中国VPN情報(中国で必要なVPN設定)

※弊社サービスの中国における有用性(プロトコルの多様化とワンタイムIPサービス)

最近中国では、VPN接続自体に規制がされるようになりました。具体的にどのような現象が起きるかといいますと、「接続スピードが急激に落ちる」「突然VPN接続が遮断される」このような現象が起きると以後、再接続をしてもその現象が続きます。また、この現象は数日たつとまた普通に使えるようになったり、地域によっては以後一切のVPN接続できない現象などが起きます。最初は普通に使えて、突然この現象が起きる。なぜこのような現象が起きるかといいますと、こちらに詳しく記載している通りグレートファイヤーウォールによる暗号化通信の規制であります。ある一定時間VPN接続を含む暗号化通信をしているとこの現象が起きます。中国では、余程のお国の事情がない限り、完全にVPN接続を遮断することはしません。なぜならば、完全に切断してしますと、他の正常な通信も不安定にしてしまう可能性があるからです。世の中のすばらしいソフトウエアにも一時的にVPNでの通信を試みるものもありますし、そのソフトウエアがどういった暗号化通信を行っているかは中国政府掌握することはできません。その暗号化通信がグレートファイヤーウォールに間違って遮断される可能性もあることでしょう。そういった意味では、グレートファイヤーウォールというのはまだまだ、低機能なのでありましょう。しかしながら、きっちりVPN接続を規制しているのも事実であります。では、グレートファイヤーウォールは何億人ものインターネットユーザーから、VPN通信をしている人をどのように特定しているのでしょうか。暗号化されているパケットの中身を解析して、Youtubeや、facebook等のアクセスしている通信を遮断する。なんとも画期的ではありますが、ほぼそれはないと思ってよろしいかと思います。そもそも暗号化されたものが簡単に解読されては意味がありません。では、基本どのように判別しているのでしょうか。それは、接続元IPアドレス(お客様のクライアントパソコンのIP)と接続先IP(弊社のIPアドレス)と接続先ポート番号です。この三つを利用して、規制の判別を行っています。具体的に説明いたしますと、まずはVPNでよく使われる接続先ポート番号を監視して、その暗号化通信の種類を判別します。その暗号化通信がVPNであろうと判別され、且つ特定の接続先(弊社サーバー)と長時間VPN通信が行われていると、VPNの強制切断及び、帯域の制限という措置を取ります。次に、接続元IPアドレス(クライアントのパソコン)をVPN接続履歴としてデーターベースに登録されます。今現在、これらの三つの部分を回避しない限り、安定した通信を望むことはできません。

弊社はこの現実に対して次のような対策を講じています。接続元IPアドレスに関しましては、お客様のルーター、或いは、パソコンのPPPOE等の接続ツールを再起動することで接続元IPアドレスが変わります。登録されたデーターベースと整合性が取れなくなります。これをお願いしております。次に、接続先ポート番号です。、弊社では、接続先ポート番号の多様化、すなわち接続プロトコル(PPTP、L2TP、SSTP、IKEv2、IPsec、OPENVPN、PacketiX VPN、Cisco AnyConnect)を多数用意することにより、通信の分散化をしてまいりました。又、接続プロトコルによっては規制されにくいものがございます(接続プロトコルの選択以下参照)。そして、特定の接続先の分散化です。接続先サーバーを増やすこととすなわち接続先IPアドレスを多数用意することです。これが、弊社サービスのワンタイムIPアドレスです。これは、常時6つのサーバーを用意して、そのサーバーに接続有効期限を設けて、その有効期限の間は接続することができるが、その時間を過ぎると接続できなくなり、更に新しい接続先サーバーが登場するものです。簡単に言えば使い捨てサーバーとして利用するものです。ドメインでの接続先はご用意していません。ダイナミックDNSとして、ドメインを発行しても、中国による、DNS ポイズニング現象(詳しくはこちらを参照)が起きますので、ドメインとしての対応をしても意味がないからです。

中国においてのVPN設定の注意点

※接続プロトコルの選択

弊社は、(PPTP、L2TP、SSTP、IKEv2、IPsec、OPENVPN、PacketiX VPN、Cisco AnyConnect)の接続プロトコルをご用意いております。では、中国ではこれらのプロトコルのどれを選べばいいのか、また、これらのプロトコルの弊社での中国における特徴をご説明いたします。

PPTPとL2TP(ワンタイムIP対応)

この多数の接続プロトコルの中で中国でどれが一番規制対象になりやすいかといいますと、PPTPとL2TPです。この二つはVPN接続で一番使われるものです。設定が簡単な上、スピードが速く、世の中のほぼすべてのOS、スマートフォンに対応しているからであります。いろいろなVPN接続事業者様が提供しているものであります。弊社においてもご利用のお客様の大半がご利用されているプロトコルです。これらの事情からこの二つを使う時は弊社標準サーバーとワンタイムIPサーバーとを併用して使うことをお勧めします。ワンタイムIPアドレスはこれらのお客様に存在すると言っても過言ではありません。

SSTP(ワンタイムIP対応)とCisco Anyconnect(ワンタイムIP非対応)

では逆にどれが一番規制されにくいといいいますと、ずばり、SSTPとCisco Anyconnectです。この二つはほぼ間違いなく長時間にわたり安定して使えます。ただし、SSTPはWindows OSのみ対応。Cisco AnyconnectはすべてのOS、スマートファンに対応していますが、インストールの必要があります。また、Cisc AnyconnectはワンタイムIPサービスに対応しておりません。SSTPに関しましては、ワンタイムIPアドレスに対応していますが、少々面倒な設定が必要になります。IPアドレスをそのまま接続先設定にすると接続エラーがでます。これを防ぐ為にDNS問題の解決「2.hostsファイルに記述を加える」の設定(こちら)が必要になります。 弊社ではこのプロトコルをご利用することをお勧めしています。

PacketiX VPN(ワンタイムIP非対応)

Packetix VPNはサーバー側で自由度の高いポート設定が可能です。そこで、このプロトコルにおいて弊社では、ポート443と80を用意しています。この二つのポートは、通常ホームページのアクセスに使うポートです。従いまして、そこを通るポートは暗号化されていても規制をされにくい特徴があります。そこで、弊社では、この二つのポートを時間をおいて交互に使うことをお勧めしています。PacketiX VPNを使うにはソフトをインストールする必要がございます。同時にこのポートを使用するための、設定ファイルのインストールも必要になります。又、Macや、スマートファンには対応していませんのでご注意ください。

OPEN VPN(ワンタイムIP非対応)

OPEN VPNはフリーソフトとして配布されています。個人の方においても、VPNサーバーを無料で構築できるため、このプロトコルも規制の対象になりやすい傾向にあります。通常、この規制はUDPを使用した時に起こりやすくなります。そこで弊社では、TCPポートでの接続ができるようにカスタマイズしてあります。また、使用ポートも通常の1194ポート以外に規制の対象を受けにくい443ポートを使用してのサービスも提供しております。OPEN VPNクライアントソフトをご利用している方は多いと思いますが、その方は、弊社管理画面より、設定ファイルをダウンロードしていただければ即ご利用いただけます。また、初めてご利用いただく方には、クライアントソフトのインストールが必要になります。OPENVPNはほぼすべてのOS(MACに関しては、Tunnelblick)、スマートフォンにも対応しています。

IPSec(ワンタイムIP非対応)

L2TPの正式名称はL2TP/IPSecといい、暗号化部分はIPSecと同じであります。先に記述しましたがL2TPは規制の対象になりやすいプロトコルであり、それはすなわちIPsecが規制されやすいということです。IPSecは元祖VPNプロトコルであり、IPSecは接続を確立させるにあたり、ネゴシエーション組み合わせが多数可能であります。柔軟性が高い分、設定には複雑さが要求されます。統一規格でありながら、使用するハードウエア(ソフトウエア)により、かなり、細かい設定が必要になり、とても初心者では手が出せるものではありません。そのため、設定によってはグレートファイヤーウォールにおける規制の対象になりにくく、基本的にはサーバー、クライアント方式のリモートVPN接続として使うよりは、企業間の拠点間VPN接続として利用される傾向があります。基本中国では、企業間のVPNは規制しない傾向にあります。そこで弊社ではこれらの事情を考慮して、ある程度簡単に設定でき、多くのOSやハードウエアで利用できるものを調査した結果、弊社では、Cisco IPsecクライアントソフトを利用するために最適化されたIPsecテクノロジーを導入することにいたしました。Windows、Androidではソフトのインストールが、Mac、iphoneでは、Cisco IPSecの設定画面に沿って設定をする必要がございます。

IKEv2(ワンタイムIP対応)

弊社のIKEv2(Cisco IPSecもIKEv2でのキー情報交換方式を利用しています)はWindows7及び8でのIPSecテクノロジーのキー情報交換などの機能をIKEv1から整理・強化し、安全性/相互運用性を向上させたものを示します。L2TPはIKEv1を使用している為、Windowsをご利用のお客様はレジストリーでの設定変更が必要になることがありますが、これがIKEv2になりますと、その必要がなくなります。これを避けるために弊社が導入したプロトコルであります。従いまして、Windows7及び、8でのみ(XPとVISTAは非対応)IPSecでのVPN接続が可能であります。こちらに関しましてはIPSecネゴシエーションの特徴上、IPアドレスでの設定による接続はできません。従いまして、ワンタイムIPでIKEv2でご利用いただく場合は、DNS問題の解決「2.hostsファイルに記述を加える」の設定(こちら)が必要になります。こちらはワンタイプIPサービスと併用してお使いになることをお勧めします。

VPN SERVICE


料金表
料金表
料金表

法人向けVPNサービス

接続設定マニュアル

リンク

その他

Accepted Payment Methods

paypal

Security by


geotrust