WireGuard –ハンズオンガイド

WireGuardは実験的なVPNプロトコルであり、VPNの世界でかなりの興奮を生み出しています.

非常に軽量(わずか3782行のコード)であるため、OpenVPNやIPsecなどの従来のVPNプロトコルよりもはるかに高速です。また、コードの簡潔さにより監査が容易になり、実績のある暗号化プリミティブを使用するため、非常に安全である必要があります.

したがって、WireGuardは大きな可能性を秘めていますが、まだ実験段階および開発段階にあります。セキュリティの問題についてはまだ適切に監査されておらず、サーバー間での安全なキー共有システムの欠如により、現時点での広範な商用ロールアウトが妨げられています。.

この最後の問題は、RSAなどの従来の公開鍵暗号システムを使用して鍵を配布することで解決できます。ただし、そうすると複雑さが増し、そもそもWireGuardを使用する利点の多くが失われてしまいます。.

したがって、WireGuardは非常に進行中の作業です。それにもかかわらず、一部のプロバイダーが新しいプロトコルを実験し始めていることは非常に興味深いです。そして、NordVPNに特別な感謝を捧げて、私たちはそれを実際に見る機会を持つことを非常に楽しみにしています.

WireGuard VPNプロトコルとは何ですか?この新しいVPNプロトコルの背後にある理論の詳細については.

WireGuardを使用する

現在、WireGuardはAndroidとLinuxで公式に利用可能ですが、WindowsとiOSのサポートはまもなく約束されます。 HomebrewまたはMacPortsを使用するmacOSコマンドラインでも使用できます。.

公式クライアントの代わりにTunSafeがあります。これは営利企業として開発されたもので、そのソフトウェアはもともと閉鎖的なコースでした。 TunSafeは、WireGuardプロトコルを使用した商用VPNサービスを引き続き提供します。WireGuardプロトコルは、すべてのクライアントに組み込まれています(現時点では無料ですが)。.

ただし、ソフトウェア自体は完全にオープンソース化されており、サードパーティの構成ファイルを使用してセットアップできます。.

後述するように、TunSafeソフトウェアは多くの場合、公式クライアントよりも完全に機能が充実しています。 Windows、Android、iOS向けの完全なGUI形式で利用可能.

Linux、macOS、またはFreeBSDコマンドラインからも実行できます。これにはソースからコンパイルする必要がありますが、このためのシンプルでわかりやすい手順が提供されます.

Linux

公式のWireGuardクライアント

WireGuardは、Linuxカーネル専用に設計されました。公式のWireGuardクライアントはコマンドラインのみで、ターミナル内でサービスとして実行されます.

いくつかの依存関係の問題を修正する必要がある以外($ sudo apt install wireguard openresolv linux-headers-$(uname -r)wireguard-dkms wireguard-toolsはトリックを行った)、インストールと使用は非常に簡単です.

WireGuardプロトコルには、VPNトンネル内の完全なIPv4およびIPv6ルーティングがあります。どのプラットフォームで使用してもDNSリークは検出されませんでしたが、TunSafe for WindowsはTunインターフェースを介してIPv6をリークできることが報告されています).

組み込みのキルスイッチはありませんが、iptablesコマンドを構成ファイルに追加することで作成できます。.

これを手動で行う方法の良い例は、WireGuardの設定ファイルに適用できるはずですが、MullvadのWireGuardセットアップページにあります。または、VPNプロバイダーは単純にコマンドを標準の構成ファイルに追加できます.

すでに述べたように、基本的なWireGuardクライアントは、HomebrewまたはMacPortsを使用してmacOSで実行することもできます。.

TunSafe

LinuxでTunSafeを実行するには、ソースコードを自分でコンパイルする必要があります。幸いなことに、これは音ほど怖いものではありません。 Webサイトの指示は非常に明確で、コマンドラインデーモンを数分で起動して実行しました。.

ただし、公式のLinuxクライアントよりもTunSafeを使用する利点は見当たらないと言わざるを得ません。 TunSafeは、macOSおよびFreeBSDのソースからコンパイルすることもできます。.

アンドロイド

公式WireGuardアプリ

公式のAndroidアプリは、F-Droid Webサイトから入手できます。.

アプリに機能が欠けているもの(実際には何もありません)は、使いやすさを補います。 NordVPNは、WireGuardの設定を構成するための標準的な方法になると思われるものを使用して、実験的なWireGuardサーバーのQRコードを含む画像を提供しました.

私たちがしなければならなかったのは、携帯電話のカメラを使用して各サーバーのこのコードをスキャンすることでした。セットアップが完了しました。手動でセットアップファイルを追加したり、独自のセットアップファイルを作成することもできます。.

そして、それが本当にアプリにあるすべてです。セットアップが完了すると、すぐに接続され、必要なとおりに動作しました.

TunSafe VPNアプリ

TunSafeはオープンソースであるため、公式のAndroidアプリに代わる優れた手段となります。アプリのコア機能は、ベースとなるオープンソースの公式アプリとほぼ同じです。そのため、QRコード、設定ファイルを介してWireGuardサーバーに接続するように構成したり、新規から作成したりすることができます。.

主な違いは、TunSafeはVPNサービスも実行するため、デフォルトでTunSafeのVPNサーバーに接続するオプションがあることです。最終的には営利企業ですが、現時点ではTunSafe VPNは完全に無料で使用できます。ただし、30日後、TunSafeサーバーの帯域幅は1GB /日に制限されます.

サードパーティの構成ファイルを使用する場合、サーバーオペレーターが請求する以上の制限はありません。プライバシーポリシーに従って、TunSafe VPNはログなしのサービスです.

公式アプリとは異なり、TunSafe for Androidはキルスイッチとスプリットトンネリング(「除外されたアプリ」)を備えています。また、独自のサーバーへのping時間を表示できますが、サードパーティのサーバーには表示できません。上級ユーザー向けに、LinuxでWireGuardサーバーを自分でセットアップすることができます。.

ウィンドウズ

TunSafe

執筆時点では、WindowsでWireGuardを実行する唯一の方法はTunSafeを使用することです。 OpenVPNと同様に、TunSafe for Windowsを使用するにはTAPイーサネットアダプターが必要です.

これに関する主な問題は、TAPアダプターがIPv6 DNS要求をVPNインターフェースの外部に漏らす可能性があることです。したがって、TunSafe for Windowsを使用する場合は、WindowsでIPv6を無効にすることを強くお勧めします.

もう1つの問題は、TAPアダプターを使用すると、WireGuardのシンプルさがさらに複雑になることです。 WireGuardを使用する主な利点の1つに対していくらか機能します.

クライアントは、WireGuard .confファイルのインポートを非常に簡単にするシンプルなGUIを使用します。 QRコード経由でファイルをインポートするオプションはありませんが、多くのWindows PCにはカメラが搭載されていないため、これは理解できます.

また、killswitchを提供します。これは、(クライアントベースの)ルーティングルールまたは(システム)ファイアウォールルールのいずれかを使用して機能します。または両方。とても便利です.

GUI Pre-Alpha

2020年5月、Edge SecurityはWireGuard for Windowsの公式のアルファ版を発表しました。まだ非常に早い段階ですが、GUIクライアントはプロジェクトの方向を示しています。.

注意すべき最も重要なことは、TunSafeクライアントとは異なり、OpenVPN TAPアダプターは必要ないということです。代わりに、クライアントは、Winguardを使用します。これは、WireGuardチームによって開発されたWindows用の最小のレイヤー3 TUNドライバーです。.

また、注目に値する(およびGUIからすぐに明らかではない)、クライアントには組み込みの自動 "緊急停止装置" VPNトンネル外のトラフィックをブロックする.

これに加えて、トンネル間の切り替えが非常にスムーズなプロセスであることを確認できます。すべてがとても有望に見えます!

スピードテスト

シンプルさだけでなく、OpenVPNに対するWireGuardの最大の利点の1つは、追加されたシンプルさによってWireGuardがはるかに高速になることです。そこで、いくつかのテストを実行しました。...

MullvadはLinuxを完全にサポートしているため、Mullvadを使用することを選択しました。また、同じサーバー(または少なくとも非常に類似したサーバーの場所)でWireGuardとOpenVPNをサポートしているため、同様の比較が可能です。.

独自の速度テストシステムが動作するにはOpenVPNファイルが必要であるため、テストはspeedtest.netを使用して実行されました。すべてのテストは英国から実施されました。平均ping(遅延)率は括弧内に示されています.

理論上、WireGuardはOpenVPNよりもはるかに高速である必要があります。しかし、これはこれらのテストによって裏付けられていません。ただし、これはWireGuardの実際の実装にはまだ非常に早い段階であり、OpenVPNのパフォーマンスに関してはMullvadが非常に高速であることを覚えておく必要があります。.

結論

WireGuardは、現時点でOpenVPNやIKEv2などのセキュアなVPNプロトコルに代わる深刻な代替手段として推奨できるほど十分に監査および侵入テストされていません。しかし、それは確かに非常に有望に見えます.

セットアップと使用が簡単で、テストでは迅速に接続し、非常に安定した接続を維持しました.

紙上では、WireGuardはOpenVPNよりもはるかに機能的です。テスト結果は、完全な実装がまだプロトタイプ段階にあるためか、テスト環境の制限による可能性があります.

それらはWiFi経由で実行され、Linuxと互換性のある現在の唯一のWiFiコネクタは(皮肉なことに)約5ドルの非常に安価な802.11gドングルです.

したがって、速度テストの結果をあなたが望むものにしてください。それ以外は、WireGuardがどのように進歩しているかに非常に感銘を受け、さらに改善テストを受けるのを待つことができません。この熱意を共有している人にとっては、プロジェクトへの寄付は大歓迎です.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me