この記事の要点
- 経路 MTU から疑う:WireGuard は TCP のような自動後退がないため、大きな TLS レコードで「たまに固まる」ように見える。
- 往復で別の出口 IP になると、ping は通ってもステートフルな経路が壊れる。両方向を別々に追う。
- DNS の分岐はプロダクト判断。社内リゾルバをトンネルに載せるか、分割経路に載せるかは
AllowedIPsの意図とセットで決める。 - 遅延の観測は CPU グラフと同じダッシュボードに載せる。薄いリモート用途ではコア数よりリージョンが尾遅延を支配しやすい。
wg カウンタ、双方向の traceroute、リゾルバのトレースで裏取りしてください。1. MTU:長距離・高帯域経路で最初に疑う相手
WireGuard は UDP 内で暗号化します。トンネル MTU とオーバーヘッドの合計がキャリア側の許容量を超えると、DF が立っている場合やフラグメント扱いの不整合で 無言のブラックホール になります。SSH の短いコマンドは通るのに git push で止まる、Web が途中までしか読み込めない、VNC が一部だけ描画される、といった症状は「Mac の CPU が足りない」より先に MTU を疑う価値があります。ゲートウェイ側でインタフェース MTU を下げる、関連する TCP に MSS クランプを入れる、など対症の前に経路ごとの上限(自宅 ISP、テザリング、空港 Wi-Fi)をメモに残してください。
# macOS クライアント例(インタフェース名は環境に合わせる)
ifconfig utun9 | grep mtu
ping -D -s 1400 gateway.example.com # DF で失敗するまで二分探索MTU 調整とあわせ、ゲートウェイで TCP を終端するなら MSS の一貫した通知 も確認します。クラウド Mac 上で Docker などを重ねるとヘッダがさらに積み上がり、ディスクと CPU の予算とも競合します。オーバーレイとプラン境界の整理は Apple Silicon クラウド Mac で本番相当の Docker:arm64/amd64 イメージ、bind mount とビルドキャッシュのトラブルシュート手順(プランのリソース境界つき) とあわせて読むと、同一ホスト上の帯域と I/O の見え方が揃います。
2. 非対称経路と「たいてい動くのに…」
ingress のグローバル IP と egress が一致しないと、単純なファイアウォールや NAT の束縛が壊れます。WireGuard のハンドシェイクは成功しても、アプリ層だけ落ちることがあります。クライアント・ゲートウェイ・(別マシンなら)クラウド Mac の三視点で 双方向 を取ってください。トンネルの手前に別 VPN や SD-WAN がある場合、PostUp のマークが片側のフローだけ別経路に流していないかも確認します。
主用途がビルドや成果物転送なら、非対称は「完全切断」よりアップロードのフレークとして出やすいです。キュー待ちと尾遅延は同じダッシュボードで見ないと、単に「回線が悪い」と誤診しがちなので、転送失敗の時刻とゲートウェイ側の egress ログを突き合わせてください。
3. DNS の分岐トンネルとフルトンネル
DNS = で社内リゾルバを指定しただけでは、対応するプレフィックスを WireGuard 経由に載せていないと 漏れや NXDOMAIN の原因になります。社内名はトンネル内だけ、公開名はローカルリゾルバ、ゲートウェイ上のフォワーディング、と方針を文章化し、AllowedIPs の広さと整合させます。広いルートはビデオ会議までトンネルに吸い込み、体感遅延を変えます。接続直後とスリープ復帰後に macOS で scutil --dns の順序を控えておくと運用引き継ぎが楽です。
4. 遅延の観測とリージョン選び
インタラクティブな遠隔では RTT・ジッター・損失 をスループットとは別に見ます。200 Mbps プランでも、ピーク帯に ICMP や QUIC 様の UDP が 80 ms 跳ねるなら体験は悪化します。WireGuard のカウンタ(transfer、latest handshake)と、TLS の接続時間や画面共有のフレーム落ちなどアプリ層のプローブを同じタイムラインに載せてください。クラウド Mac のリージョン は、日常操作する人の近くの POP を優先し、成果物やレジストリが重いワークロードではミラー側の地理を優先する、と用途で分けてもよいでしょう。
5. 症状・原因・アクション早見
| 症状 | 想定原因 | 推奨アクション |
|---|---|---|
| 大容量転送だけ止まる、小さな ping は通る | MTU / PMTUD のブラックホール | トンネル MTU を下げる、DF ping で段階試験、必要なら MSS クランプ |
| ハンドシェイクは成功、アプリは不安定 | 非対称経路やポリシールーティング | 出入りグローバル IP を追跡、マークとデフォルト経路を揃える |
| 社内ホスト名が解けない | DNS がトンネル経路と不一致 | リゾルバと AllowedIPs を揃え、スプリットホライズンを確認 |
| 負荷時だけ UI が重い | RTT / ジッター(CPU ではない) | リージョンを見直す、フルトンネルの爆半径を狭める |
6. ネットワークが健全になったあとのクラウド Mac サイズ
MTU・経路・DNS が揃ったあとに残る遅さは、コア数・メモリ・ディスク の話に進めます。画面収録、Xcode のインデックス、複数シミュレータは、ワイヤスピード VPN より統合メモリと SSD の余力に効きます。クリーンな RTT ベースラインを取ってから プランとスペック を比較しないと、地理が直せない問題にハードウェア課金だけ積み増すことになります。
クラウド Mac mini なら、安定したトンネルと予測しやすい筐体が揃う
Apple Silicon の Mac mini はアイドル時の消費電力が非常に小さく、WireGuard のゲートウェイや踏み台を常時起きしたままにしやすいのが実務的な利点です。macOS なら ifconfig やパケットキャプチャまで含めた Unix 系ツールが素のまま使え、Linux ルーター用イメージを組み立て直す負担が減ります。Gatekeeper や SIP により、安価な Windows 系ジャンプボックスで起きがちな不要ソフトのネットワーク干渉リスクも相対的に低くなります。専用のクラウド Mac は RAM と NVMe を他テナントと共有しないため、MTU と DNS が整ったあとは性能トレースがプラン上限にきれいに写り、謎のコンテンションに振り回されにくくなります。
機材を送らずに国境またぎの遠隔基盤を組みたいなら、kvmboot のクラウド Mac mini M4 は現実的な出発点です。プランと料金を見るで、コア数より先に測った RTT に合うリージョンを選んでください。