型落ちノートPCでDockerサービスを公開したい
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
検索
|
最終更新
|
Markdown
|
数式
]
開始行:
<!-- markdown -->
# 目次
[TOC]
# 型落ちノートPCでDockerサービスを公開したい ― WSL2の多段...
## はじめに
部署で余った型落ちのWindows 10ノートPC。捨てるにはもった...
お手軽で最高――と思いきや、思わぬ落とし穴があった。*多段NA...
本記事では、WSL2上のDockerコンテナで立てたサービスに、同...
## WSL2の多段NAT構造
WSL2上のDockerコンテナでサービスを公開しようとすると、ネ...
[社内LAN上のメンバーPC]
└─ [ルーター / 社内NW] ← NAT①
└─ [Windows 10 ホスト]
└─ [WSL2 仮想ネットワーク] ← NAT②
└─ [Docker bridge network] ← NAT③
├─ Forgejo (port 3000)
└─ DinD Runner
NATが3重。localhostでは動いているのに、隣の席の同僚からア...
## 試行錯誤:どれもしっくりこない
いくつかの方法を試したが、どれも決め手に欠けた。
### portproxy(netsh interface portproxy)
Windows標準のポート転送機能。追加ソフト不要で手軽だが、WS...
### Windows 11のミラードネットワーキング
WSL2のネットワークをホストとミラーリングする機能。今回の...
### Tailscale
手軽さは抜群。ただしコーディネーションサーバがTailscale社...
### ngrok
一時的なデモ共有には便利だが、常時運用には向かない。
## Nebulaにたどり着いた
最初にAIに相談したときは、portproxyやTailscaleなど「よく...
## Nebulaとは
Nebulaは、Slackのエンジニアが社内インフラ向けに開発し、20...
https://slack.engineering/introducing-nebula-the-open-sou...
|~項目|~内容|
|---|---|
|ライセンス|MIT(完全OSS)|
|開発言語|Go|
|対応OS|Linux, macOS, Windows, iOS, Android|
|暗号方式|Noise Protocol Framework / AES-256-GCM|
|NATの扱い|UDPホールパンチング + Lighthouse(ディスカバリ...
|本番実績|Slackで5万台以上のホストが稼働|
|GitHub|[slackhq/nebula](https://github.com/slackhq/nebul...
ざっくり言うと、各マシンにNebulaをインストールして証明書...
## 仲間内なら証明書管理は怖くない
Nebulaの紹介記事を読むと「自分でCA(認証局)を作って、証...
しかし、それは数百〜数千台規模でメンバーの出入りが頻繁な...
### 証明書の有効期限は自分で決められる
デフォルトは1年だが、-duration フラグで自由に設定できる。...
### 発行するのは初回の数枚だけ
3人チームなら発行する証明書はこれだけだ。
# CA(認証局)を作る(10年有効)
nebula-cert ca -name "our-team" -duration 87600h
# 各ホスト用の証明書を発行(10年有効)
nebula-cert sign -name "lighthouse" -ip "192.168.100....
nebula-cert sign -name "member1" -ip "192.168.100.2/2...
nebula-cert sign -name "member2" -ip "192.168.100.3/2...
nebula-cert sign -name "member3" -ip "192.168.100.4/2...
コマンド5つ。1分もかからない。あとはファイルを各メンバー...
### CAの秘密鍵の管理も気楽でいい
大規模組織なら ca.key は厳重に暗号化して金庫に入れるべき...
### メンバーの追加・削除
誰かがチームに加わったら、コマンド1つで証明書を発行して渡...
## 同一LANならLighthouseも手元でいい
Nebulaのネットワークには、ノード同士がお互いを発見するた...
## 構成まとめ
最終的な構成はこうなる。
[社内LAN: 192.168.179.0/24]
│
├─ 型落ちノートPC (192.168.179.17)
│ │
│ ├─ [Windows側]
│ │ └─ UDPリレー (UDP 4242 → WSL2へ転送)
│ │
│ └─ [WSL2側]
│ ├─ Nebula Lighthouse (192.168.100.1)
│ └─ Docker
│ ├─ Forgejo (port 3000)
│ └─ DinD Runner
│
├─ メンバー1 PC ── Nebula (192.168.100.2)
├─ メンバー2 PC ── Nebula (192.168.100.3)
└─ メンバー3 PC ── Nebula (192.168.100.4)
各メンバーは http://192.168.100.1:3000 でForgejoにアクセ...
*ポイント*: NebulaをWSL2で動かすことで、Dockerと同じネッ...
## 検証:実際にやってみた
### 検証環境
|~項目|~内容|
|---|---|
|ホストOS|Windows 10 Pro|
|WSL2|Ubuntu 24.04 LTS|
|Docker|Docker Engine on WSL2|
|サービス|Forgejo 9 + Forgejo Runner (DinD)|
|Nebula|v1.10.2|
|クライアント|同一フロアのWindows PC × 3台|
### ステップ1: Nebulaバイナリの準備
[GitHub Releases](https://github.com/slackhq/nebula/relea...
- Linux版(WSL2用): nebula-linux-amd64.tar.gz
- Windows版(メンバー用): nebula-windows-amd64.zip
# WSL2で作業ディレクトリを作成
mkdir -p ~/nebula
cd ~/nebula
# Linux版を展開
tar xzf nebula-linux-amd64.tar.gz
# Windows版も展開してメンバー配布用に準備
mkdir -p windows
unzip nebula-windows-amd64.zip -d windows/
### ステップ2: CA・証明書の発行
cd ~/nebula
# CA作成(10年有効)
./nebula-cert ca -name "our-team" -duration 87600h
# Lighthouse用
./nebula-cert sign -name "lighthouse" -ip "192.168.10...
# メンバー用
./nebula-cert sign -name "member1" -ip "192.168.100.2...
./nebula-cert sign -name "member2" -ip "192.168.100.3...
./nebula-cert sign -name "member3" -ip "192.168.100.4...
証明書の確認:
./nebula-cert print -path lighthouse.crt
出力例:
{
"details": {
"name": "lighthouse",
"networks": ["192.168.100.1/24"],
"notAfter": "2036-02-03T...",
"notBefore": "2026-02-05T..."
}
}
### ステップ3: Lighthouse設定ファイル作成(WSL2用)
~/nebula/config-lighthouse.yml を作成:
pki:
ca: /home/YOUR_USER/nebula/ca.crt
cert: /home/YOUR_USER/nebula/lighthouse.crt
key: /home/YOUR_USER/nebula/lighthouse.key
lighthouse:
am_lighthouse: true
interval: 60
listen:
host: 0.0.0.0
port: 4242
punchy:
punch: true
respond: true
tun:
dev: nebula1
mtu: 1300
logging:
level: info
format: text
firewall:
outbound:
- port: any
proto: any
host: any
inbound:
- port: any
proto: any
host: any
※YOUR_USER は実際のユーザー名に置き換える。
### ステップ4: メンバー用設定ファイル作成
windows/config.yml を作成(メンバー配布用):
pki:
ca: ca.crt
cert: host.crt
key: host.key
static_host_map:
# LighthouseのNebula IP: サーバPCのLAN IP
"192.168.100.1": ["192.168.179.17:4242"]
lighthouse:
am_lighthouse: false
interval: 60
hosts:
- "192.168.100.1"
listen:
host: 0.0.0.0
port: 4242
punchy:
punch: true
respond: true
tun:
dev: nebula1
mtu: 1300
logging:
level: info
format: text
firewall:
outbound:
- port: any
proto: any
host: any
inbound:
- port: any
proto: any
host: any
*注意*: static_host_map の 192.168.179.17 は、Lighthouse...
### ステップ5: UDPリレースクリプト作成(Windows用)
NebulaはUDPで通信するが、netsh portproxyはTCPのみ対応。そ...
C:\nebula\udp-relay.ps1 を作成:
# UDP Relay: Forward UDP 4242 to WSL2
# Run as Administrator
$wslIP = "172.31.58.140" # WSL2のIP(WSL2で hostname...
$port = 4242
Write-Host "=== Nebula UDP Relay ===" -ForegroundColo...
Write-Host "Listening on 0.0.0.0:$port"
Write-Host "Forwarding to ${wslIP}:$port"
Write-Host "Press Ctrl+C to stop" -ForegroundColor Ye...
Write-Host ""
$listener = New-Object System.Net.Sockets.UdpClient($...
$listener.Client.ReceiveTimeout = 1000
$wslEndpoint = New-Object System.Net.IPEndPoint([Syst...
$clients = @{}
while ($true) {
try {
$clientEP = New-Object System.Net.IPEndPoint(...
$data = $listener.Receive([ref]$clientEP)
$clientKey = $clientEP.ToString()
$now = Get-Date
if ($clientEP.Address.ToString() -eq $wslIP) {
foreach ($key in $clients.Keys) {
$listener.Send($data, $data.Length, $...
Write-Host "$(Get-Date -Format 'HH:mm...
}
} else {
$clients[$clientKey] = @{Endpoint = $clie...
$listener.Send($data, $data.Length, $wslE...
Write-Host "$(Get-Date -Format 'HH:mm:ss'...
}
$cutoff = $now.AddMinutes(-5)
$oldClients = $clients.Keys | Where-Object { ...
foreach ($old in $oldClients) { $clients.Remo...
}
catch [System.Net.Sockets.SocketException] { }
catch { Write-Host "Error: $_" -ForegroundColor R...
}
*注意*: $wslIP はWSL2のIPアドレス。WSL2で hostname -I を...
### ステップ6: メンバー用配布セット作成
各メンバー用にフォルダを作成:
mkdir -p dist/member1 dist/member2 dist/member3
for i in 1 2 3; do
cp windows/nebula.exe dist/member${i}/
cp ca.crt dist/member${i}/
cp member${i}.crt dist/member${i}/host.crt
cp member${i}.key dist/member${i}/host.key
cp windows/config.yml dist/member${i}/
# wintun.dllのディレクトリ構造を作成
mkdir -p dist/member${i}/dist/windows/wintun/bin/am...
cp windows/dist/windows/wintun/bin/amd64/wintun.dll \
dist/member${i}/dist/windows/wintun/bin/amd64/
done
*重要*: Windows版Nebulaはwintun.dllが必要。Nebulaは特定の...
member1/
├── nebula.exe
├── config.yml
├── ca.crt
├── host.crt
├── host.key
└── dist/
└── windows/
└── wintun/
└── bin/
└── amd64/
└── wintun.dll
wintunはNebulaのWindows版リリースに同梱されている。
配布用にzip化(PowerShellで):
cd dist
Compress-Archive -Path member1 -DestinationPath nebul...
Compress-Archive -Path member2 -DestinationPath nebul...
Compress-Archive -Path member3 -DestinationPath nebul...
Google DriveやSlack等で各メンバーに配布する。
### ステップ7: サーバー側の起動(起動順序が重要)
**1. WSL2でLighthouseを起動**
cd ~/nebula
sudo ./nebula -config config-lighthouse.yml
正常起動時のログ:
level=info msg="Nebula interface is active" interface...
**2. Windows側でUDPリレーを起動**
*別のターミナル*で、管理者権限のPowerShellを開いて:
cd C:\nebula
Set-ExecutionPolicy -Scope Process Bypass
.\udp-relay.ps1
表示例:
=== Nebula UDP Relay ===
Listening on 0.0.0.0:4242
Forwarding to 172.31.58.140:4242
### ステップ8: ローカルテストで動作確認
メンバーに配布する前に、サーバーPC上でローカルテストを行...
ローカルテスト用設定ファイル C:\nebula\config-local-test....
pki:
ca: ca.crt
cert: host.crt
key: host.key
static_host_map:
# ローカルテストはWSL2に直接接続
"192.168.100.1": ["172.31.58.140:4242"]
lighthouse:
am_lighthouse: false
interval: 60
hosts:
- "192.168.100.1"
listen:
host: 0.0.0.0
port: 4243 # Lighthouseと競合しないよう別ポート
punchy:
punch: true
respond: true
tun:
dev: nebula_test
mtu: 1300
logging:
level: info
format: text
firewall:
outbound:
- port: any
proto: any
host: any
inbound:
- port: any
proto: any
host: any
member1の証明書をC:\nebulaにコピー:
copy dist\member1\host.crt C:\nebula\
copy dist\member1\host.key C:\nebula\
copy dist\member1\ca.crt C:\nebula\
*重要: UDPリレーを停止(Ctrl+C)してから*テストを実行する...
管理者権限のPowerShellで:
cd C:\nebula
.\nebula.exe -config config-local-test.yml
正常接続時のログ:
level=info msg="Handshake message received" certName=...
level=info msg="Nebula interface is active" networks=...
別のコマンドプロンプトで確認:
ping 192.168.100.1
curl http://192.168.100.1:3000
ブラウザで http://192.168.100.1:3000 を開き、Forgejoが表...
*テスト完了後*: テスト用Nebulaを停止(Ctrl+C)し、*UDPリ...
### ステップ9: メンバーPCでの起動
メンバーは配布されたzipファイルを展開し、管理者権限のコマ...
cd C:\nebula\member1
nebula.exe -config config.yml
正常接続時のログ:
level=info msg="Handshake message received" certName=...
level=info msg="Nebula interface is active" networks=...
### ステップ10: 接続確認
メンバーPCから:
ping 192.168.100.1
ブラウザで http://192.168.100.1:3000 を開き、Forgejoが表...
### 検証結果
|~テスト項目|~結果|
|---|---|
|WSL2でLighthouse起動|OK|
|UDPリレー起動|OK|
|ローカルテスト(同一PC)|OK|
|メンバーからのHandshake|OK|
|ping 192.168.100.1|OK (TTL=64, <1ms)|
|Forgejo Web UI (http://192.168.100.1:3000)|OK|
|git clone via SSH (port 2222)|OK|
## メンバー向けクイックスタート
配布されたzipファイルを受け取ったメンバー向けの手順:
1. zipファイルを C:\nebula に展開
1. *管理者権限*でコマンドプロンプトを開く
1. 以下を実行:
cd C:\nebula\member1
nebula.exe -config config.yml
1. 「Handshake message received」と表示されれば接続成功
1. ブラウザで http://192.168.100.1:3000 を開く
1. Forgejoが表示されれば完了
## ハマりポイントと対処法
### wintun.dll not found
症状:
Failed to get a tun/tap device" error="can not load t...
Nebulaは特定のパスでwintun.dllを探す。nebula.exeと同じフ...
C:\nebula\dist\windows\wintun\bin\amd64\wintun.dll
### netsh portproxyが効かない
netsh portproxyはTCPのみ対応。NebulaはUDPを使うため、Powe...
また、netsh portproxyをNebulaの仮想インターフェース(192....
### WSL2のIPが変わる
WSL2のIPは再起動で変わることがある。UDPリレーのスクリプト...
起動時に自動取得する場合:
$wslIP = (wsl hostname -I).Trim().Split()[0]
### 管理者権限が必要
Nebulaは仮想ネットワークインターフェースを作成するため、W...
## 運用Tips
### サーバー起動チェックリスト
毎回の起動時に確認すること:
1. WSL2が起動していること
1. WSL2でNebulaが起動していること(sudo ./nebula -config ...
1. Windows側でUDPリレーが起動していること(.\udp-relay.ps...
### 自動起動の設定
WSL2側のNebulaはsystemdサービス化、Windows側のUDPリレーは...
### ファイアウォール
Windows FirewallでUDP 4242の受信を許可する必要がある場合:
netsh advfirewall firewall add rule name="Nebula UDP"...
## 所感
型落ちノートPCの有効活用という軽い気持ちで始めたが、WSL2...
Nebulaは、この問題をオーバーレイネットワークで根本的に解...
証明書管理が大変そうに見えるのがNebulaのとっつきにくさだ...
WSL2でNebulaを動かす場合のUDPリレーは少し面倒だが、一度設...
同じようにWSL2のNAT越えで困っている方は、選択肢のひとつと...
## 補足:もっと本格的に使いたくなったら
Nebulaの作者が設立したDefined Networking社が提供する *Man...
- [Defined Networking(Managed Nebula)](https://www.defi...
### 初回のみ管理者権限で動作するようにするには
Nebulaをサービス化すれば解決します。管理者が初回のみ設定...
...
NSSM(Non-Sucking Service Manager) を使う方法が簡単...
...
メンバー向けセットアップ(管理者が初回のみ実行) ...
...
1. NSSMをダウンロード: https://nssm.cc/download ...
2. 管理者cmdで: ...
nssm install NebulaMember C:\nebula\member1\nebula.e...
nssm set NebulaMember Start SERVICE_AUTO_START ...
nssm start NebulaMember ...
...
これでPC起動時に自動でNebulaが起動し、メンバーは何も...
## 参考リンク
- [Nebula公式ドキュメント](https://nebula.defined.net/doc...
- [GitHub: slackhq/nebula](https://github.com/slackhq/neb...
- [Introducing Nebula(Slack Engineering Blog)](https://...
- [Wintun(Windows TUN driver)](https://www.wintun.net/)
終了行:
<!-- markdown -->
# 目次
[TOC]
# 型落ちノートPCでDockerサービスを公開したい ― WSL2の多段...
## はじめに
部署で余った型落ちのWindows 10ノートPC。捨てるにはもった...
お手軽で最高――と思いきや、思わぬ落とし穴があった。*多段NA...
本記事では、WSL2上のDockerコンテナで立てたサービスに、同...
## WSL2の多段NAT構造
WSL2上のDockerコンテナでサービスを公開しようとすると、ネ...
[社内LAN上のメンバーPC]
└─ [ルーター / 社内NW] ← NAT①
└─ [Windows 10 ホスト]
└─ [WSL2 仮想ネットワーク] ← NAT②
└─ [Docker bridge network] ← NAT③
├─ Forgejo (port 3000)
└─ DinD Runner
NATが3重。localhostでは動いているのに、隣の席の同僚からア...
## 試行錯誤:どれもしっくりこない
いくつかの方法を試したが、どれも決め手に欠けた。
### portproxy(netsh interface portproxy)
Windows標準のポート転送機能。追加ソフト不要で手軽だが、WS...
### Windows 11のミラードネットワーキング
WSL2のネットワークをホストとミラーリングする機能。今回の...
### Tailscale
手軽さは抜群。ただしコーディネーションサーバがTailscale社...
### ngrok
一時的なデモ共有には便利だが、常時運用には向かない。
## Nebulaにたどり着いた
最初にAIに相談したときは、portproxyやTailscaleなど「よく...
## Nebulaとは
Nebulaは、Slackのエンジニアが社内インフラ向けに開発し、20...
https://slack.engineering/introducing-nebula-the-open-sou...
|~項目|~内容|
|---|---|
|ライセンス|MIT(完全OSS)|
|開発言語|Go|
|対応OS|Linux, macOS, Windows, iOS, Android|
|暗号方式|Noise Protocol Framework / AES-256-GCM|
|NATの扱い|UDPホールパンチング + Lighthouse(ディスカバリ...
|本番実績|Slackで5万台以上のホストが稼働|
|GitHub|[slackhq/nebula](https://github.com/slackhq/nebul...
ざっくり言うと、各マシンにNebulaをインストールして証明書...
## 仲間内なら証明書管理は怖くない
Nebulaの紹介記事を読むと「自分でCA(認証局)を作って、証...
しかし、それは数百〜数千台規模でメンバーの出入りが頻繁な...
### 証明書の有効期限は自分で決められる
デフォルトは1年だが、-duration フラグで自由に設定できる。...
### 発行するのは初回の数枚だけ
3人チームなら発行する証明書はこれだけだ。
# CA(認証局)を作る(10年有効)
nebula-cert ca -name "our-team" -duration 87600h
# 各ホスト用の証明書を発行(10年有効)
nebula-cert sign -name "lighthouse" -ip "192.168.100....
nebula-cert sign -name "member1" -ip "192.168.100.2/2...
nebula-cert sign -name "member2" -ip "192.168.100.3/2...
nebula-cert sign -name "member3" -ip "192.168.100.4/2...
コマンド5つ。1分もかからない。あとはファイルを各メンバー...
### CAの秘密鍵の管理も気楽でいい
大規模組織なら ca.key は厳重に暗号化して金庫に入れるべき...
### メンバーの追加・削除
誰かがチームに加わったら、コマンド1つで証明書を発行して渡...
## 同一LANならLighthouseも手元でいい
Nebulaのネットワークには、ノード同士がお互いを発見するた...
## 構成まとめ
最終的な構成はこうなる。
[社内LAN: 192.168.179.0/24]
│
├─ 型落ちノートPC (192.168.179.17)
│ │
│ ├─ [Windows側]
│ │ └─ UDPリレー (UDP 4242 → WSL2へ転送)
│ │
│ └─ [WSL2側]
│ ├─ Nebula Lighthouse (192.168.100.1)
│ └─ Docker
│ ├─ Forgejo (port 3000)
│ └─ DinD Runner
│
├─ メンバー1 PC ── Nebula (192.168.100.2)
├─ メンバー2 PC ── Nebula (192.168.100.3)
└─ メンバー3 PC ── Nebula (192.168.100.4)
各メンバーは http://192.168.100.1:3000 でForgejoにアクセ...
*ポイント*: NebulaをWSL2で動かすことで、Dockerと同じネッ...
## 検証:実際にやってみた
### 検証環境
|~項目|~内容|
|---|---|
|ホストOS|Windows 10 Pro|
|WSL2|Ubuntu 24.04 LTS|
|Docker|Docker Engine on WSL2|
|サービス|Forgejo 9 + Forgejo Runner (DinD)|
|Nebula|v1.10.2|
|クライアント|同一フロアのWindows PC × 3台|
### ステップ1: Nebulaバイナリの準備
[GitHub Releases](https://github.com/slackhq/nebula/relea...
- Linux版(WSL2用): nebula-linux-amd64.tar.gz
- Windows版(メンバー用): nebula-windows-amd64.zip
# WSL2で作業ディレクトリを作成
mkdir -p ~/nebula
cd ~/nebula
# Linux版を展開
tar xzf nebula-linux-amd64.tar.gz
# Windows版も展開してメンバー配布用に準備
mkdir -p windows
unzip nebula-windows-amd64.zip -d windows/
### ステップ2: CA・証明書の発行
cd ~/nebula
# CA作成(10年有効)
./nebula-cert ca -name "our-team" -duration 87600h
# Lighthouse用
./nebula-cert sign -name "lighthouse" -ip "192.168.10...
# メンバー用
./nebula-cert sign -name "member1" -ip "192.168.100.2...
./nebula-cert sign -name "member2" -ip "192.168.100.3...
./nebula-cert sign -name "member3" -ip "192.168.100.4...
証明書の確認:
./nebula-cert print -path lighthouse.crt
出力例:
{
"details": {
"name": "lighthouse",
"networks": ["192.168.100.1/24"],
"notAfter": "2036-02-03T...",
"notBefore": "2026-02-05T..."
}
}
### ステップ3: Lighthouse設定ファイル作成(WSL2用)
~/nebula/config-lighthouse.yml を作成:
pki:
ca: /home/YOUR_USER/nebula/ca.crt
cert: /home/YOUR_USER/nebula/lighthouse.crt
key: /home/YOUR_USER/nebula/lighthouse.key
lighthouse:
am_lighthouse: true
interval: 60
listen:
host: 0.0.0.0
port: 4242
punchy:
punch: true
respond: true
tun:
dev: nebula1
mtu: 1300
logging:
level: info
format: text
firewall:
outbound:
- port: any
proto: any
host: any
inbound:
- port: any
proto: any
host: any
※YOUR_USER は実際のユーザー名に置き換える。
### ステップ4: メンバー用設定ファイル作成
windows/config.yml を作成(メンバー配布用):
pki:
ca: ca.crt
cert: host.crt
key: host.key
static_host_map:
# LighthouseのNebula IP: サーバPCのLAN IP
"192.168.100.1": ["192.168.179.17:4242"]
lighthouse:
am_lighthouse: false
interval: 60
hosts:
- "192.168.100.1"
listen:
host: 0.0.0.0
port: 4242
punchy:
punch: true
respond: true
tun:
dev: nebula1
mtu: 1300
logging:
level: info
format: text
firewall:
outbound:
- port: any
proto: any
host: any
inbound:
- port: any
proto: any
host: any
*注意*: static_host_map の 192.168.179.17 は、Lighthouse...
### ステップ5: UDPリレースクリプト作成(Windows用)
NebulaはUDPで通信するが、netsh portproxyはTCPのみ対応。そ...
C:\nebula\udp-relay.ps1 を作成:
# UDP Relay: Forward UDP 4242 to WSL2
# Run as Administrator
$wslIP = "172.31.58.140" # WSL2のIP(WSL2で hostname...
$port = 4242
Write-Host "=== Nebula UDP Relay ===" -ForegroundColo...
Write-Host "Listening on 0.0.0.0:$port"
Write-Host "Forwarding to ${wslIP}:$port"
Write-Host "Press Ctrl+C to stop" -ForegroundColor Ye...
Write-Host ""
$listener = New-Object System.Net.Sockets.UdpClient($...
$listener.Client.ReceiveTimeout = 1000
$wslEndpoint = New-Object System.Net.IPEndPoint([Syst...
$clients = @{}
while ($true) {
try {
$clientEP = New-Object System.Net.IPEndPoint(...
$data = $listener.Receive([ref]$clientEP)
$clientKey = $clientEP.ToString()
$now = Get-Date
if ($clientEP.Address.ToString() -eq $wslIP) {
foreach ($key in $clients.Keys) {
$listener.Send($data, $data.Length, $...
Write-Host "$(Get-Date -Format 'HH:mm...
}
} else {
$clients[$clientKey] = @{Endpoint = $clie...
$listener.Send($data, $data.Length, $wslE...
Write-Host "$(Get-Date -Format 'HH:mm:ss'...
}
$cutoff = $now.AddMinutes(-5)
$oldClients = $clients.Keys | Where-Object { ...
foreach ($old in $oldClients) { $clients.Remo...
}
catch [System.Net.Sockets.SocketException] { }
catch { Write-Host "Error: $_" -ForegroundColor R...
}
*注意*: $wslIP はWSL2のIPアドレス。WSL2で hostname -I を...
### ステップ6: メンバー用配布セット作成
各メンバー用にフォルダを作成:
mkdir -p dist/member1 dist/member2 dist/member3
for i in 1 2 3; do
cp windows/nebula.exe dist/member${i}/
cp ca.crt dist/member${i}/
cp member${i}.crt dist/member${i}/host.crt
cp member${i}.key dist/member${i}/host.key
cp windows/config.yml dist/member${i}/
# wintun.dllのディレクトリ構造を作成
mkdir -p dist/member${i}/dist/windows/wintun/bin/am...
cp windows/dist/windows/wintun/bin/amd64/wintun.dll \
dist/member${i}/dist/windows/wintun/bin/amd64/
done
*重要*: Windows版Nebulaはwintun.dllが必要。Nebulaは特定の...
member1/
├── nebula.exe
├── config.yml
├── ca.crt
├── host.crt
├── host.key
└── dist/
└── windows/
└── wintun/
└── bin/
└── amd64/
└── wintun.dll
wintunはNebulaのWindows版リリースに同梱されている。
配布用にzip化(PowerShellで):
cd dist
Compress-Archive -Path member1 -DestinationPath nebul...
Compress-Archive -Path member2 -DestinationPath nebul...
Compress-Archive -Path member3 -DestinationPath nebul...
Google DriveやSlack等で各メンバーに配布する。
### ステップ7: サーバー側の起動(起動順序が重要)
**1. WSL2でLighthouseを起動**
cd ~/nebula
sudo ./nebula -config config-lighthouse.yml
正常起動時のログ:
level=info msg="Nebula interface is active" interface...
**2. Windows側でUDPリレーを起動**
*別のターミナル*で、管理者権限のPowerShellを開いて:
cd C:\nebula
Set-ExecutionPolicy -Scope Process Bypass
.\udp-relay.ps1
表示例:
=== Nebula UDP Relay ===
Listening on 0.0.0.0:4242
Forwarding to 172.31.58.140:4242
### ステップ8: ローカルテストで動作確認
メンバーに配布する前に、サーバーPC上でローカルテストを行...
ローカルテスト用設定ファイル C:\nebula\config-local-test....
pki:
ca: ca.crt
cert: host.crt
key: host.key
static_host_map:
# ローカルテストはWSL2に直接接続
"192.168.100.1": ["172.31.58.140:4242"]
lighthouse:
am_lighthouse: false
interval: 60
hosts:
- "192.168.100.1"
listen:
host: 0.0.0.0
port: 4243 # Lighthouseと競合しないよう別ポート
punchy:
punch: true
respond: true
tun:
dev: nebula_test
mtu: 1300
logging:
level: info
format: text
firewall:
outbound:
- port: any
proto: any
host: any
inbound:
- port: any
proto: any
host: any
member1の証明書をC:\nebulaにコピー:
copy dist\member1\host.crt C:\nebula\
copy dist\member1\host.key C:\nebula\
copy dist\member1\ca.crt C:\nebula\
*重要: UDPリレーを停止(Ctrl+C)してから*テストを実行する...
管理者権限のPowerShellで:
cd C:\nebula
.\nebula.exe -config config-local-test.yml
正常接続時のログ:
level=info msg="Handshake message received" certName=...
level=info msg="Nebula interface is active" networks=...
別のコマンドプロンプトで確認:
ping 192.168.100.1
curl http://192.168.100.1:3000
ブラウザで http://192.168.100.1:3000 を開き、Forgejoが表...
*テスト完了後*: テスト用Nebulaを停止(Ctrl+C)し、*UDPリ...
### ステップ9: メンバーPCでの起動
メンバーは配布されたzipファイルを展開し、管理者権限のコマ...
cd C:\nebula\member1
nebula.exe -config config.yml
正常接続時のログ:
level=info msg="Handshake message received" certName=...
level=info msg="Nebula interface is active" networks=...
### ステップ10: 接続確認
メンバーPCから:
ping 192.168.100.1
ブラウザで http://192.168.100.1:3000 を開き、Forgejoが表...
### 検証結果
|~テスト項目|~結果|
|---|---|
|WSL2でLighthouse起動|OK|
|UDPリレー起動|OK|
|ローカルテスト(同一PC)|OK|
|メンバーからのHandshake|OK|
|ping 192.168.100.1|OK (TTL=64, <1ms)|
|Forgejo Web UI (http://192.168.100.1:3000)|OK|
|git clone via SSH (port 2222)|OK|
## メンバー向けクイックスタート
配布されたzipファイルを受け取ったメンバー向けの手順:
1. zipファイルを C:\nebula に展開
1. *管理者権限*でコマンドプロンプトを開く
1. 以下を実行:
cd C:\nebula\member1
nebula.exe -config config.yml
1. 「Handshake message received」と表示されれば接続成功
1. ブラウザで http://192.168.100.1:3000 を開く
1. Forgejoが表示されれば完了
## ハマりポイントと対処法
### wintun.dll not found
症状:
Failed to get a tun/tap device" error="can not load t...
Nebulaは特定のパスでwintun.dllを探す。nebula.exeと同じフ...
C:\nebula\dist\windows\wintun\bin\amd64\wintun.dll
### netsh portproxyが効かない
netsh portproxyはTCPのみ対応。NebulaはUDPを使うため、Powe...
また、netsh portproxyをNebulaの仮想インターフェース(192....
### WSL2のIPが変わる
WSL2のIPは再起動で変わることがある。UDPリレーのスクリプト...
起動時に自動取得する場合:
$wslIP = (wsl hostname -I).Trim().Split()[0]
### 管理者権限が必要
Nebulaは仮想ネットワークインターフェースを作成するため、W...
## 運用Tips
### サーバー起動チェックリスト
毎回の起動時に確認すること:
1. WSL2が起動していること
1. WSL2でNebulaが起動していること(sudo ./nebula -config ...
1. Windows側でUDPリレーが起動していること(.\udp-relay.ps...
### 自動起動の設定
WSL2側のNebulaはsystemdサービス化、Windows側のUDPリレーは...
### ファイアウォール
Windows FirewallでUDP 4242の受信を許可する必要がある場合:
netsh advfirewall firewall add rule name="Nebula UDP"...
## 所感
型落ちノートPCの有効活用という軽い気持ちで始めたが、WSL2...
Nebulaは、この問題をオーバーレイネットワークで根本的に解...
証明書管理が大変そうに見えるのがNebulaのとっつきにくさだ...
WSL2でNebulaを動かす場合のUDPリレーは少し面倒だが、一度設...
同じようにWSL2のNAT越えで困っている方は、選択肢のひとつと...
## 補足:もっと本格的に使いたくなったら
Nebulaの作者が設立したDefined Networking社が提供する *Man...
- [Defined Networking(Managed Nebula)](https://www.defi...
### 初回のみ管理者権限で動作するようにするには
Nebulaをサービス化すれば解決します。管理者が初回のみ設定...
...
NSSM(Non-Sucking Service Manager) を使う方法が簡単...
...
メンバー向けセットアップ(管理者が初回のみ実行) ...
...
1. NSSMをダウンロード: https://nssm.cc/download ...
2. 管理者cmdで: ...
nssm install NebulaMember C:\nebula\member1\nebula.e...
nssm set NebulaMember Start SERVICE_AUTO_START ...
nssm start NebulaMember ...
...
これでPC起動時に自動でNebulaが起動し、メンバーは何も...
## 参考リンク
- [Nebula公式ドキュメント](https://nebula.defined.net/doc...
- [GitHub: slackhq/nebula](https://github.com/slackhq/neb...
- [Introducing Nebula(Slack Engineering Blog)](https://...
- [Wintun(Windows TUN driver)](https://www.wintun.net/)
ページ名:
