スマートフォンがメッシュVPN経由で初めて自宅のJellyfinサーバーに届いたとき、従来型のVPN構成(ポート開放、ダイナミックDNS、手動のファイアウォール規則)はやや古びて見え始めます。メッシュVPNは端末間にプライベートネットワークを張ります。スマホ、ノートPC、自宅サーバー、クラウドVM、共同プロジェクト用の友人のマシンまで含めて、です。以下のAndroid向けメッシュVPNアプリ7本は、デフォルトの本命からフルセルフホストまで、現実的な選択肢を押さえています。
メッシュVPNで見るべきポイント
次の5つが実用上の軸になります。
- セルフホスト可能なコントロールプレーン。「コーディネーションサーバー」がネットワーク設定を保持し、端末を認証します。プロダクトによってはクラウド運用、自分でホストも選べます。どちらも妥当なので、運用したい負荷で決めればよいです。
- **オープンソースのクライアント。**メッシュVPNは各端末に入りトラフィックを転送します。オープンなクライアントはレビューやソースからのビルドが可能です。
- **無料枠の上限。**多くは個人利用で端末数やピア数まで無料です。家庭用途ではその上限が境界線になりがちです。
- **サブネットルーティングとイグレスノード。**LAN全体を1つのピア経由にする(サブネットルーター)ことや、1つのピアをインターネット出口にすることは、クライアントを入れられない機器への経路として有効です。
- **バッテリーとプロトコル。**WireGuardおよびそれをベースにしたスタックはAndroidのバッテリーに優しいです。STUN/TURNと独自プロトコルを使う製品もあります。
簡易比較
| アプリ | 向いている用途 | 無料プラン | セルフホスト | OSSクライアント |
|---|---|---|---|---|
| Tailscale | いわゆるデフォルトのメッシュVPN | あり(ユーザー3・端末100) | あり(Headscale) | あり |
| ZeroTier | クロスプラットフォームの老舗 | あり(端末10) | あり | あり |
| Cloudflare WARP | メッシュに近い機能を持つ無料のプライバシープロキシ | あり | Cloudflareクラウドのみ | ほぼ |
| NordVPN Meshnet | コンシューマVPNに組み込まれたメッシュ | あり(NordVPNアカウント要) | なし | なし |
| Twingate | 小規模チーム向けゼロトラスト | あり(ユーザー5・リソース10) | Connectorをセルフホスト | Connector |
| NetBird | Tailscaleに近いOSS代替 | あり | あり | あり |
| OpenZiti | アイデンティティ起点のオーバーレイ | 無料OSS | あり | あり |
アプリ別の要点
1. Tailscale(デフォルトの本命)
Tailscaleは結果的に多くの人が使うメッシュVPNです。Androidアプリは小さく、WireGuard上で動き、MagicDNSで短い機器名を扱え、面倒なNATも設定なしでさばきます。サブネットルーターやイグレスノードが使え、ACLは整理されたJSONで書け、Taildropでtailnet上の任意の2端末間にファイルを送れます。オープンソースのコーディネーションサーバーHeadscaleを使えば、公式クライアントのままコントロールプレーンだけを自前にできます。
無料枠は家庭用途の多くをカバーします。ユーザー3人・端末100台を超える構成では有料プランが必要です。
**弱み:**Headscaleに切り替えない限り、コーディネーションサーバーはクローズドソースです。高度な機能の一部は有料です。
料金:
- ユーザー3人・端末100台まで無料。
- Personal ProやTeamでユーザー数と機能が増えます。
対応プラットフォーム: Android、iOS、Windows、macOS、Linux、FreeBSD。
**結論:**ここから始めるのが無難です。初めて自宅に届いたタイミングで、構築コストは十分に回収できます。
2. ZeroTier(長く使われている選択肢)
ZeroTierは「メッシュVPN」という呼び方が一般化する前からメッシュネットワークを扱ってきました。仮想スイッチのモデルで、ネットワークを作り、16文字のIDで端末が参加し、Webコンソールで承認します。ブリッジやレイヤ2寄りの機能が強く、都市をまたいだ旧式ゲームサーバー用の仮想LANといったニッチ用途に向きます。
Androidアプリは安定しています。スマホのUIはTailscaleより素朴です。
**弱み:**Web管理は新興より簡素です。レイヤ2はTailscaleの単純なモデルに慣れた人には迷いどころになります。
料金:
- 端末10台まで無料。
- 大規模ネットワーク向けに有料プランがあります。
対応プラットフォーム: Android、iOS、Windows、macOS、Linux、FreeBSD。
**結論:**レイヤ2が欲しい、あるいはすでに信頼しているZeroTierネットワークがあるなら適しています。
3. Cloudflare WARP(無料のプライバシープロキシ)
Cloudflare WARPは狭義のメッシュVPNではありません。WireGuard上で動くCloudflareの無制限無料プロキシで、任意の1.1.1.1 DNSとエッジ経由ルーティングがあります。Cloudflare Zero Trustのチームプランでは、WARPはポリシーやプライベートオリジンへのトンネルを備えた本物のゼロトラスト網のエージェントになります。
スマホだけのプライバシーなら、WARPがいちばん手軽な無料ルートです。自宅のPiへメッシュ的に届ける用途なら別製品を検討してください。
**弱み:**コンシューマアプリにP2Pメッシュはありません。メッシュに近い機能はZero Trustプラン側です。
料金:
- コンシューマアプリは無料。
- WARP+はArgo経由パスを追加します。
- 組織向けZero Trustプラン(無料枠はユーザー50までなど)。
対応プラットフォーム: Android、iOS、Windows、macOS、Linux。
結論:「名前で自宅のPiに届く」より「プライベートで速い」が優先なら向いています。
4. NordVPN Meshnet(コンシューマVPNのメッシュ機能)
NordVPN MeshnetはNordVPNに付属するメッシュ機能です。NordVPNアカウントでログインしMeshnetを有効にすると、端末が名前で届くプライベートネットになります。メッシュピア間のファイル転送も使え、それ以外のトラフィックをVPNしたければ同じエコシステムのVPNがそのまま利用できます。
NordVPNのアカウント体系に縛られたクローズドソース製品です。すでにNordVPNを契約している人には実用的なおまけ、メッシュだけが目的なら過剰です。
**弱み:**NordVPNアカウント必須。クローズドソース。
料金:
- NordVPNアカウントがあれば追加料金なしでMeshnet利用可。その他のNordVPN機能は有料プランが必要です。
対応プラットフォーム: Android、iOS、Windows、macOS、Linux。
**結論:**すでにNordVPNを払っているなら、その上にメッシュを載せるのに合理的です。
5. Twingate(小規模チームのゼロトラスト)
Twingateはホームラボより組織向けです。管理者が「リソース」(サーバー、DB、Webアプリ)を列挙しグループを割り当て、Twingate Connectorが認証済みユーザーとリソースをつなぎます。Androidアプリはユーザー側の入り口です。個人端末同士のP2Pはありませんが、ポリシー付きで小さなチームをプライベート網に載せるには、手順がすっきりした部類です。
無料のStarterはユーザー5・リソース10で、試すには十分です。
**弱み:**ユーザー端末間にP2Pはありません。Connector方式のため、到達したいネットワークごとに小さいながら実インストールが要ります。
料金:
- ユーザー5・リソース10まで無料。
- 大規模組織向けに有料プランがあります。
対応プラットフォーム: Android、iOS、Windows、macOS、Linux、ChromeOS。
**結論:**少数の社内サービスへゼロトラストで入りたい小チーム向けです。
6. NetBird(OSSのTailscale代替)
NetBirdはTailscaleの考え方に沿ったオープンソースのメッシュVPNです。WireGuardのデータプレーン、セルフホストまたはNetBird提供のコーディネーションサーバー、ACL、SSO連携があります。AndroidクライアントはOSSでF-Droidにも載っています。Tailscaleの体験をTailscale以外で求めるなら、いちばん近いです。
ホステッド無料枠は個人用途に寛容です。セルフホストはHeadscale単体より手順が重めです。
**弱み:**コミュニティはTailscaleより小さいです。一部の高度機能は新しく、現場実績が浅いところがあります。
料金:
- ホステッドプランで個人利用は無料。
- 大規模チーム向け有料プランあり。フルOSSのセルフホストは無料。
対応プラットフォーム: Android、iOS、Windows、macOS、Linux。
**結論:**クライアントからコントロールプレーンまですべてオープンソースにしたい場合の選択肢です。
7. OpenZiti(アイデンティティ優先のオーバーレイ)
OpenZitiは角度が異なります。端末・アプリ・ユーザーそれぞれにアイデンティティがあり、ポリシーはIPではなくアイデンティティに対して書きます。ZitiのAndroidアプリは端末を認証し、Ziti SDKを組み込んだアプリはシステムVPNなしでメッシュ上にトラフィックを載せられます。プロダクトにゼロトラストを組み込む開発者には、ここでいちばん自由度が高いです。
この一覧のなかではもっともモデルが複雑です。自宅のPi用途ならTailscaleかNetBirdのほうが早いです。
**弱み:**学習曲線が急です。接続するアプリ側を自分たちで握っているときに効きます。
料金:
- 無料・オープンソース。
- マネージド運用にはNetFoundryの商用オファリングがあります。
対応プラットフォーム: Android、iOS、Windows、macOS、Linux。
**結論:**フラットな仮想LANより、特定アプリへのアイデンティティ起点のアクセスが重要なとき向けです。
選び方の目安
メッシュアクセスを初めて組むならTailscaleを入れてください。デフォルトである理由があります。
課題が「危険なWi‑Fiで無料のプライバシー」であって「Piに届けること」ではないならCloudflare WARPです。
クライアントからコーディネーションサーバーまですべてOSSにしたいならNetBirdか、Tailscaleクライアント+Headscaleです。
チームで社内サービスにゼロトラストで入るならTwingateです。
レイヤ2が必要、またはZeroTierをすでに信用しているならZeroTierのままです。
すでにNordVPNを契約しているならNordVPN Meshnetは追加費用なしで使えます。
プロダクトを作っていてアプリレベルでアイデンティティ起点のアクセスが欲しいならOpenZitiを検討してください。
FAQ
TailscaleがいちばんのメッシュVPNか
多くの利用者にはそう言えます。セットアップは数分、無料枠は厚めで、Androidクライアントは小さくバッテリーにも優しいです。NetBirdがいちばん近いフルOSS代替です。
メッシュVPNはセルフホストできるか
できます。HeadscaleでTailscaleのコントロールプレーンを自前サーバーに載せられます。NetBirdとOpenZitiにはセルフホスト用サーバーコンポーネントがあります。ZeroTierにもセルフホストコントローラがあります。
メッシュVPNは通常のVPNの代わりか
目的が違います。従来のコンシューマVPNはプライバシーやリージョン変更のためにプロバイダ経由でトラフィックを流します。メッシュVPNは端末同士とサーバーをつなぎます。両方を併用する構成も珍しくありません。
メッシュVPNはAndroidのバッテリーを食うか
WireGuard系のメッシュ(Tailscale、NetBird、NordVPN Meshnet)は検証ではバッテリー負荷が低めでした。常時オンでも1日に数パーセント程度の増加が目安です。ZeroTierは独自プロトコルで、体感は近いです。
自宅のメディアサーバーにメッシュVPNで届くか
はい。Tailscale、NetBird、ZeroTierなら、ルーターでポートを開けずに、メッシュ上のスマホやノートからセルフホストのJellyfin・Plex・NASへ名前でアクセスできます。
