OpenWrtと組み合わせるならコレ！SelfhostedなVPNツール

はじめに

なんか適当にいろいろ試していい感じだったやつをピックアップしました。
(基本的にOSS/セルフホストできるものを選定しています)

おすすめ一覧

ZeroTier(ZTNET)

良いところ

• 設定が簡単
  • Docker Composeですぐに利用開始できる
• OpenWrtと相性が良い
  • ルーティングが即座かつ動的に反映され、スタティックで切る必要がない
• 画面が使いやすい
  • ZTNETの画面は日本語対応が無いものの分かりやすい画面で使いやすい
• ピアに振るIPアドレスやレンジが自由に指定できる
  • 後述のNetBirdでは出来ないメリット

悪いところ

• 通信スタックは独自実装であまり速度が出ない
  • P2P接続状態の実測で80Mbps程度、拠点間通信には使いづらい
• DNS設定はドメイン指定が必須
  • AdGuardHomeやpihole等、広告ブロックVPNとして使う場合は出口NATで傍受して処理する必要がある
• フルトンネル運用は微妙
  • 再接続に少々時間がかかるなど多少の難あり
• 認証は接続要求後、管理画面で管理者が許可する必要あり
  • 一度許可すれば次回以降求められることはない
• アプリの見た目がダサ…じゃなくてレガシーな雰囲気
  • ちょっとかっこ悪い

NetBird

良いところ

• WireGuard(カーネルベース)で高速通信
  • 実測150Mbps~200Mpbsくらい出るのでそれなりに使える
    • 調子が良ければもっと出る
• OpenWrtと相性が良い
  • 稀に調子悪い時があるが基本的にルーティングも即時反映される
• 認証基盤が色々使える
  • SSOしつつ管理画面で接続を許可するまで接続させないことも可能
  • クライアントに応じて定期認証を要求したり不要にしたり出来る
• 無料枠が潤沢なのでセルフホストしなくてもいいかも
  • 5ユーザー/100デバイスまで無料、ありがてぇ…！
• ルーティングやエグレスのHA(冗長化)が出来る
  • 複数のマシンにNetbirdクライアントを入れて設定してあげることで簡単にHAすることが出来る
  • 複数のエグレスノードを設定してHAも出来る
• フルトンネル運用が簡単
  • エグレスノードを設定→エグレスノードを使えるピアグループを指定→終わり
• DNS設定がアホほど簡単
  • ドメイン指定なしで独自のDNSサーバを指定できるのでアドブロックVPNとしての運用も簡単
  • もちろんドメイン指定でDNSサーバの選択も可
• クライアントをグループで分けて管理・ルーティング配布ができる
  • ネットワーク機器に振るルートと各クライアントに振るルートを分けたり出来る
• ポスチャチェックや通信ポリシー設定が出来る
  • 出来て損はないのでﾖｼ！
• 管理画面の見た目が良い
  • なお日本語は無い

悪いところ

• IPレンジは100.64.0.0/10で固定、クライアントIPはランダムに設定され変更はできない
  • 使いたくないIPレンジと被ってしまったときが一番困るよね…
• DockerベースでセルフホストできるがDocker Compose単体ですぐに立ち上げは出来ない
  • Portainerで全部管理しているのでこれが割と個人的には困る…

WireGuard

良いところ

• Simple is Best
• 一番速い

悪いところ

• 管理が面倒(公開鍵を交換したりルート切ったり…)

その他

Tailscale(Headscale)やNetmaker、Nebula、Tinc等もありますが、Tailscale/Netmaker使うならNetbird使う方が良いかなと思いました。本音を言うと面倒なので触ってません機会があれば触ろうと思います。

最後に

• IPアドレスレンジや割り振るIPアドレスを気にするならZeroTier(ZTNET)
• あんまり気にしないかフルトンネルやアカウント管理、DNS周りを重視するのであればNetbird
• 速度至上主義はWireGuard

がオススメかなと思いました。ちゃんちゃん。