スマホ2台、ラップトップ2台、スマートTV、ゲーム機、スマートスピーカーがある家庭は、すべてVPNでカバーする必要があるかもしれない7台のデバイスを抱えています。それぞれにVPNクライアントをインストールして維持するのは面倒です。一部のデバイス、特にゲーム機や多くのIoTデバイスは、通常のVPNクライアントをそもそも動かせません。スマートTVのように、特定のプラットフォームでしかVPNアプリに対応しないものもあります。
VPNルーターは、VPNをルーター自体で動かすことでこれを解決します。背後にあるすべてのデバイスは、何もインストールせずにトンネルを引き継ぎます。この用語はいくつかの異なる構成を指します。LANに代わってVPNプロバイダーへ接続するルーター、外部からトンネルインできるVPNサーバーとして動作するルーター、あるいは端から端まで自分で管理するVPS上の自前ゲートウェイです。
短いバージョン
- VPNルーターはルーター上でVPNソフトウェアを動かすため、VPNクライアントを自分では動かせないものを含め、接続されたすべてのデバイスが自動的にトンネルを利用します。
- 異なる問題を解決する2つのモードがあります。クライアントモードは送信トラフィックをVPNプロバイダーまたは自分のサーバーへトンネルし、サーバーモードはリモートデバイスがあなたのLANにトンネルインできるようにします。
- ルーターレベルのVPNには、ほぼすべての場合でWireGuardが適切なプロトコルです。コードベースが小さく、パケットあたりのコストが低く、消費者向けルーターのCPUはOpenVPNよりもWireGuardをうまく処理できます。
- 入手する方法は4つあります。すでにVPNに対応したルーターを使う、所有しているルーターにカスタムファームウェアを書き込む、設定済みのVPNルーターを買う、あるいはハードウェアを一切使わずVPS上でWireGuardを動かす。最後の選択肢は、サーバーの選択肢、管轄の制御を求めている場合や、すでに自前運用している場合に最も有力です。
VPNルーターの実際の仕組み
デバイスがクライアントモードのVPNルーターに接続すると、デバイスは自分がVPN上にあることを知りません。ルーターから通常のDHCPリースを受け取り、宛先へのTCP接続を開き、パケットを送信します。暗号化はルーターが行います。デバイスから見れば普通のLANです。理解しておくべきモードは2つあり、ほとんどの消費者向け「VPNルーター」は最初のものしかうまく行いません。
VPNクライアントモード(送信)
クライアントモードでは、ルーターがVPN認証情報を保持し、背後にあるデバイスに代わってすべての送信トラフィックをトンネルします。データの流れは、デバイス → ルーター → 暗号化トンネル → VPNサーバー → 公開インターネット、です。
LAN上のすべてのデバイスが、自動的に同じトンネルを利用します。ルーターは各パケットを受け取って暗号化し、設定したVPNエンドポイントへ転送します。公開インターネットには、家庭のISPが割り当てたIPではなく、VPNサーバーの出口IPが見えます。これが、人々が「VPNルーター」と言うときに通常意味する構成です。
暗号化はルーターのCPU上で行われます。これが重要な仕組みの細部です。古くて安価な消費者向けルーターは、暗号化アクセラレーションが限られた低クロックのARMやMIPSチップを使っていることがある一方、新しいVPN対応ルーターははるかに高速です。いずれにせよ、ルーターはネットワーク上のすべてのデバイスとの間で行き来するすべてのバイトを暗号化する責任を負うため、ルーターのハードウェアが性能の上限になります。
プロトコルが同じ理由でここで重要になります。WireGuardのパケットあたりのコストはOpenVPNより低く、だからこそ消費者向けルーターでのWireGuard対応は探す価値のある機能です。既存の VPS上でのWireGuardセットアップガイドを参照してください。.
VPNサーバーモード(受信)
サーバーモードでは、ルーター自体がVPNサーバーを動かします。開かれたインターネット上のリモートデバイスがルーターの公開IPへ受信接続し、まるでリビングルームに座っているかのようにLANに到達します。データの流れは、リモートデバイス → 公開IP → ルーターのVPNサーバー → LANのリソース、です。
これは別の問題を解決します。リモートアクセスであって、送信時のプライバシーではありません。カフェのラップトップが自宅のファイルサーバーに到達できます。海外のスマホが自宅のネットワークに到達できます。ルーターがVPNサーバーで、スマホがVPNクライアントです。
サーバーモードには公開ルーティング可能なIPアドレスが必要です。ISPがあなたをCGNATの背後に置いている場合、そして多くの家庭向けISPがそうしているのですが、受信接続するための公開IPが存在せず、追加の工夫なしにはこのモードは機能しません。通常はポートフォワーディングも必要で、これがルーターを所有しファイアウォールを設定できる人に限られる理由です。
2つのモードは相互排他的ではありません。能力のあるルーターは両方を同時に動かせます。しかし用途はまったく異なります。クライアントモードは「家全体をVPNの出口の背後に置きたい」ためのものです。サーバーモードは「外から自宅に到達したい」ためのものです。
ルーターレベルVPNへの4つの道
「VPNルーターを手に入れる」という1つのことがあるわけではありません。道は4つあり、2つの軸に沿って分かれます。ハードウェアとファームウェアをどれだけ自分で制御したいか、そしてトンネルの向こう側に商用プロバイダーを望むか自分のサーバーを望むか、です。正しい道は、その軸のどちらをより重視するかで決まります。
道1。既存のルーターを使う(VPNに対応していれば)
複数の消費者向けルーターベンダーが、いまや純正ファームウェアでWireGuardを含むネイティブのVPNクライアント対応を提供しています。ASUSは最近のファームウェアでWireGuardをネイティブに対応しています。GL.iNETのFlintとBerylシリーズは、WireGuardにそのまま対応しており、 公式チュートリアルに記載されています。.
これは最も安価で、最もリスクの低い道です。ルーターがすでにこのリストに載っていれば、何も書き込まず、何も壊しません。管理パネルにWireGuardの設定を入力すれば、トンネルが立ち上がります。制約は明白なものです。ルーターが望むプロトコルに対応している必要があり、プロトコルの選択肢はベンダーが提供するものに依存します。古いモデルに後からWireGuardが追加されることはありません。
道2。カスタムファームウェアを書き込む(OpenWrt、DD-WRT、FreshTomato)
ルーターが対応リストに載っていない場合は、ファームウェアをオープンソースの代替品の1つに置き換えられます。OpenWrtは3つの中で最も活発に保守されており、対応ハードウェアの幅が最も広いです。DD-WRTも活発で、設計思想が異なり、対応デバイスの数がより多くあります。FreshTomatoは元のTomatoプロジェクトを引き継いでいますが、Broadcomのチップセットに限定され、はるかに小さなコミュニティに向けたものです。
カスタムファームウェアはプロトコルの選択肢を与えます。OpenVPN、WireGuard、IPsec、すべて設定可能です。それらのプロジェクトが提供する他のすべて、より優れたQoS、きめ細かいファイアウォールルール、パッケージ管理も与えます。代償はリスクと時間です。
プロ・ティップ
カスタムファームウェアの書き込みは、間違ったイメージを選んだり、書き込み途中で電源を失ったり、特定のハードウェアリビジョン向けのバグを含むビルドを動かしたりすると、ルーターを永久に壊すことがあります。ファームウェアプロジェクトが明示的に対応しているモデルを選び、デバイス固有のページを読み、保証を無効にしたことを受け入れてください。壊したルーターが唯一のルーターなら、交換品を入手するまでオフラインになる覚悟をしてください。
道3。設定済みのVPNルーターを買う
最も簡単な道です。GL.iNETのようなベンダーは、WireGuardをそのまま内蔵したルーターを販売しています。一部の商用VPNプロバイダーも、自社サービス向けに設定済みのブランド付きルーターを販売しており、つまり差し込んでアカウント認証情報を入力すれば完了です。
トレードオフは価格とロックインです。設定済みルーターは、自分で構築するより1台あたりの価格が高くなります。製品が特定のVPNプロバイダーのブランド付きで届く場合、あなたはそのプロバイダーのプロトコル、出口の国、ログポリシーに縛られます。プロバイダーが規約を変更したり廃業したりしても、ルーターは簡単には新しいサービスに移行できません。
4つ目の道は少し異なります。ルーターハードウェアを買ったり書き込んだりする必要がないからです。それでも、ルーターが上流のVPSを指していればルーターレベルのVPNカバレッジが得られますが、VPNエンドポイント自体はルーター内ではなくサーバー上にあります。
道4。VPSをVPNゲートウェイとして使う
Linux VPS上でWireGuardまたはOpenVPNを動かし、ルーターや個々のデバイスをそのサーバーに向けます。これはハードウェアルーターの購入ではありません。異なるエンドポイント戦略なので、トレードオフは以下の独立したセクションで扱う価値があります。
| 道 | セットアップの複雑さ | 性能の上限 | サーバー切り替え | ハードウェアのリスク | 継続的なコスト | 適した相手 |
|---|---|---|---|---|---|---|
| 既存のルーター | 低い | ルーターのCPUに制限される | 管理パネルを通じて | なし | ISP以外になし | すでに対応ルーターを所有している |
| カスタムファームウェアを書き込む | 高い | ルーターのCPUに制限される | 管理パネルを通じて | 破損のリスク | ISP以外になし | プロトコルの柔軟性を求め、リスクを受け入れられる |
| 設定済みルーター | 最も低い | ルーターのCPUに制限される | ベンダー依存 | なし | ハードウェアのコスト。同梱ならプロバイダーのサブスクリプション | プラグアンドプレイを求め、上乗せ価格を受け入れられる |
| ゲートウェイとしてのVPS | 中から高 | VPSのCPUに制限される(より高い) | 別のリージョンに新しいVPSを立ち上げる | なし | 月額のVPSレンタル料 | 管轄の選択、より高い性能を求める、またはすでに自前運用している |
VPNルーターが意味を持つ場面と、持たない場面
問題は、抽象的にルーターVPNがデバイスVPNより優れているかどうかではありません。あなたの具体的な状況が実際にネットワーク全体のカバレッジを必要としているかどうかです。なぜなら、ルーターにVPNを載せた瞬間、背後にあるすべてのデバイスが同じ暗号化の負担を支払うからです。
ルーターVPNがセットアップコストに見合う使い方
複数デバイスの家庭が最も明確なケースです。4台や5台を超えるデバイスを管理するようになると、それぞれにVPNクライアントをインストールして更新するのは骨の折れる作業です。ルーターレベルのセットアップは一度設定するだけです。
VPN対応が限られている、または不便なデバイスが2つ目のケースです。ゲーム機、ほとんどのIoTデバイス、古いスマートホームハブには、通常のVPNアプリが用意されていないのが普通です。一部のスマートTV、特にAndroid TV / Google TVや新しいApple TVのモデルはVPNアプリを動かせますが、TVのプラットフォームがあなたのプロバイダーに対応していない場合や、1つの一貫したネットワークポリシーを求める場合には、それでもルーターレベルのVPNが役立ちます。
旅行が3つ目のケースです。WireGuard対応の小型トラベルルーターがあれば、ホテルのネットワークが何をしようと、ルーターのWi-Fi経由でホテルの部屋のすべてのデバイス(スマホ、ラップトップ、タブレット)を1つのトンネルでカバーできます。同じ理屈は、トラベルルーター経由でアクセスするVPSゲートウェイにも当てはまります。
小規模オフィスや共有の住空間が4つ目のケースです。ゲートウェイで適用される1つの一貫したネットワークポリシーは、時とともにずれていくデバイスごとの設定の集まりよりも、考えやすいものです。
ルーターVPNが間違った選択になるケース
リージョンロックされたコンテンツ、管轄のテスト、その他の理由でVPNの出口の国を頻繁に切り替えるなら、ルーターレベルのVPNは間違った道具です。スマホで出口を切り替えるのはワンタップです。ルーターで行うには、管理パネルにログインする必要があります。
アプリケーションレベルでのスプリットトンネリング、つまり一部のアプリはVPN経由で、他のアプリは直接という分け方が必要なら、デバイスレベルのVPNアプリがそれをきれいに処理します。ルーターは、どのアプリケーションがどのパケットを生成したかを簡単には判別できません。
ネットワーク上の一部のデバイスはVPNを必要とし、他のデバイスは積極的に使ってはいけない場合、ルーターVPNは全員を同じ出口IPの背後に置きます。銀行アプリはVPNトラフィックを検出します。リージョンロックされたストリーミングサービスは動かなくなります。ルーターでの一律のポリシーは、あらゆる例外に対する一律の回避策を意味します。
デバイスが1台か2台なら、ルーターレベルのレイヤーは、あなたが抱えていない問題を解決していることになります。
How-To Geekはレイテンシの議論を 2023年に展開しました。ネットワーク全体のVPNは、ゲーム、ビデオ通話、リアルタイム会議のようなレイテンシに敏感な作業をしているものを含め、接続されたすべてのデバイスにVPNのレイテンシを課します。それらの作業はその間VPN保護の恩恵を受けません。その議論は正しく、検討に値します。修正策はルーターVPNを捨てることではありません。一部のデバイスをトンネルから外したくなるかもしれない、と認識することです。
多くの商用VPNプロバイダーは、いまだにアカウントあたりの同時接続数を制限していますが、いまや、より多い、あるいは無制限のデバイス数を提供するところもあります。ルーターVPNは依然として役立ちます。プロバイダーは通常、背後に複数のデバイスが並んでいても、ルーターを1つのVPN接続として見るからです。
プロトコルの選択。WireGuard、OpenVPN、その他
プロトコルの選択は、ラップトップよりもルーターで重要です。ルーターのCPUが暗号化を行い、ルーターのCPUは遅いからです。AES-NIを備えた最新のラップトップは、ギガビットでOpenVPNもWireGuardも同等にうまく処理します。消費者向けルーターはそうではありません。
ほぼすべてのシナリオでWireGuardが適切な答えです。コードベースはOpenVPNより劇的に小さく、それが監査とレビューを容易にします。暗号化は現代的です。暗号化にChaCha20、認証にPoly1305、鍵交換にCurve25519。ハンドシェイクは1往復で完了し、OpenVPNのTLSハンドシェイクは数往復かかります。パケットあたりの処理コストは十分に低く、OpenVPNでは苦戦するところを消費者向けルーターのCPUが処理できます。WireGuardはいまやASUS、GL.iNET、そしてほとんどのカスタムファームウェアプロジェクトでネイティブに対応されています。
OpenVPNにもまだ出番があります。成熟しており、幅広く対応され、エンタープライズの認証システムとの統合がより広範です。証明書がすでに発行された既存のOpenVPN環境がある場合や、WireGuardがまだ満たさない特定の互換性要件がある場合、OpenVPNは妥当な選択肢のままです。能力のあるルーター上では問題なく動きます。
L2TP/IPsecは依然として多くのルーターの管理ページに現れますが、主にレガシーの互換性のためです。動くことは動きますが、WireGuardが利用できるとき、新しいルーターレベルのVPNに選ぶプロトコルではありません。PPTPは死んだものとして扱うべきです。既知のセキュリティ問題があり、Microsoftはすでに今後のWindows ServerバージョンからPPTPとL2TPを非推奨にする方向に動いています。
プロ・ティップ
ルーターのCPUが5年より古く、WireGuardのハードウェアアクセラレーションがない場合でも、とにかくWireGuardを動かしてください。アクセラレーションがなくても、通常は同じハードウェア上でアクセラレーション付きのOpenVPNを上回ります。例外はまれで、専用のOpenVPNオフロードを備えた特定のBroadcomチップが関わります。自分のルーターがそうしたエッジケースの1つに当てはまるか確認できないなら、WireGuardを既定にしてください。
オンラインで出回っている性能の主張についての注意です。WireGuard自身の 性能ページ は、公開されたベンチマークを「古く、ぼろぼろで、あまりきちんと実施されていない」と説明しています。これはプロジェクト自身の作者の言葉です。サードパーティのブログで引用されている具体的なスループット比は、たいてい権威ある出典がありません。WireGuardが、特に低性能のハードウェアでOpenVPNを概して上回るという定性的な主張は 十分に裏付けられています。具体的な倍率はそうではありません。
VPNルーターを作るべきか、VPSゲートウェイを使うべきか?
技術的な読者にとって、より明快な比較はエンドポイントの配置です。VPNは自宅のハードウェア上で終端するのか、それともレンタルするサーバー上で動くソフトウェア上で終端するのか。
ハードウェアのVPNルーターには、いくつか具体的な強みがあります。暗号化の境界が、自分が所有する機器に物理的に隔離されます。ISP以外に継続的なレンタルコストはありません。心の中のモデルが単純です。1つの箱、1つの設定、壁につながる1本のケーブル。旅行のシナリオでは、ポケットに入るフォームファクターのハードウェアルーター(たとえばBerylクラスのGL.iNETユニット)は、本当に役立つ品物です。
ゲートウェイとしてのVPSには、異なる強みがあります。まともなVPSは通常、安価な消費者向けルーターよりも予測しやすい演算能力と多くの余裕を与えてくれます。特に複数の出口、より高い上り回線、より多くの同時トンネルが必要なときにそうです。管轄を選べます。VPNの出口はVPSがある場所がどこであれそこになり、移動できます。VPNデーモンとそのアプリケーションレベルのログを制御できます。ただし、基盤となるインフラはホスティングプロバイダーが依然として制御します。別のリージョンに2つ目の出口が欲しければ、別のルーターを買う代わりに10分で別のVPSを立ち上げられます。
個人向けVPNゲートウェイのサイズ設定の妥当な出発点は、1 vCPUと1 GBのRAMです。これは家庭の帯域でWireGuardを動かす5〜10台の同時デバイス接続を処理します。より重い同時暗号化やより高い上り回線には、CPU最適化プランが見合います。暗号化の処理はCPUに依存し、メモリには依存しません。 VPS は VPN に最適 プランのサイズ設定については参照してください。
ISPの上に月額コストをまったく載せたくない場合、すでに能力のあるルーターを所有している場合、または特にトラベルルーターのフォームファクターが必要な場合は、ハードウェアを選びましょう。消費者向けルーターが出せるよりも優れた暗号化性能、出口での管轄の選択を求める場合、またはすでに他のサービスを自前運用していてデーモンを1つ追加してもまったく負担にならない場合は、VPSを選びましょう。制約の多いネットワーク環境では、VPSの道はストックのルーター構成よりも適応させやすい場合もあります。サーバーソフトウェアを自分で制御でき、ルーターベンダーが管理パネルで公開するプロトコルに限られないからです。
VPSの道を選ぶなら、選定基準は単純です。近くのリージョン、暗号化に十分なCPU、専用IP、そしてネットワークの詳細を隠さずにroot権限を与えてくれるプロバイダーを選びましょう。 CloudzyのLinux VPS がこのための1つの選択肢で、手動のサーバー設定を省きたいなら、マーケットプレイスにワンクリックの WireGuard と OpenVPN Access Serverデプロイもあります。
よくある質問
VPNを使うのに特別なルーターは必要ですか?
いいえ。現在のルーターがすでにVPNクライアントモードに対応していれば、特別なルーターは必要ありません。最近の多くのASUSとGL.iNETのモデルは、ストックファームウェアでWireGuardまたはOpenVPNに対応していますが、対応は正確なモデルとファームウェアのバージョンに依存します。ルーターがVPNにネイティブ対応していない場合は、OpenWrtのようなカスタムファームウェアをインストールするか、ルーターが経由する別のデバイス、たとえばVPS、Raspberry Pi、小型のLinuxサーバーでVPNを動かせます。
VPNルーターはインターネットを遅くしますか?
はい、いくらか遅くなります。ルーターのCPUが暗号化の処理を行い、消費者向けルーターのCPUはあなたのスマホやラップトップのCPUより遅いからです。低下の度合いは、ルーターのチップ、プロトコル(WireGuardはOpenVPNより軽い)、そしてルーターにハードウェアアクセラレーションがあるかどうかで決まります。WireGuardを動かす最新のルーターは、通常WANスループットのごくわずかな割合を失うだけです。OpenVPNを動かす古いルーターは、もっと多く失うことがあります。
VPNルーターと、デバイス上のVPNアプリの違いは何ですか?
VPNルーターはトンネルをネットワークレベルに置くため、接続されたすべてのデバイス(スマホ、ラップトップ、スマートTV、ゲーム機、IoT)が何もインストールせずに自動的にVPNを使います。VPNアプリはトンネルを1台のデバイスに置き、そのデバイスだけを保護しますが、より細かい制御を可能にします。アプリごとのルーティング、簡単なサーバー切り替え、特定のアプリの除外です。トレードオフは、ネットワーク全体のカバレッジ対デバイスごとの柔軟性です。
ルーターではどのVPNプロトコルを使うべきですか、WireGuardかOpenVPNか?
ほぼすべての場合でWireGuardです。コードベースが小さく、暗号化が現代的で、パケットあたりの処理コストが十分に低いため、消費者向けルーターのCPUがうまく処理します。証明書を発行済みの既存のOpenVPN環境がある場合や、WireGuardがまだ満たさない特定の互換性要件がある場合は、OpenVPNが妥当な選択肢のままです。
ハードウェアのVPNルーターの代わりにVPSを使えますか?
はい。Linux VPSにWireGuardまたはOpenVPNをインストールし、OpenWrtやDD-WRTのルーターを上流トンネルとしてそれに向けるか、個々のデバイスをVPSに直接接続します。この方法は、出口での管轄の選択、VPNデーモンとそのアプリケーションレベルのログの制御、そしてほとんどの消費者向けルーター構成よりも多い演算の余裕を与えてくれます。トレードオフは、パッチ適用や監視を含め、サーバーを運用することです。
