「セルフホスト型VPN」は、3種類の読者にとって3つの異なる意味を持ちます。そして多くのまとめ記事は、それらを一つのものとして扱ってしまうために失敗します。プライバシーを重視し、商用VPNサービスを自分専用の出口ノードで置き換えたいユーザーが解決しようとしている問題は、ホームラボをAWSに接続する4人のエンジニアリングチームの問題とは異なります。ツールは重なり合いますが、ある用途に最適なツールが別の用途にも最適であることはめったにありません。
本ガイドはこの区分を軸に構成しています。3つのユースケース、3つの主要な推奨ツール、そしてそれぞれに伴う正直なトレードオフです。ここではセットアップ手順は扱いません。あなたの用途に最適なツールが特定できた時点で、詳細なセットアップガイドへのリンクを示します。
短いバージョン
- 自分専用の出口ノードとして個人のプライバシーを確保するなら、Five Eyes圏外の法域にある小規模なVPSにWireGuardをデプロイしましょう。Web UIが欲しければWireGuard Easyを追加します。OpenVPNはネットワークがUDPをブロックしている場合に限ります。
- ノートPC、ホームラボ、クラウドVPCを接続するチーム向けメッシュには、ほとんどのチームにとってTailscaleが現実的な答えです。コントロールプレーンを自分で保有することが脅威モデルの一部である場合に限り、HeadscaleまたはNetmakerを運用しましょう。
- 制限の厳しいインターネット環境にいるユーザーには、現時点でHiddify Managerが最良の答えです。WireGuardとOpenVPNは、単体ではDPI(ディープパケットインスペクション)を切り抜けられません。
- 1 vCPU、512 MBのVPSは、個人用WireGuardサーバーを余裕を持って処理できます。ボトルネックはコンピューティングではなく帯域幅です。
VPNのセルフホストが本当に意味を持つとき
商用VPNは数千の共有出口IPとメンテナンス不要を提供します。セルフホスト型VPNが提供するのは、ちょうど1つのIP、1つのロケーション、そしてそのサーバーに対する全責任です。よく一緒くたに宣伝されますが、これらは異なる製品です。
次のいずれかに当てはまる場合、セルフホストが正しい選択です。
- 暗号化されていないトラフィックを見ることができる関係者の数を最小限に抑えたい場合。商用VPNではプロバイダーがそれを見ることができます。セルフホスト型VPNでは、あなただけが見ることができます。
- 特定の法域が必要な場合。GDPRの適用範囲のためにフランクフルト。地域制限のあるオーストラリアのサービスをテストするためにシドニー。より強力なデータ保護法のためにスイス(在庫があれば)。商用プロバイダーはこれを曖昧にしますが、セルフホストはこれを明確にします。
- 個人のブラウジングをルーティングするだけでなく、チームのインフラを接続している場合。
- 商用VPN自体がブロックされている検閲環境にいる場合。
ストリーミングのためにIPの多様性を最大化したい場合、Linuxサーバーを維持したくない場合、または脅威モデルが純粋に「自分のISPに閲覧データを売らせない」というものである場合、セルフホストは誤った選択です。3つ目のケースでは、暗号化されたDNSと既存のブラウザでほとんどの目的を達成できます。
セルフホスト型VPNに関する多くの率直な議論で浮上するため、早めに挙げておく価値のある制限が1つあります。WireGuardは設計上、 最後に確認したIPアドレスを保持します すべてのピアについて、カーネルの状態に。商用VPNプロバイダーは「ノーログ」を主張できますが、それを検証する手段はありません。セルフホストするユーザーはそれを検証でき、検証結果は、カーネルが実際に今朝あなたのスマートフォンが接続してきたIPを把握していることを教えてくれます。緩和策はこれを無視することではありません。鍵をローテーションし、スケジュールに従ってカーネルの状態を削除し、トレードオフを受け入れることです。
ユースケース1: 個人プライバシー用の出口ノード
結論: Five Eyes圏外の法域にある小規模VPS上のWireGuard。コマンドラインなしでWeb UIが欲しいならWireGuard Easy。OpenVPNは接続元のネットワークでUDPがブロックされている場合に限ります。
WireGuard: 標準的な選択肢
プライバシー用の出口ノードというユースケースには、WireGuardが正しい答えです。
このプロトコルは鍵交換にNoiseフレームワークを使用し、1回のラウンドトリップでハンドシェイクを完了します。OpenVPNはTLSを使用するため、複数のラウンドトリップが必要となり、その過程でより多くのメタデータを露出させます。WireGuardのレイテンシのオーバーヘッドは通常、 1〜3ミリ秒 で、基盤となる接続に上乗せされます。OpenVPNは同等の条件下で、 20〜30パーセント のレイテンシオーバーヘッドを追加します。
スループットの数値は、査読済みの2025年のベンチマークによるものです。出典は MDPIの Computers 誌。同一のTCPトンネル経由のVM条件下で、WireGuardで約210 Mbps、OpenVPNで110 Mbpsでした。カーネルモジュールを有効にしたベアメタルハードウェアでは、純粋なWireGuardはギガビット級のハードウェアで約8 Gbpsを出します。そこでの限界はプロトコルではなくネットワークカードです。
コードベースは約4,000行です。OpenVPNのものはその何倍も大きくなっています。小さなコードベースはそれ自体がセキュリティではありませんが、監査を実用的なものにします。WireGuardは監査を受けており、5.6でメインラインのLinuxカーネルに組み込まれ、ほとんどのディストリビューションでデフォルトになっています。
設定は12行のテキストファイルです。これ以上複雑にする理由はありません。完全なセットアップ手順は 当社ブログに記載しており、パッケージのインストール、鍵の生成、ピア設定、ファイアウォールのルールを扱っています。
安価でシンプルなVPSは、個人用WireGuardサーバーを帯域幅に余裕を持って処理できます。ボトルネックはサーバーではなく、ご自宅のインターネット接続になります。ほとんどの読者にとって、安価なVPSはWireGuard環境を運用するのに十分すぎるほどです。
プロのヒント: WireGuardは各ピアの最後に確認したIPアドレスをカーネルの状態に記録します。真にログを残さないプライバシーのためには、これを受け入れて鍵をローテーションするか、スケジュールに従ってカーネルの状態を削除しましょう。この制限が存在しないふりをしてはいけません。Proton VPNのWireGuardプライバシーに関する技術ノートは、自社の運用においてこれを認めています。
Web UI付きのWireGuard
コマンドラインからピアを管理するのが好みでないなら、知っておく価値のある2つのラッパーがあります。
WireGuard EasyはWeb管理パネルを公開するDockerコンテナです。ピアの設定を生成し、モバイルクライアント用のQRコードを表示し、すべてを単一の設定ボリュームに保存します。セットアップは素早く済みます。個人利用や小規模な家庭での利用に適しています。
WGDashboardはより重い代替手段です。より多くのピアをサポートし、より多くの管理機能を備え、セットアップにより多くの時間がかかります。20以上のピアを管理しているなら価値がありますが、そうでなければWireGuard Easyで十分です。
OpenVPNが今なお出番を持つとき
OpenVPNは時代遅れではありません。2つの特定のシナリオで生き残っています。
1つ目は、UDPをブロックする制限的なネットワークです。WireGuardは設計上、UDP上でのみ動作します。企業ネットワーク、ホテルのWiFi、一部のモバイルキャリアは、DNSを除くすべてのUDPトラフィックをブロックします。OpenVPNはport 443上のTCPで動作でき、これにより多くの制限的なファイアウォールを通過しやすくなります。UDPで妨害してくるネットワークから日常的に接続するなら、OpenVPNが代替手段です。
2つ目は、幅広いレガシークライアントのサポートです。OpenVPNクライアントは、WireGuardが対象としていないプラットフォームを含め、過去15年間に稼働してきたあらゆるオペレーティングシステム向けに存在します。利用者層に古いスマートフォンや機器が含まれる場合、OpenVPNの互換性のほうが広範です。
OpenVPN Access Serverはプロトコルの上にWeb管理UIを追加し、2つの同時接続まで無料です。2接続を超えると、ライセンスはユーザー単位になります。Pritunlは3つ目の選択肢で、OpenVPNとWireGuardの両方に対して、ユーザー単位のライセンスなしで同等の管理ダッシュボードを追加します。個人利用には、OpenVPN ASの無料枠で十分です。Tailscaleを見送った小規模チームには、Pritunlのほうがすっきりした選択肢です。純粋なOpenVPNの完全なインストール手順は、 VPSへのOpenVPNのインストール.
ロケーションの選び方
この規模では、スループットよりも法域のほうが重要です。セルフホストする理由の一部が、情報共有の取り決めへの露出を減らすことであるなら、関連するグループはFive Eyes同盟(US、UK、Canada、Australia、New Zealand)とその拡張パートナーです。フランクフルトとアムステルダムは、ヨーロッパにおける一般的なFive Eyes圏外の選択肢です。トラフィックが中東地域にあるなら、ドバイは興味深い選択肢です。スイスとシンガポールはより強力なデータ保護の枠組みを持っていますが、小規模なプロバイダーでは在庫切れであることが多いです。
WireGuardがあなたのニーズに合うなら、当社の ワンクリックWireGuard VPS なら、セットアップの手間を省いて数分でインストールできます。
ユースケース2: チーム向けメッシュネットワーク
結論: ほとんどのチームにはTailscale。コントロールプレーンを自分で保有する必要があるならHeadscaleまたはNetmaker。純粋なWireGuardメッシュは、ノードが10未満で、かつ忍耐力がある場合に限ります。
3人のリモートエンジニア、1つのホームラボ、AWS上のステージングサーバー、そしてコロケーションラックにあるデータベースVM。これら5台のマシンは、公開ポートを露出せずに互いに通信する必要があります。どれも安定した公開IPを持っていません。そのうち2台はCarrier-Grade NATの背後にあります。
これは、WireGuardメッシュが大規模に優雅に解決するようには設計されていない問題です。
純粋なWireGuardメッシュが大規模で破綻する理由
メッシュでは、すべてのピアが他のすべてのピアを把握している必要があります。WireGuardの設定形式はこれを直接反映しています。各ピアは、通信するノードごとに[Peer]セクションを持ちます。5ノードであれば、各設定ファイルには4つの[Peer]ブロックがあり、メッシュ全体で維持すべき設定の総数はN×(N-1)÷2となります。
5ノードなら接続ペアは10個です。10ノードなら45個。20ノードなら190個。増加は二次関数的です。20ノードのメッシュに1つのノードを追加するには、20個の設定ファイルを更新し、20個のデーモンを再起動する必要があります。鍵を削除する場合も同様です。
これを自動化するために、wg-meshconfやNetmakerといったツールが存在します。
Tailscale: ほとんどのチームへの率直な推奨
Tailscaleは、ほとんどのチームにとって本当に十分な性能を備えています。コントロールプレーンはTailscaleがホストし、データプレーンは直接のピアツーピアで、無料枠は100デバイスをカバーします。セットアップは5分未満です。NATトラバーサルは、設定なしでほとんどのネットワーク環境で機能します。ACLは一元管理されます。
率直な注意点: コントロールプレーンはサードパーティへの依存です。Tailscaleは、あなたのデバイスを接続するWireGuardの鍵を配布します。Tailscaleの調整サーバーが侵害された場合、攻撃者は原理的にメッシュに自分自身を割り込ませることができます。Tailscaleはこれを認める詳細な脅威モデルのドキュメントを公開しており、tailnetロックとノード認証を用いてこれに対して防御を固めています。ほとんどのチームにとって、この依存は許容できます。脅威モデルに国家レベルの攻撃者や、調整メタデータに関する厳格な規制要件が含まれるチームにとっては、許容できません。
Tailscaleのデータプレーンは、可能な場合は同社のサーバーを経由しません。直接のピアツーピアが失敗すると、トラフィックはTailscaleのDERPリレーサーバーにフォールバックしますが、これは約5 Mbpsに帯域制限されています。NATの問題のために2つのノードが常にDERP経由になってしまう場合、このリレーの帯域制限がボトルネックになります。
プロのヒント: ご自宅のISPがCarrier-Grade NATを使用している場合、自宅で着信接続を受け入れることはできません。TailscaleとHeadscaleは、ホールパンチングとDERPフォールバックによってこれを自動的に処理します。純粋なWireGuardでは、リレーとして公開到達可能なVPSが必要で、自宅のノードは外向きの接続を開始するクライアントとして動作します。
Headscale: コントロールプレーンを自分で保有する必要があるとき
Headscaleは、Tailscaleの調整サーバーをオープンソースで再実装したものです。Tailscaleの公式クライアントは、Tailscaleがホストするサーバーの代わりにHeadscaleに接続し、ユーザーから見た使い勝手は似ています。しかし、1つの重要なトレードオフがあります。コントロールプレーンを自分で運用するということは、稼働時間、アップグレード、セキュリティパッチがあなたの責任になるということです。
Headscaleには、Tailscaleの洗練さの一部が欠けています。ACLの設定はWeb UIではなくYAMLとCLIです。ホスト版では公式クライアントが黙って処理しているMagicDNSのエッジケースが、時折表面化します。プロジェクトはよく保守されており、それを必要とする組織で本番運用されています。脅威モデルやコンプライアンス上の体制がセルフホストの調整を必要とするチームに適しています。
Headscaleのメンテナンスは継続的な作業です。それを手放したいなら、 Linux VPS 99.95%の稼働率SLAと24時間365日のサポートが付いており、オンコールの負担なしにコントローラーのワークロードを処理します。コントローラー自体は調整のみを扱うため軽量です。実際のメッシュトラフィックはピアツーピアです。
Netmaker
Netmakerは、Tailscaleを再実装するのではなく、WireGuardの上で動作する代替の調整レイヤーです。アーキテクチャ上の違いには意味があります。直接のピアツーピアが失敗した場合、NetmakerはTailscaleのDERPが課す5 Mbpsの帯域制限なしに、セルフホストのリレーノードを経由してルーティングできます。NATの失敗をまたいで一貫したスループットを必要とするチーム向けメッシュにとって、これは重要です。
Netmakerの開発者体験は、Tailscaleよりも荒削りです。コミュニティ版は単一のVPSで動作し、ほとんどの小規模チームが持つユースケースをサポートします。Netmakerの商用版はエンタープライズ機能を追加しますが、本稿の対象外です。
当社の ワンクリックNetmaker VPS なら、高速なインフラ上に素早くインストールできます。
ユースケース3: 検閲の回避
結論: 能動的な検閲環境にはHiddify Manager。よりシンプルな地域にはOutline。WireGuardとOpenVPNはDPI(ディープパケットインスペクション)を切り抜けられません。これらを検閲対策ツールとしてデプロイしてはいけません。
WireGuardのトラフィックは、そのUDPパケット構造によって識別可能なため、ブロックされ得ます。問題はWireGuardの暗号化が弱いことではありません。暗号化は問題ありません。問題は、暗号化されたパケットがVPNのように見えることであり、現代の検閲はペイロードの内容だけでなく、パケットの形状、タイミング、プロトコルのフィンガープリントを検査します。
唯一の検閲対策ツールとしてのセルフホスト型VPNは、能動的なDPI(ディープパケットインスペクション)のあるあらゆる環境で失敗します。正しいアプローチは、別のカテゴリのツールです。すなわち、検閲者が実在のウェブサイトへの本物のHTTPSトラフィックと区別できないほどに、通常のウェブ閲覧を巧みに模倣するトラフィックです。
このカテゴリは、本ガイドの他の部分よりも速く陳腐化します。検閲者は適応します。プロトコルはブロックされます。REALITYやHysteria2のような新しい難読化手法は過去2年以内に登場し、次の2年でさらに多くが登場するでしょう。難読化のレベルを検閲環境に合わせるという選択の論理は長く通用します。今日あなたの国で機能する特定のツールが、6か月後には機能しないかもしれません。 HiddifyのGitHubリポジトリとissueトラッカー は、デプロイ前に現在の状況を確認する場所です。
Hiddify Manager: 現時点での最良の答え
Hiddify Managerはメタツールです。それ自体は単一のVPNプロトコルではありません。単一のVPS上で20を超える基盤となる検閲対策プロトコルをデプロイ、管理、ローテーションする管理レイヤーです。2026年2月のHiddify v12リリースは、以下をサポートします。
- Reality(VLESS上のXTLS)
- Hysteria2
- TLSバリアントを伴うShadowsocks-2022
- WS、gRPC、H2トランスポートを伴うV2RayおよびXray
- フォールバック用のWireGuard
Web管理パネルは、ユーザー管理、トラフィック制限、ユーザー単位のプロトコルルーティングを処理します。
プロトコルのローテーション機能が、実際に重要な部分です。あるプロトコルが特定の国で機能しなくなり始めたとき、管理者はサーバーを再デプロイすることなくユーザーを別のプロトコルに切り替えます。これがHiddifyと単一プロトコルのスタックとの運用上の違いです。
デプロイ前に理解しておく価値のあるプロトコルに関する注意点が2つあります。Realityは、TLSフィンガープリント回避における現時点での最先端です。実在の公開ウェブサイト(運用者が選択し、通常はcloudflare.comのようなトラフィックの多いサイト)への本物のHTTPS接続を模倣し、ハンドシェイクを検査する検閲者には、そのサイトへの通常の接続のように見えます。Hysteria2は、組み込みの難読化を備えたUDPベースのプロトコルで、損失の多いネットワークで良好に動作します。ネットワークが不安定なときにはTCPベースの代替手段よりも高速であり、これは制限環境における大半の消費者向け接続に当てはまります。
Cloudzyのマーケットプレイスでは、同じLinux VPSインフラ上でワンクリックのHiddifyイメージも提供しており、数分でデプロイできます。
このユースケースのロケーション選択は、プライバシーのユースケースとは異なります。検出の厳しい地域のユーザーにサービスを提供する場合は、USや主要なEUの出口ポイントを避けましょう。良い選択肢としては、広範な地理的カバレッジを提供するドバイ、フランクフルト、アムステルダム、シンガポールがあります。
V2Ray、Xray、Shadowsocks: 下層のレイヤー
V2Ray とそのフォークであるXrayは、Hiddifyがラップしているプロトコルファミリーです。Hiddifyが抽象化しすぎていると感じ、手動の設定で単一のプロトコルをデプロイしたいなら、V2RayまたはXrayを直接使う道があります。トレードオフは運用面です。デーモン、TLS証明書、難読化の設定、そして障害モードを、すべて自分一人で管理することになります。ほとんどの読者にとっては、Hiddifyのほうが適しています。
Shadowsocks はより古いものです。元のプロトコルは今でも多くの環境で機能しますが、現代のDPIによってますます検出されるようになっています。Shadowsocks-2022はストリーム暗号のアップグレードを追加し、いくつかの種類の検出を防ぎますが、それだけではプロトコルフィンガープリンティング攻撃には対処できません。Hiddifyのデプロイにおける1つの選択肢としては妥当ですが、2026年において単独のツールとしてはあまり妥当ではありません。
Outline: よりシンプルな地域
OutlineはJigsawによるShadowsocksのラッパーで、使いやすい管理UIを備えています。2026年には独立したプロジェクトとしてOutline Foundationに移行しました。Outlineは、検閲がそれほど強硬でなく、シンプルなShadowsocks級の難読化が今でも機能し、デプロイする人が技術者でなくパッケージ化された体験を求めている環境のユーザーにとって、妥当な選択肢です。Hiddifyはほとんどの環境でより広い範囲をカバーします。
横並びの比較
| ツール | 向いている用途 | セットアップ | スループット | ファイアウォールの通過 | 最小VPS要件 | 信頼モデル |
|---|---|---|---|---|---|---|
| WireGuard | 個人用の出口ノード | 低 | トンネル経由で約210 Mbps、カーネルのベアメタルで約8 Gbps | UDPのみ。一部のネットワークでブロックされる | 12 MB RAM | セルフホスト。すべての鍵を自分で管理 |
| WireGuard Easy | 個人用、Web UI重視 | 低 | WireGuardと同じ | UDPのみ | 512 MB RAM | セルフホスト |
| OpenVPN AS | UDPがブロックされたネットワーク | 中 | トンネル経由で約110 Mbps | TCP 443はHTTPSのように見える | 1 GB RAM | セルフホスト。2接続まで無料 |
| Pritunl | 小規模チーム向けOpenVPN/WGダッシュボード | 中 | 基盤プロトコルと同等 | UDPまたはTCP | 2 GB RAM | セルフホスト。ユーザー単位の料金なし |
| Tailscale | ほとんどのチーム | 非常に低い | 直接P2Pでほぼ回線速度。DERPは5 Mbpsに帯域制限 | NATトラバーサルは自動 | 不要(ホスト型コントロールプレーン) | ホスト型コントロールプレーン |
| Headscale | セルフホストのコントロールプレーンが必要なチーム | 中 | Tailscaleと同じ | NATトラバーサルは自動 | 1 GB RAM | 完全にセルフホスト |
| Netmaker | チーム向けメッシュ、DERPの帯域制限なし | 中 | WireGuard級のスループット | セルフホストのリレー経由のNATトラバーサル | 1 GB RAM | 完全にセルフホスト |
| Hiddify Manager | 検閲対策、制限の厳しい地域 | 中(Web UI) | プロトコル依存 | REALITY、Hysteria2などによるDPI回避 | 1 GB RAM | セルフホスト |
まずユースケースを選ぶ
意思決定は、ツールの上流にあります。
- WireGuardをデプロイ するのは、ユースケースが自分専用の出口ノードとしての個人のプライバシーである場合です。
- Tailscaleを使う のは、ユースケースがチームのマシンの接続である場合です。ただし、コントロールプレーンを自分で保有することが脅威モデルの一部である場合を除き、その場合はHeadscaleまたはNetmakerを選びましょう。
これらのツールは互換性がありません。あるツールを別のユースケースに使ったときの失敗は現実のものです。
どの道を選んでも、デプロイとメンテナンスの難しい部分は依然として残ります。Cloudzyのマーケットプレイスには、上記で扱ったすべてのツールのワンクリックデプロイがあります。難しいのは、ツールを脅威モデルに合わせることです。その部分は、どんなデプロイボタンよりも上流にあります。
よくある質問
セルフホスト型VPNには、WireGuardとOpenVPNのどちらを使うべきですか?
ほぼすべてのケースでWireGuardです。高速で、レイテンシが低く、Linuxカーネルに同梱されており、設定がはるかにシンプルです。OpenVPNを使うのは、UDPをブロックするファイアウォール(TCP port 443で設定)を通過する必要がある場合や、WireGuardがまだ対象としていない幅広いレガシークライアントのサポートが必要な場合に限ります。
Tailscaleは本当にセルフホストなのですか?
いいえ。Tailscaleのデータプレーンはピアツーピアですが、コントロールプレーン(鍵の配布、アイデンティティの調整)はTailscaleがホストしています。多くのチームにとって、Tailscaleのホスト型コントロールプレーンは許容できます。問題は、あなたの脅威モデルがそれを受け入れ可能な依存として扱うかどうかです。
セルフホスト型VPNを運用するための最小のVPSサイズはどれくらいですか?
512 MB of RAM and one virtual CPU is enough for personal WireGuard or OpenVPN. For team mesh controllers like Headscale or Netmaker, 1 GB of RAM is comfortable. For anti-censorship multi-user setups like Hiddify, 1 to 2 GB of RAM handles a small group of users. None of these workloads need a CPU-optimised plan.
自宅のISPがCGNATを使用している場合でも、WireGuardを運用できますか?
外部から接続を開始するサーバーとしては、運用できません。Carrier-Grade NATは、自宅のIPへの着信接続を完全に妨げます。これを回避する2つの道があります。公開到達可能なリレーとして小規模なVPSを借り、自宅のデバイスがそこへ外向きに接続する方法。あるいは、ホールパンチングによってNATトラバーサルを自動的に処理するTailscaleまたはHeadscaleを使う方法です。どちらも機能します。VPSのアプローチでは安定したIPが得られ、Tailscaleのアプローチではメッシュが得られます。