クラウド VM から社内ネットワークにトンネルするように Wireguard を設定しています。ローカル サーバーは OPNSense 用の Wireguard プラグインを使用しています。
OPNSense はファイアウォール、DHCP などとして機能します。
クラウド VM はファイアウォールなどの背後にはありません。
サーバ:
interface: wg0
public key: redacted
private key: (hidden)
listening port: 42001
peer: redacted
endpoint: CLOUD_VM_PUBLIC_IP:42001
allowed ips: 10.0.1.42/32
latest handshake: 48 seconds ago
transfer: 184.23 KiB received, 186.37 KiB sent
persistent keepalive: every 21 seconds
クライアント:
public key: redacted
private key: (hidden)
listening port: 42001
peer: redacted
endpoint: LOCAL_PUBLIC_IP:42001
allowed ips: 10.0.0.0/16
latest handshake: 2 minutes, 14 seconds ago
transfer: 1.30 KiB received, 1.20 KiB sent
persistent keepalive: every 21 seconds
クライアント設定:
[Interface]
# set address to next address
Address = 10.0.1.42/16
ListenPort = 42001
PrivateKey = redacted
DNS = 1.1.1.1
[Peer]
PublicKey = redacted
Endpoint = LOCAL_PUBLIC_IP:42001
AllowedIPs = 10.0.0.0/16
PersistentKeepalive = 21
この構成では、OPNSense の内部 IP アドレスを使用して VM に接続できます10.0.1.42が、それ以外では「宛先ホストに到達できません」と表示されます。また、クラウド VM から内部 IP に ping を実行しようとすると、10.0.0.0/16タイムアウトになります。