前置き
みなさんは自宅ネットワークに遠隔でアクセスしたいと思うことはないでしょうか?
記事執筆時点(2025/12/27)、年の瀬で実家に帰省するのですが、自宅のラズパイでどうしてもWebサーバを構築したい……でも帰らなきゃ……ラズパイ持っていくのも荷物になるし……
というわけで、実家から自宅へVPN接続をすることにしました。
VPNとは?
VPN(Virtual Private Network)とは、通信を暗号化することで、遠隔のネットワークにインターネット経由で接続することができる技術です。
今回は、実家のネットワークから自宅のネットワークにSSH接続できる状態を目指します。
全体構成
実作業は下記の通りです。
- Raspberry Pi に VPN サーバ を構築
- 実家のPCに VPN クライアントをインストール
- 自宅ルータのポートフォワーディング設定
技術選定
VPN技術としてはWireGuardとOpenVPNが有力候補なイメージです。
今回はWireGuardを選択しました。個人利用としては十分だと思います。
比較
| 技術 | 特徴 | 適している用途 |
|---|---|---|
| WireGuard | 軽量・高速・設定がシンプル | 個人利用、簡単に導入したい場合など |
| OpenVPN | 高い安全性。証明書管理やネットワーク調整が必要 | 企業ファイアウォールなど複雑なネットワーク設定がすでに存在する場合など |
実践
では、自宅VPN実装に着手していきましょう。
① WireGuardインストール(自宅ラズパイ)
sudo apt update
sudo apt install wireguard -y
② WireGuard 設定(自宅ラズパイ)
鍵の生成
sudo cd /etc/wireguard
sudo wg genkey | tee server_private.key | wg pubkey > server_public.key
sudo wg genkey | tee client_private.key | wg pubkey > client_public.key
sudo chmod 600 server_private.key server_public.key client_private.key client_public.key
今回は個人利用のため雑にクライアント側の鍵ペアもサーバ側で作ってしまいましたが、
クライアント側の鍵ペアはクライアントPCで作成してください。
config設定
sudo vi /etc/wireguard/wg0.conf
/etc/wireguard/wg0.conf
[Interface]
Address =10.0.0.1/24
ListenPort =51820
PrivateKey = <server_private.keyの中身>
SaveConfig =true
[Peer]
PublicKey = <client_public.keyの中身>
AllowedIPs =10.0.0.2/32
クライアントPCに鍵を配置
サーバ側公開鍵(server_public.key)、クライアント側秘密鍵(client_private.key)を実家PCに配置します。
ファイルを手持ちのPCのローカルに保存したり、USBで持ち帰ったり、メモしたり(?)、お好きな方法で構いません。
本来は
- クライアント側で鍵ペアを作成して公開鍵をサーバ側に教える
- サーバ側はサーバ公開鍵をクライアントに渡す
の手順に沿うべきで、真似しないでくださいね。
③ IP フォワーディング有効化(自宅ラズパイ)
sudo vi /etc/sysctl.conf
以下を有効化
/etc/sysctl.conf
net.ipv4.ip_forward=1
反映:
sudo sysctl -p
④ WireGuard 起動(自宅ラズパイ)
sudo systemctl enable wg-quick@wg0
sudo systemctl start wg-quick@wg0
確認:
sudo wg
⑤ 自宅ルータの設定(自宅ルータ)
インターネット側IPアドレスにおけるUDP/[利用可能なポート番号] を、
自宅ラズパイのローカルIPにおけるUDP/51820へ転送するように設定します。
自宅に設置のルータによって設定方法は異なります。
ルータの管理者画面にアクセスして設定してください。
実家に持っていくもの
WireGuardの設定はここまでですが、自宅ラズパイから下記を持ち出しましょう。
- WireGuardのサーバ側公開鍵(server_public.key)
- WireGuardのクライアント側秘密鍵(client_private.key)
- 自宅ラズパイのSSH秘密鍵(ラズパイが鍵認証の場合)
鍵は安全な経路で持ち出しましょう!!
自宅側での作業はここまでです!帰省準備を始めましょう。
✈️ 飛行機帰省中…………
帰省しました!実家の匂いがしますね。
では実家側での作業を始めましょう。
① WireGuard クライアントを入れる(実家PC)
Windows
- https://www.wireguard.com/install/
- 「WireGuard for Windows」をインストール
macOS
brew install --cask wireguard
または App Store で WireGuard を検索
筆者環境ではMacBookのみ動作確認済みです。
② クライアント設定ファイルを作る(実家PC)
ファイル名例:
home.conf
中身:
[Interface]
PrivateKey = <client_private.key>
Address =10.0.0.2/24
DNS =8.8.8.8
[Peer]
PublicKey = <server_public.key>
Endpoint = <自宅のグローバルIPアドレス>:51820
AllowedIPs =10.0.0.0/24, <自宅ラズパイのネットワークアドレス帯>
PersistentKeepalive =25
③ WireGuard クライアントに設定反映(実家PC)
以下、macOSにてApp StoreでWireGuardをインストールした場合の手順です。
(他の環境でも基本的に同様の手順になると思われます。)
- WireGuard を起動
- 左下の「+」ボタンより、「設定が空のトンネルを追加」を選択
- クライアント設定ファイルの中身を記述
- 保存する。
以上でクライアント設定は全て完了です!
接続確認をしましょう。
④ VPN を ON にする
設定したトンネルをダブルクリックすると、VPNが有効化されます。
⑤ 接続確認(実家PC)
-
Raspberry Pi に SSH
ssh pi@<自宅ラズパイのプライベートIPアドレス> -
VPN IP に ping
ping 10.0.0.1→ 通れば 成功です!
なお、VPNを無効化したい場合はWireGuardクライアントで設定したトンネルを再度ダブルクリックしましょう。
筆者のつまずきエラー
本作業において筆者の手が止まったポイントを列挙しておきます。
いずれもすぐに原因はわかりましたが、AIに聞く前に確認してみてください!
- VPN用の鍵とは別に、SSH鍵認証用の鍵も実家PCへ持ち込むこと
- VPN接続はできてもSSHはできなくなり本末転倒です。
- インターネット側のどのポートで待ち受けるか、LAN側のどのポートへフォワーディングするか正しく認識すること
- 自宅ルータ側で待ち受けポートとして指定できるポートが制限されていました。当初インターネット側のポートもUDP/51280で待ち受ける想定でしたが、異なるポート番号にし、設定ファイルの記載の変更が発生しました。
- グローバルIPアドレスは正しいか?
- 筆者は自宅に回線が2個あり、当初はラズパイの接続しているルータとは異なる回線の方で作業していたため、グローバルIPの不一致のため接続できない事象が発生しました。
VPN利用におけるセキュリティ対策
プライベートネットワークを開放する作業のため、安全性は常に考慮すべきです。
こちらの記事にわかりやすくまとめられておりました。
「VPN接続のセキュリティ周りについて」
https://qiita.com/Yukimi_Choko/items/31076b737b6099cc152e
VPNの構築は初めてでしたが、かなり簡単にセットアップできました。
みなさまも今後LinuxでVPNサーバを構築する際は、WireGuardの利用をおすすめします。
それでは、よいお年を!