2024.03.19
カテゴリ:QNAP
[QNAP]WireGuardを試してみた
QNAP NASへの不正アクセス
QNAPのNASを使っていて、数年稼働させてるしと新しい機種を買って
TS231p→TS262 と移行やら何やらした。
それから数日後、外部からWeb管理画面に向けて大量の不正アクセスしている通知が送られてきた。
(ごく短時間に複数IPアドレスから admin ユーザーログインしようとして失敗していた)
admin ユーザーは無効化させていたので大丈夫ではあったけれど、
精神衛生上よくないし、他のアカウントへのアクセスを試みたりとかしてこないとも言い切れないので、
いったんルーターの対象ポートを閉じて物理的にアクセスできないようにした。
外部アクセスの代替手段
外からNASにアクセスする手段がないのは困るなあということで、
代替手段としてVPNを使ってみることに。
(以前に Raspberry Pi で試しでOpenVPN環境を作ってみていたりしたけど
最近は直接NASのポート開いてアクセスしてた)
QNAPがサポートしているVPN機能を調べていたところ、
OpenVPN の他に新しく WireGuard というのが使えるようだったので、
しばらくこれで運用していくことにする。
なおVPN設定の過程でDDNSが更新されてないことに気付いてなかったり
解放ポートと使用ポート合っていなかったりして
しょうもないミスで疎通できず数日ハマっていた模様。
WireGuard所感
シンプル、高速を謳っているだけあって、体感だと家庭内LANと遜色ない印象。
今のところ不自然な待ちとか遅延みたいなものには遭遇していない。
セキュリティ面だと、OpenVPNとかだと接続設定のほかに使用時にユーザー認証が入るけれど、
WireGuardは、接続端末間(P2Pなのでサーバー・クライアントの関係ではない)でIPアドレスやポート、鍵情報を共有しておくことで通信確立される。
逆に言うとそれらの情報あるだけで通信できてしまうのでなんだか不安。
認証のしくみが何かほしくなる(原理的に可能なのか? というのは気になるけど、さておいて)
参考
WireGuard: fast, modern, secure VPN tunnel
WireGuard VPN サーバーとクライアントの設定を QVPN Service 3 で行う方法 | QNAP
WireGuardでVPN接続する。 #VPN - Qiita