WireGuardを利用してIPv4だけでなくIPv6もVPS経由で通信させたい場合、OPNsenseとVPS間でのトンネル設定とルーティング調整が必要です。この記事では、IPv6フルトンネル構成の実装方法とNextDNSの強制適用について解説します。
1. IPv6フルトンネル化の基本設定
WireGuardでIPv6を通すには、サーバー(VPS)とクライアント(OPNsense)の双方でIPv6アドレスを設定し、AllowedIPsにIPv6レンジを追加する必要があります。例えば、VPS側のPeer設定にクライアントIPv6サブネットを、OPNsense側のPeer設定にVPSのIPv6アドレスを含めます。
OPNsenseでは、WireGuardインターフェースにIPv6を割り当て、IPv6ルートをwg0経由に設定することが重要です。
2. OCN IPv6デフォルトルートの無効化
OPNsenseのルーティング設定で、デフォルトゲートウェイとしてOCNのIPv6ルートを無効化し、IPv6トラフィックをWireGuardインターフェース経由に変更します。具体的には、Routing → GatewaysでOCNのIPv6ゲートウェイを無効化し、Static Routeで::/0をwg0に向ける設定です。
3. NextDNSを全端末に強制適用する方法
IPv4同様、IPv6でもNextDNSをVPS側でリゾルバとして強制適用するには、VPSでDNSリダイレクト(iptables/nftablesまたはdnsmasq)を設定します。これにより、クライアントが明示的にDNSを指定しなくても、全トラフィックがNextDNS経由で解決されます。
OPNsense側でもFirewall → NAT → Port ForwardingでUDP/TCP 53番ポートをWireGuardトンネルにリダイレクトすることで、IPv6通信も漏れなくNextDNSを経由させられます。
4. 実装時の注意点
IPv6フルトンネル化では、VPSのIPv6アドレスのグローバルアクセス性とファイアウォール設定を確認してください。また、クライアント側のIPv6設定でVPSのトンネルIPv6以外が優先されないよう、ルーティング優先度を調整します。
5. まとめ
WireGuardでIPv4/IPv6フルトンネルを構築するには、双方のPeer設定、AllowedIPs、OPNsenseのルーティング調整が必要です。OCNのデフォルトIPv6ルートを無効化し、全トラフィックをWireGuard経由に切り替えます。また、NextDNSをVPSまたはOPNsense側でリダイレクト設定することで、IPv6でもDNSフィルタリング漏れを防げます。
コメント