中国VPN情報(技術編)

中国のグレート・ファイアウォールとVPNの概要

本来グレートファイヤーウォールはホームページへのアクセス、メールへのアクセス、FTP、SKype等の利用を制限するものでありますが、ここ2、3年で、VPN接続自体にもその影響が出始めています。更に、2012年12月より、グレートファイヤーウォールの技術面でのアップデートが行われ、VPNプロトコルを自動で学習、発見、遮断する能力を備えた模様で、恒久的に起こる可能性がでてまいりましたので、このページではグレート・ファイアウォールの技術詳細を紹介し、VPN接続自体の規制を"できるだけ"回避する方法をご案内しております。

※グレート・ファイアウォールとは

中華人民共和国政府によるインターネット上の全通信の検閲システムおよびそれによる情報統制プロジェクトを指します。インターネットデータセンター(IDC)同士の相互接続ポイントにおかれており、現在、北京、上海、広州に設置されています。逆にここを通らないパケットは規制対象外となり、香港がまさにその例に当てはまります。

※グレート・ファイアウォールを回避する為の予備知識

グレート・ファイアウォールを回避させる方法として利用されているのが、弊社サービスの「VPN」とプロキシ(proxy)であります。プロキシに関してはフリーソフトがあり、代表的なものとして、「TOR(トーア)」と「Freegate(フリーゲート)」であります。プロキシですので、もともとはホームページへの匿名アクセスをするために用いられますが、グレート・ファイアウォールを回避させる方法として利用することができます。ユーザーの協力などにより、経由地の数が多数あり、動的に変化させることで、監視の目を潜りぬけています。ただし、これらのソフトは中国当局の強い監視下におかれ、現在ではほぼ利用できない状態になっております。又、どうしても速度低下が起きやすい特徴があり。近年では「VPN」が主流になっています。「VPN」も2009年くらいまでは、問題なくスムーズに使われていましたが、ここ数年「VPN」接続自体も規制がされはじめてきました。

※今後、VPN接続は完全に遮断されるのか?

現在の中国政府の技術をもってすれば、それはいとも簡単に可能であります。しかし、以前にPPTPの遮断を強化したことがあり、その際に、中国企業や中国に拠点をおく海外企業からの苦言が多数寄せられ、それを回避した事情があります。ご存じのとおり、中国は日本をはじめとする海外企業の進出により、経済が支えれています。その企業の活動を妨害することで自国の経済が不安定になっては本末転倒であります。したがって、余程のお国の事情がない限り、完全遮断はしないようです。しかしながら、規制されているのは事実で以下のような事例が見受けられます。

※現在確認されているグレートファイアウォールによってVPN接続ができない現象例

・弊社を含め、大手VPN接続サービスAstrill、StrongVPN、Witopia、ExpressVPN、12vpnがPPTP、L2TP、OPENVPN、SSHでの接続が一切できなくなった。SSTPの接続は問題なくできた。

・暗号強度の高いOPENVPNが規制され、暗号強度が低いPPTPのみアクセスすることが可能になった。

・PPTPでVPN接続が確立していたが、しばらくすると強制的に切断され、その後アクセスできない。数時間するとアクセスできるようになった。

・中国国内どうしで、拠点間VPNを構築していたが、突然アクセスできなくなった。一週間後に再び接続できるようになった。

・VPN接続に成功しているにも関わらず、youtube、facebookにアクセスできない。

・VPN接続して、しばらくすると切断された。再度接続できるが、速度が極端に遅くなった。

このような現象が実際に起きています。これらが起きる理由といたしまして、これから詳しく解説いたしますが、場合によっては回避できない場合もございます。そのため、弊社では数多くのプロトコルをご用意しておりますが、それらすべてをお試しいただければと思います。

※グレートファイアウォールよるフィルタリングの技術詳細とその回避法

1、URLフィルタリング

URL含まれている文字をスキャンします。これはVPN接続とは無関係で、普通のホームページを閲覧するときに関係してくるものです。HTTPプロトコルでのレベルですので、以下のTCPパケットフィルタリングと比べると対策は容易であります。ただし、グレートファイアウォールとは別ですが、少々こちらのことで関連すことがあります。日本国内のサービスで、海外からのアクセスを禁止しているサイトがございます。これらの場合、VPN接続をせずにアクセスすると、当然表示はできなくなりますが、同時にクッキーにその情報が記載されることがあります。従いまして、そのあとにVPN経由で接続しても同じようにアクセスできない場合がございますので、その際はクッキーや一時ファイルの削除をしてください。

2、DNSのフィルタリングとリダイレクション(DNS ポイズニング)

ドメイン名の解決をさせないか、もしくは間違ったIPアドレスを通知します。VPN接続の他、HTTP、FTP、POP等に影響します。リダイレクションとして一番有名なのはSkypeのホームページであります。Skypeのホームページにアクセスしようとすると、提携しているTOMグループのホームページに飛び、TOMグループ製のSkypeを使用しなければなりません。TOM グループは中国の情報検閲制度を遵守しており、TOM グループ製の Skype アプリケーションを利用して行われるデータ送受信は当局の監視を受けます。これはよく起きる現象ですが、確実に対処することができます。当サービスの管理画面でURL以外にIPアドレスを記載しているのは、このDNSフィルタリングをもっとも単純に防ぐのがIPアドレスを直に設定にいれてVPN接続をするれば間違いないからであります。ただし、SSTPではドメインでのアクセスをしなければ証明書エラーが出るためこの方法は有効ではありません。そして、3番のIPブロッキングで影響がでてしまいます。そこでgoogleなどのパブリックDNSの設定をしていただくことでこれを回避することができます。一番、確実なのはhostsファイルの書き換えであります。これらの具体的設定に関しましてはこちらをご参考ください。DNSCrypt のようなセキュアな DNS 検索サービスを利用することで DNS ポイズニングを回避することができます。

又、DNSはキャッシュをしますので、 設定を変えたからといってすぐには有効になりませんのでご注意ください。windowsの場合は「ipconfig /flushdns」 Mac OS X 10.4以前では「lookupd」それ以後であれば「dscacheutil」コマンドでフラッシュしてください。

3、IPブロッキング、ポートブロッキング

ある特定のIPアドレスへの接続がブロックされる。また、VPNによく使用されるポート(TCP80,443,1194,1723),(UDP443,1194 1701,500,4500),GREが遮断される。これらのブロックはVPN接続に多大な影響を及ぼします。当サービスの接続先IPがブロックの対象リストにのれば、完全にアクセスできなくなり防ぎようがありません。そこで、弊社ではIPアドレスを定期的に変える場合がございますので、接続先をIPアドレスで設定をしているかたはできるだけドメインでの設定をしていただきますようよろしくお願いいたします。尚、ポートのブロックは政治的イベント時の完全規制の時に多く起きます。ただし、TCP443ポートはこのブロックの対象外になります。弊社では、SSTP、OPENVPN、PacketiXVPN、Cisco Anyconnectがこのポートを使用します。

4、パケットフィルタリング

TCPパケットの中にある一定量以上の中国が検閲している言葉が含まれていた場合、或いは、暗号パケットが長時間にわたっている場合は強制的に切断される。これは最近増えている現象であります。これを防ぐ基本的な方法としては、接続プロトコルを切り替えることです。PPTPを使っていたならば、L2TPに変える。OPENVPNを使っているなら、Cisco Anyconnectに切り替える等のことをすることです。これでダメな場合は、接続元IPアドレス(お客様側)をグレートファイアウォールでブラックリスト化していることが考えられます。一度ネットを切断して、再度接続して接続元IPアドレスが変更されることで基本防げます。ただし、ISPレベルでのフィルタリングとなりますと、モデムの電源を落としていただき、10分くらいして電源をいれて再度接続する方法をとらなければなりません。これは先に説明しましたが、グレートファイアウォールはIDCの接続部分で、クライアントはまず、PPPOEでプロバイダーとの接続になります。PPPOEの特性上、電源を切ることで、アクセスポイントが変更される場合があり、プロバイダーでのフィルタリングを回避できる可能性があるからであります。

5、コネクションリセット

もし以前のTCPコネクションが検閲でブロックされたとして、次からのコネクションが両サイドとも30秒にブロックされる。このブロックは地域に差があるが、ブロックされている地域では他の人からの接続でもブロックされる。回避方法はファイアーウォールからのリセット要求を無視する。 これは、中国政府のお情け的現象であります。例えば北京ではgoogleでNGワードを検索して、そのページにアクセスすると約90秒googleにアクセスできなくなります。httpプロトコルで見受けられる現象で、VPNとの関連性では今のところ確認できておりません。

6、プロバイダーレベルの自己検閲

グレートファイアウォールとは別ですが 、中国で先日、ホスティングサービスや、ブログサービス等のサービス提供者に対しても自己検閲を強化するよう法規制されました。これを怠ることで、ライセンスの取り消し等の処分が下される可能性があります。プロバイダーも同様なことが考えられます。一部確認されていますが、まだ具体例の発見には至っておりません。

※技術詳細関しましては一部wikiより抜粋しております。


このように中国では現在VPN接続自体も規制される可能性が高くなっていますので、政治的イベントがあると特に顕著になります。弊社ではこの現実に向き合い、今後もあらたなサービスを提供してまいりたいと思います。

VPN SERVICE


料金表
料金表
料金表

法人向けVPNサービス

接続設定マニュアル

リンク

その他

Accepted Payment Methods

paypal

Security by


geotrust