMTU値を選択できるようにするには、このフィールドは空にしてください。
DNS サーバー	WireGuard VPNクライアントがVPNトンネル経由でアクセスできる、DNSサーバー用のIPアドレスを指定します。

ピア設定を行います。

設定	ユーザーの操作
パブリックキー	WireGuard VPNサーバーページからパブリックキーをコピーアンドペーストします。注意: サーバーおよびクライアント両方で認証するには、QVPN ServiceのWireGuard VPNサーバーページ内で生成されたbase64エンコードされたパブリックキーが必要です。
事前共有キー	この鍵は、VPNサーバーデバイスに事前共有キーが設定されている場合のみオプション指定してください。重要: VPNトンネルに接続するにあたり、事前共有キーがVPNサーバーとクライアント設定ページの両方で指定されていることを確認してください。
エンドポイント	`IPアドレス:リッスンポート`の形式を用いてWireGuardサーバーのIPアドレスを指定します。例：`192.168.10.1:51820`
許可されている IP	そのピアにルーティングされるIPアドレスのリストを指定します。注意: WireGuard接続の内部IPアドレスを含むIPサブネットを少なくとも１つ入力してください。任意のIPサブネットからのパケットを許可するには、`0.0.0.0/0`を入力します。ヒント：プライベートIPアドレスを除外するには、プライベートIPを除外を選択します。
パーシステントキープアライブ	ピアがファイアウォールの背後にある場合には、キープアライブパケットの送信間隔を秒単位でオプション指定します。

［保存］をクリックします。

WireGuardがVPNトンネル設定を作成し、保存します。
アクティブの横でをクリックします。

WireGuardアプリがVPNサーバーとのVPNトンネルを確立します。

WireGuardウェブサイトから、WireGuardをダウンロードし、インストールします。

WireGuardを開きます。
［+］をクリックします。
［最初から構築する］をクリックします。

WireGuardトンネルの作成ページが開きます。

トンネルの設定を行います。

設定	ユーザーの操作
名前	トンネルの名前を指定します。
秘密鍵	このVPN接続に対する秘密鍵を生成するためにをクリックします。
パブリックキー	パブリックキーをクリップボードにコピーします。重要: QVPN ServiceのWireGuardピア設定ページに、コピーされたパブリックキーが指定されていることを確認してください。
アドレス	WireGuard VPNサーバーページに指定されたIPサブネットを入力します。
リッスンポート	1～65535間のオプションのUDPポート番号を指定します。ヒント：アプリケーションがリッスンポートを選択できるようにするには、このフィールドは空にしてください。
DNS サーバー	WireGuard VPNクライアントがVPNトンネル経由でアクセスできる、DNSサーバー用のIPアドレスを指定します。
MTU	オプションのMTU値を指定します。注意: 推奨値は1420です。ヒント：アプリケーションがMTU値を選択できるようにするには、このフィールドは空にしてください。

オプション：［すべてのアプリケーション］をクリックします。

アプリケーションページが表示されます。
オプション：VPNトンネル接続から除外するアプリケーションを選択します。
［ピアの追加］をクリックします。

ピア設定を行います。

設定	ユーザーの操作
パブリックキー	WireGuard VPNサーバーページからパブリックキーをコピーアンドペーストします。注意: サーバーおよびクライアント両方で認証するには、QVPN ServiceのWireGuard VPNサーバーページ内で生成されたbase64エンコードされたパブリックキーが必要です。
事前共有キー	この鍵は、VPNサーバーデバイスに事前共有キーが設定されている場合のみオプション指定してください。重要: VPNトンネルに接続するにあたり、事前共有キーがVPNサーバーとクライアント設定ページの両方で指定されていることを確認してください。
パーシステントキープアライブ	ピアがファイアウォールの背後にある場合には、キープアライブパケットの送信間隔を秒単位でオプション指定します。
エンドポイント	`IPアドレス:リッスンポート`の形式を用いてWireGuardサーバーのIPアドレスを指定します。例：`192.168.10.1:51820`
許可されている IP	そのピアにルーティングされるIPアドレスのリストを指定します。注意: WireGuard接続の内部IPアドレスを含むIPサブネットを少なくとも１つ入力してください。任意のIPサブネットからのパケットを許可するには、`0.0.0.0/0`を入力します。ヒント：プライベートIPアドレスを除外するには、プライベートIPを除外を選択します。