オープンソース

  1. サーバ構築のデージーネットTOP
  2. OSS情報
  3. OSS紹介
  4. Firezone~ソフトウェアVPNのWireGuard管理ソフト~
  5. Firezone管理者マニュアル
一覧へ

2. Firezoneの利用フロー

本章では、Firezoneの基本的な利用フローの解説を行います。

Firezoneのデフォルト設定からVPN接続までの流れの理解を目的としているため、シンプルな構成で解説を行います。 各設定の詳細については、マニュアルの各設定の章を参照してください。

2.1. VPN接続までの流れ

Firezoneを使ったVPN接続までの流れは以下のようになります。

  1. Firezoneに接続する
  2. WireGuard VPNのデフォルト設定を行う
  3. ユーザーを追加する
  4. デバイスの設定を行う
  5. VPN接続の確認を行う

2.1.1. ユーザとデバイスについて

Firezoneでは、1人のユーザに対して、複数のデバイスを紐付けることができます。 VPNの設定は、デバイス毎に発行することになるため、ユーザがVPN接続に利用するデバイスを明確に分ける運用が可能です。

2.1.2. ユーザによるデバイスの管理

Firezoneでは、ユーザがWEB UIから自身のデバイスを追加・削除することができます。 ユーザに与えるの権限によってできることが変化するため、様々な運用が可能です。 詳しくは 一般ユーザーに許可する権限を設定する を参照してください。

2.2. Firezoneに接続する

Firezoneは、WEBブラウザから利用することができます。

WEBブラウザからFirezoneのURLにアクセスします。 接続する際には、Firezoneに接続するためのURL情報が必要です。

アクセスに成功するとログイン画面が表示されます。

Firezoneのログイン画面

Sign in with email をクリックすると、ログイン情報を入力する画面が表示されます。

Firezoneのログイン情報入力画面

管理者のメールアドレスとパスワードを入力しログインを行います。

2.3. WireGuard VPNのデフォルト設定を行う

2.3.1. WireGuard VPNの設定とは

設定を行う前に、設定の意図を解説します。 Firezoneは、WireGuard VPNの設定を自動生成する機能を持ちます。 これはWireGuardの設定が比較的難しいためです。

次は、WireGuard VPNの設定ファイルの例です。

[Interface]
PrivateKey = jQoRSAIMOIE0oZAVMpUGjpbnueVx44W+EqpFwubw3NY=
Address = 172.16.100.10/32
DNS = 172.16.100.1
MTU = 1280

[Peer]
PresharedKey = 0hQXvYMTm3aGR6ly9n4sYHA0cLWMy1gg+wA7gHEIFMo=
PublicKey = 2RKJ5MSvFLqhZwFjMFEo7zR0kyMXGXeJ2oWQt0o23BQ=
AllowedIPs = 172.100.0.0/24
Endpoint = 10.1.4.152:51820

各項目の意味は次の通りです。

  • PrivateKey: WireGuardサーバとの通信に使われる秘密鍵
  • Address: VPN接続時にクライアントのネットワークインターフェースに割り当てるIPアドレス
  • DNS: VPN接続のDNSレゾルバ
  • PresharedKey: サーバ・クライアント間での共有鍵
  • PublicKey: WireGuardサーバとの通信に使われる公開鍵
  • AllowedIPs: VPNを経由する宛先ネットワーク(上記の場合、172.100.0.0/24宛の場合、WireGuardを経由して通信を行う)
  • Endpoint: WireGuardサーバの通信情報

一般のユーザは、このファイルをWireGuardのクライアントソフトウェアに インポートすることで、VPNの設定を行います。

生成した構成ファイルの具体的な利用方法については、 VPN接続の確認を行う を参照してください。

ただ、この設定ファイルを管理者が毎回作成し、管理し続けるのは非常に困難です。 このため、Firezoneでは日常的に変更の必要が無い項目を、デフォルト設定として登録できるようになっています。 また、内部的に利用するだけの値は、Firezoneが隠蔽し、設定の必要がない項目も存在します。

2.3.2. デフォルト設定の方法

ここでは、VPN接続のデフォルト値となる基本設定の設定方法について解説します。 この設定は必要に応じて変更するもので、毎回設定する必要はありません。

デフォルト値を設定できる項目は以下の通りです。

  • VPN接続時に通信可能なネットワーク
  • VPN接続時のDNSのレゾルバ
  • Wireguardサーバ
  • クライアントからのキープアライブパケットの送信間隔(秒単位)
  • WireGuardネットワークのMTU

VPN接続のためのデフォルト設定を行うには、左メニューの Default のボタンを押します。 クライアントのデフォルト設定画面が表示されます。

Firezone基本設定画面

設定する項目は次の通りです。詳細は各章を参照してください。

設定後、 Save ボタンをクリックすると、設定が保存されます。

2.3.3. Allowed IPs

VPN接続時にWireGuardサーバをゲートウェイにして通信可能なネットワークを設定します。
カンマ区切りで複数指定することも可能です。

以下は設定例です。
  • 192.0.2.3/32
    • 単一のIPアドレス(192.0.2.3)への通信のみがVPNを経由します
  • 192.0.2.0/22
    • 範囲内のIPアドレス(192.0.2.1~192.0.2.254)への通信のみがVPNを経由します
  • 0.0.0.0/0, ::/0
    • 全てのネットワークへの通信がVPNを経由します

2.3.4. DNS Servers

VPN接続時のDNSのレゾルバを指定します。
カンマ区切りで複数指定することも可能です。
Firezoneが生成する構成ファイルにこの項目を含めない場合は空白にします。

2.3.5. Endpoint

Wireguardサーバを指定します。通常変更の必要はありません。

2.3.6. Persistent Keepalive

クライアントからのキープアライブパケットの送信間隔(秒単位)を指定します。
通常変更の必要はありません。
Firezoneが生成する構成ファイルにこの項目を含めない場合は空白にします。

2.3.7. MTU

WireGuardネットワークのMTUを指定します。
Firezoneが生成する構成ファイルにこの項目を含めない場合は空白にします。

2.4. ユーザーを追加する

ここまでで、VPN接続のためのFirezone側の初期設定を行いました。 続いて、ユーザーを追加し、実際にVPN接続ができるところまでを確認します。

まずはユーザーを追加します。

ユーザーを追加するには、左メニューの Users をクリックし、 ユーザー一覧の一番下にある Add User ボタンをクリックします。

Firezoneのユーザーメニュー

表示された入力フォームに、追加するユーザーのメールアドレスとパスワードを入力します。

Firezoneのユーザー追加画面

入力後、 Save をクリックします。 ユーザーが登録されると、詳細画面が表示されます。

Firezoneのユーザー追加画面

これでユーザー追加は完了です。

2.5. デバイスの設定を行う

続いて、デバイスの設定を行います。

Firezoneでは、VPNの接続設定はユーザー単位ではなく デバイス という単位で管理します。このため、実際のVPN設定はユーザーに紐づくデバイスとして追加していきます。

デバイスを追加するには、左メニューの Users をクリックし、デバイスを追加したいユーザーを選択します。

Firezoneのユーザー一覧

ユーザーの詳細画面中央にある Add Device をクリックします。

Firezoneのデバイス追加

表示された入力フォームに、デバイス情報を登録します。 Allowed IPs 以降のデバイス情報のデフォルト値は、 WireGuard VPNのデフォルト設定を行う で設定した値が適用されます。

Firezoneのデバイス登録

デフォルト値を利用する場合は、そのまま Generate Configuration ボタンをクリックします。 デバイスが追加されると、WireGuardクライアント用の構成ファイルが生成されます。

Firezoneのデバイス登録

Download WireGuard Configuration をクリックすると、WireGuardクライアント用の構成ファイルをダウンロードできます。 これでデバイスの追加は完了です。

ダウンロードした構成ファイルは、VPN接続を行う機器にインストールされているWireGuardクライアントに登録します。 構成ファイルの登録から、VPN接続までは VPN接続の確認を行う を参照してください。

2.6. VPN接続の確認を行う

Firezoneで生成した構成ファイルを使って、VPN接続の確認を行います。

構成ファイルはWireGuardクライアントに登録する必要があります。 まずは、VPN接続を行う機器にWireGuardクライアントをインストールします。

2.6.1. Windows PCからVPN接続を行う

ここでは、Windows PCからVPN接続の確認を行う例を用いて解説します。

まず、Windows PCでWireGuardを利用するために、公式サイトからWireGuardのソフトウェアをダウンロードし、インストールを行います。

WireGuardクライアントのインストール

インストールすると、WireGuardが自動的に起動します。 ファイルからトンネルをインポート をクリックし、 Firezoneで生成した構成ファイルを、WireGuardクライアントに登録します。

WireGuardクライアントの起動

登録が完了すると、WireGuardクライアントにVPN接続の設定が追加されます。

WireGuardクライアントの設定

有効化 ボタンを押すと、VPN接続が開始されます。

WireGuardクライアントの設定

VPN接続ができることを確認してください。 これでWindows PCからのVPN接続と確認は完了です。

2.6.2. iPhone からVPN接続を行う

ここでは、iPhoneからVPN接続の確認を行う例を用いて解説します。

まず、iPhoneでWireGuardを利用するために、AppStoreからWireGuardのアプリをインストールします。

WireGuardアプリのインストール

インストールすると、WireGuardが自動的に起動します。 Firezoneで生成した構成ファイルを、WireGuardクライアントに登録するため、 Add a tunnel をタッチします。

WireGuardアプリの起動

構成ファイルの登録方法を選択する画面が表示されます。 ここでは、QRコードを使って登録を行います。 Create From QR code をタッチし、QRコードを読み取ります。

WireGuardアプリの設定

読み取りに成功すると、VPNの名前を設定するフォームが現れるので任意の名前を入力します。

WireGuardアプリへ登録

登録が完了すると、WireGuardアプリにVPN接続の設定が追加されます。 トグルをタッチし、有効にすると、VPN接続が開始されます。

WireGuardアプリへ追加

VPN接続ができることを確認してください。 これでiPhoneからのVPN接続と確認は完了です。

一覧へ

OSS情報「Firezone」