Aller au contenu principal
NUKOE

VPN domestique avec WireGuard sur Raspberry Pi : guide complet

• 8 min •
Un Raspberry Pi configuré en serveur VPN WireGuard, prêt à sécuriser vos connexions.

移動中、ホテルやコワーキングスペースのWi-Fiに接続していると、特定のサイトがブロックされていたり、さらに悪いことにトラフィックが傍受される可能性があることに気づくでしょう。解決策は?自宅のRaspberry Piでホストする、WireGuardプロトコルを使用した個人用VPNです。商用VPNサービスとは異なり、データと設定を完全に制御できます。そして何より、思っているよりずっと簡単にセットアップできます。

なぜ有料サービスではなく個人VPNなのか?

商用VPNは匿名性と地理的制限の解除を約束しますが、2つの大きな欠点があります。すべてのトラフィックを監視できることと、厳格なファイアウォールでしばしばブロックされることです。自宅のRaspberry Piに独自のVPNサーバーを構築すれば、自宅のローカルネットワークにいるかのように暗号化された接続を利用できます。Jeff Geerlingのブログ記事でも指摘されているように、これにより、機密性の高いポートを公開することなく、外部からNASや編集サーバー、その他のローカルサービスにアクセスできます。さらに、WireGuardベースのこの種の個人VPNは、単一のUDPポートを使用し、HTTPSトラフィックに偽装することもできるため、ブロックがはるかに困難です。

必要なハードウェアと準備

始めるには、以下が必要です:

  • Raspberry Pi(3B+以上、Pi 4または5が推奨)
  • microSDカード(16GBで十分)
  • 安定した電源
  • できれば有線インターネット接続(Wi-Fiでも動作しますが、Ethernetの方が信頼性が高い)
  • ドメイン名またはパブリックIPアドレス(できれば固定、動的の場合はDDNS)

SDカードにRaspberry Pi OS Lite(GUIなし)をインストールし、SSHを有効にして接続します。`sudo apt update && sudo apt upgrade -y`でシステムを更新します。

PiVPNのインストール:すべてを簡素化するツール

WireGuardを手動で設定する代わりに、PiVPNを使用します。これはサーバーの作成とクライアント設定ファイルの生成を自動化するインストールスクリプトです。利点は?ファイアウォールルール、ルーティング、さらにはDDNSサービスを介した動的IPアドレスとの統合も処理します。Level1techsフォーラムでは、VPNがインターネットにアクセスできる一方で、必要に応じてローカルネットワークへのアクセスを制限するために、iptablesを適切に設定することの重要性が強調されています。

次のコマンドを実行します:`curl -L https://install.pivpn.io | bash`

画面の指示に従います:プロトコルとしてWireGuardを選択し、ネットワークインターフェース(できればeth0)を選択し、ポート(デフォルトの51820で問題ありません)を設定し、DNS(例:1.1.1.1またはISPのDNS)を構成します。インストールが完了したら、`pivpn add`でクライアントプロファイルを生成し、`.conf`ファイルをエクスポートします。

ルーターの設定:重要なステップ

VPNを外部からアクセス可能にするには、ルーターでUDPポート51820を開き、Raspberry PiのローカルIPアドレスに転送する必要があります。このステップはしばしば最も難しい部分です。ルーターごとにインターフェースが異なるためです。お使いの機器のドキュメントを参照するか、ローカルネットワークを信頼する場合はUPnPを使用してください。この転送がないと、着信トラフィックはVPNサーバーに到達できません。

> 注意すべき落とし穴:ISPがCGNAT(共有IPアドレス)を使用している場合、直接ポートを開くことはできません。その場合、安価なVPSをリレーとして使用するか、トンネリングサービス(内部でWireGuardを使用するTailscaleなど)を利用してください。

どこからでも接続

プロファイルをエクスポートしたら、スマートフォン、タブレット、ノートパソコンにWireGuardアプリをインストールします。`.conf`ファイルをインポートし、接続を有効にします。これで、自宅のネットワークにいるかのようにアクセスできるはずです。Redditユーザーは、商用VPNがしばしばブロックされる大学などの非常に制限の厳しい環境でも、この方法が機能することを確認しています。軽量で高速なWireGuardプロトコルは、ほぼ瞬時の接続を可能にします。

自宅VPNの神話と現実

神話:非IT専門家には複雑すぎる。

現実:PiVPNを使えば、インストールは約20分で完了します。最も難しいのはルーターの設定ですが、一度設定すれば、すべてが介入なしで動作します。

神話:Raspberry PiはVPNサーバーとして十分な性能がない。

現実:WireGuardは非常に軽量です。Pi 3でも複数の同時接続を遅延なく処理できます。Pi 4または5はギガビット近くの速度を達成でき、個人使用には十分です。

神話:個人VPNは商用サービスよりも安全性が低い。

現実:WireGuardは最先端の暗号化(Curve25519、ChaCha20、Poly1305)を提供します。主なリスクは自身の設定に起因します。ポートを不必要に公開しない、強力なキーを使用する、システムを定期的に更新するなどです。

トラブルシューティングと高度なヒント

  • 接続の問題:`canyouseeme.org`などのツールでポートが正しく開いているか確認します。PiのファイアウォールがWireGuardトラフィックを許可しているかもテストします。
  • ローカルネットワークへのアクセス:デフォルトでは、PiVPNはローカルサブネットへのアクセスを許可します。VPNクライアントをLANの他の部分から分離したい場合は、Level1techsフォーラムで議論されているようにiptablesルールを変更します。
  • 複数クライアント:`pivpn add`でデバイスごとにプロファイルを生成します。各クライアントは独自の秘密鍵を持ち、個別にアクセスを無効化できます。
  • パフォーマンス:Piにはイーサネットケーブルを使用し、サーバーではWi-Fiを避けます。クライアント側ではWi-Fiでも問題ありません。

追加のセキュリティ対策

セキュリティを強化するには、以下を実行できます:

  • PiへのSSHアクセスを外部から無効にする(リモート管理にはVPNのみを使用)
  • `ufw`または`iptables`でファイアウォールを設定し、着信接続をWireGuardポートのみに制限する
  • `unattended-upgrades`で自動更新を有効にする
  • VPNの背後でWebサービスを公開する場合は、Nginxなどのリバースプロキシを使用する

固定接続がない場合?

自宅にパブリックIPアドレスがない場合(CGNAT)、2つのオプションがあります:

  1. VPSを使用する:ホスティングプロバイダー(DigitalOcean、Linode)からサーバーをレンタルし、そこにWireGuardをインストールします。固定IPが得られますが、トラフィックは第三者を経由します。Algoなどのスクリプト(GL.iNetフォーラムで言及)がこのインストールを自動化します。
  2. Tailscaleを使用する:個人使用では無料のこのサービスは、ポートを開く必要なくWireGuardベースのメッシュネットワークを作成します。これは自宅VPNと商用サービスの間の中間的なソリューションです。

個人VPNの未来

ネットワーク制限(検閲、地理的ブロック、企業や大学でのフィルタリング)の増加に伴い、個人VPNはモバイルワーカーやプライバシーを重視する個人にとって不可欠なツールになりつつあります。WireGuardはLinuxカーネルに統合され、VPN接続の事実上の標準になることが期待されています。そしてPiVPNのようなプロジェクトのおかげで、その普及が進んでいます。

さあ、インターネットアクセスの制御を取り戻す準備はできましたか?設定にかかる時間はわずかですが、得られる自由は計り知れません。

さらに詳しく