SSTP Connect

SSTP / SoftEther VPN Client for iOS

English Version

よくある質問

一般

Q:はじめるには?

SSTP Connectを使用するには、まずプロファイルを作成する必要があります。

少なくとも次の情報を入力する必要があります:

SoftEther VPNを利用する場合、以下の記事もご参考にしてください。紹介していただいたSolomonレビューさんに感謝いたします。

SoftEther VPN クライアントマネージャ接続設定ファイル(.vpn)をお持ちの場合、以下の方法でインポートすることもできます:

Q:プロファイルの各アイテムを説明してください。

Q:システムVPN設定から接続または切断できますか?

はい、アプリを開かなくてもVPNを接続も切断もできます。

TLSサーバへの信頼性評価(TLS検証)

Q:TLS検証に合格するには、サーバ証明書はどういった要件を満たす必要がありますか?

iOS 13以降では、サーバ証明書に対してより厳格なルールを適用しています。詳細については、以下のリンクを参照してください。

https://support.apple.com/ja-jp/HT210176

https://support.apple.com/ja-jp/HT211025

最も重要なのは次のとおりです。

Q:SoftEther VPN Serverによって生成された証明書を使用する場合はどうすればよいですか?

SoftEther VPN Serverによって自動的に生成された証明書は、上記の要件を満たしていません。このガイドに従って再生成してください。

Q:サーバが自己署名証明書またはパブリックCAによって署名されていない証明書を使用する場合はどうすればよいですか?

セキュリティ上の理由から、パブリック認証局によって署名された証明書を使用することを強くお勧めします。ただし、それが不可能な場合は、管理者からルートCA証明書を入手し、デバイスにインストールして信頼することができます。

それでも証明書が上記のiOS要件を満たす必要があります。

Q:証明書をインストールして信頼するにはどうすればよいですか?

証明書を自分宛てにメールで送信するか、Webからダウンロードして、デバイスで開いてください。 プロファイルをインストールする準備ができたという通知が出てきます。

インストールするには:https://support.apple.com/ja-jp/HT209435

信頼するには:https://support.apple.com/ja-jp/HT204477

Q:TLSサーバ検証を無効にできますか?

一般論として、TLSサーバ検証を無効にしないでください。ただし、場合によっては、それを実行したいケースもあります(たとえば、サーバが古い証明書または脆弱な証明書を使用していて、それを変更できない場合など)。最後の手段として使用し、常に管理者に相談することをお勧めします。

証明書による認証

Q:証明書をインポートするにはどうすればよいですか?

証明書認証を使用するには、まず証明書をインポートすることです。現在、アプリはPKCS #12形式(.p12または.pfxファイル)に格納された証明書をサポートしています。 また、iOSポリシーにより、P12ファイルはパスワードで保護する必要があります。

PKCS #12は、Windowsプラットフォームのデフォルトの形式であり、SoftEther VPN Serverでもサポートされています。

管理者からP12ファイルを取得し、デバイスに配置する必要があります。これについてはいくつかの方法で行うことができます。

デバイスに置いてから、「インポート」をタップしてフォルダーに移動します。パスワードと任意の説明を入力してください。

証明書(秘密鍵も含む)はキーチェーンに保存されます。セキュリティ上の理由から、インポート後にファイルを削除するか、安全な場所に保管してください。

一つの証明書は複数のプロファイルで使用できます。

Q:証明書を削除するにはどうすればよいですか?

「証明書選択」で、スワイプして削除できます。

現在のiOSでは、アプリを削除しても、証明書はそのままキーチェーンに残ります(引き続きiOSに保護されています)。アプリを再インストールすると、再び使用できます。

Q:新しい証明書をインポートしたいのですが、アプリがすでにキーチェーンにあると文句を言います。そんなことがあるものか?

iOSポリシーによれば、同じ発行者からの同じシリアル番号を持つ証明書は、名前が異なっていても同じと見なされます。管理者に、新しいシリアル番号で証明書を生成するように依頼してください。

Q:システムに証明書がインストールされています。アプリで表示されないのはなぜですか?

サードパーティのアプリとして、組み込みVPNのようにシステムにインストールされている証明書にアクセスすることはできません。アプリであらためてインポートする必要があります。

VPNオンデマンド

Q:VPNオンデマンドとは何ですか?その使用方法は?

VPNオンデマンドは、事前に定めた規則に沿ってVPNの接続や切断を行う高度なiOS機能です。

まずは規則を作成する必要があります。iOSが順番に評価を行う、最初に該当したルールのみが適用されます。 評価プロセスはiOSによって完全に処理され、アプリにはその動作を変更する方法がありません。

重要: 現在有効になっている(選択されている)VPNプロファイルの規則のみが評価されます。

Q:オンデマンド規則を作成するにはどうすればよいですか?

規則には、1つのアクションといくつかの条件があります。すべての条件が満たされると、アクションが実行されるという仕組みです。

アクションには4つのタイプがあります。

次のタイプの条件を指定できます。

条件が指定されていない場合はすべての状況に該当します。したがって、それ以降の規則は無視されます。

Q:家のWi-Fiに繋がるとVPNを切断する、離れると接続するように設定したいのですが、規則をどう書けばよいですか?

以下の順で2つの規則を作成してください。

  アクション:切断
  インターフェース:Wi-Fi
  SSID:(家Wi-FiのSSID)
  アクション:接続
  条件を入力する必要はありません

そして、「オンデマンド接続を有効化」をクリックし、プロファイルを保存してください。

注1: プロファイルが選択されていることを確認してください(チェックマークが表示されます)。プロファイルが選択されていない場合は機能しません。

注2: 順番が重要です。規則2を規則1の先に配置すると、規則2がどんな状況でも該当するので、規則1は永遠に実行されません。 「編集」をタップして順番を変更することができます。

Q:アクションタイプ「コネクション評価」とは何ですか?

コネクション評価は、接続ごとに宛先を評価してアクションを実行する特別なアクションです。

宛先に到達できない場合は、これらのアクションのいずれかを実行できます。

たとえば、内部Webサイトが要求されている場合(現在のネットワークでは到達できない)、自動的にVPNに接続するよう、次のように規則を設定します。

アクション:必要に応じて接続
評価されるドメイン:companyinternal.com(すべての*.companyinternal.comが該当します)

SSTPに関する質問

Q:Windows SSTPクライアントと同じ機能を提供していますか?

ほとんどの場合、公式クライアントと同じ機能を提供します。ただし、以下の状況ではアプリが機能しません。

SoftEtherに関する質問

Q:WindowsでSoftEtherクライアントを使用して接続できる場合、このアプリも同様に使えますか?

ほとんどの場合、公式クライアントと同じ機能を提供します。ただし、以下の状況ではアプリが機能しません。

Q:UDP高速化機能とは何ですか?iOS 13 / Server 4.30以降が必要となるのはなぜですか?

SoftEtherは通常直接TCPを介して接続し、データパケットもTCPで転送されます。UDP高速化により、UDPでデータパケットの送受信も可能になります。 高速化とはいうものの、ネットワークの状態によっては、通信速度がTCPより優れている場合とそうでない場合があります。

SoftEtherはこれまで2つのバージョンのUDP高速化機能を実装してきました。元のバージョンはRC4という暗号でデータを暗号化しますが、RC4に脆弱性が証明されたので、対応は見送りしました。 AppleもiOS 10を境にRC4に対するサポートを終了しました。

新しいバージョンはバージョン4.30(Build 9695)で導入され、暗号としてChaCha20-Poly1305を使用しています。iOS 13以降では、Appleもネイティブサポートを提供しています。

Q:UDPとTCPのどちらを使用しているかを知るにはどうすればいいですか? UDPが時々機能しないのはなぜですか?

UDPを使用するとき、ステータスバーに「UDP」というサインが表示されます。接続ログからも判断できます。

UDP高速化には2つの動作モードがあります。

IPv6ネットワークではNATを使用していないため、UDP高速化も自然に利用可能です。

Q:ネットワークを切り替えた後、UDP高速化が機能していないようですが、それはなぜですか?

現在のSoftEtherプロトコルによれば、既存のセッションの新しいエンドポイントを再ネゴシエートする方法がないため、UDP高速化がNATトラバーサルモードで動作する場合、それは仕方ないです。 ネットワークの切り替え後、サーバがクライアントの新しいアドレスを知らない限り、再接続はできないということです。

元のネットワークに戻ると(IPアドレスが変更されていない場合)、UDPが再び機能する可能性が高いです。

この問題を解決するには、2つのオプションがあります:

Q:VPN Azureサービスに接続できますか?

はい、できます。サーバアドレスとしてホスト名(xx.vpnazure.net)を使用してください。 IPアドレスを入力すると動作しません。

また、VPN Azureにも2つのモードがあります。

ダイレクトモードが機能するためにiOSバージョン、サーババージョン、およびNATタイプは、上記の要件を満たす必要があります。

Q:VPN Gateサービスに接続できますか?

はい。 VPN Gateサーバーに接続するには、以下のように使用してください。

ご注意:VPN Gateサーバーは、世界中のさまざまなボランティアによって提供されています。当社は彼らやプロジェクトとは何の関係もありません。 また、いかなる形式の接続やセキュリティも保証しません。

ご自身の責任で使用してください。

その他

Q:時にWi-FiアイコンがVPNアイコンとともに数秒間消えることがあります。それはなぜですか。

これはVPNが再接続していることを示しています。Wi-Fi接続を失っているのではありません。

Q:再接続をする時にトラフィックをブロックしたいですが(OpenVPNの「シームレストンネル」機能)、 どうすればいいですか?

この機能はすでに有効になっており、無効にする方法は提供していません。

ただし、iOSによって制御されるため、一部のシステムトラフィックはVPNをまったく通過しないことに注意してください。(例えば、プッシュ通知と一部のDNSリクエスト)

Q:サーバのセットアップを手伝ってもらえますか?

サーバ側は我々の範囲外ですが、一般的なアドバイスを提供することはできます。お気軽にご連絡ください。 もし特別なサポートが必要なら、状況を評価した上で(支援できる場合に限り)見積もりを提供する場合があります。

Q:さらに質問がある場合はどうしたらいいですか?

support@domosekai.comにメールを送ってください。 接続に問題がある場合は、ログレベルを「デバッグ」に設定し、接続ログをメールと一緒に送信してください。