よくある質問
一般
Q: システムVPN設定を介して接続または切断できますか?
はい、できます。 VPNプロファイルはシステムに保存されます。したがって、アプリを開かなくてもVPNを接続も切断もできます。
Q: アプリからどのようなデータを収集しますか?
何も収集しません。あなたのプロファイルはシステムに保存され、パスワードはキーチェーンに保存されます。接続ログはメモリにのみ保存され、(一時的であっても)デバイスに保存されることはありません。バックグラウンドで何も送受信しません。
Q: 時にWiFiアイコンがVPNアイコンとともに数秒間消えることがあります。それはなぜですか。
これはVPNが再接続していることを示しています。WiFi接続を失っているのではありません。
Q: 再接続をする時にトラフィックをブロックしてほしいですが(OpenVPNの「シームレストンネル」機能)、 どうすればいいですか?
この機能はすでに有効になっており、無効にする方法は提供していません。
ただし、一部のシステムトラフィックはVPNをまったく通過しないことに注意してください。(例えば、プッシュ通知と一部のDNSリクエスト)
これはiOSによって制御されます。
Q: デバイスはモバイルデータからWiFiに切り替えていたのに、VPNは自動的に切り替わらないことがあります。それはなぜですか。
アプリは、代替ネットワークパスが利用可能になったときに通知するためにシステムに依存しています。通常は機能しますが、既存の接続がIPv6経由で行われ、新しいネットワーク(WiFI)がIPv6をサポートしていない場合、通知が届かない可能性があります。
切り替えが発生したかどうかは、接続ログから知ることができます。答えが「いいえ」の場合は、手動でVPNを再接続する必要があります。
プロファイル
Q: プロファイルに必要なアイテムは何ですか?
少なくとも次の情報を入力する必要があります:
- 接続の説明
- サーバーアドレス(ホスト名またはIPアドレス)
- ユーザー名とパスワード
- 仮想HUB名(SoftEtherのみ)
Q: サーバーアドレスとして、IPアドレスとホスト名のどちらを入力すればいいですか?
IPの変更にいちいち対応する必要がないため、ホスト名(vpn.example.comなど)を使用するのが一般的です。
ただし、DNSプロバイダーの信頼性が低い場合、またはIPv4とIPv6のどちらかへの接続を強制したい場合(サーバーはデュアルスタック)は、IPアドレスを使用できます。 その場合、TLS検証およびWindows Serverに応じて、ホスト名フィールドにホスト名を入力する必要があります。
SSTP
Q: Windows SSTPクライアントと同じ機能を提供していますか?
ほとんどの場合、公式クライアントと同じ接続を提供します。ただし、以下の状況では当アプリが機能しません。
- HTTP / SOCKSプロキシ経由での接続
- パスワード以外の認証方法を使用
- PEAPが必要となる
SoftEther
Q: WindowsでSoftEtherクライアントを使用して接続できる場合、このアプリも同様に使えますか?
ほとんどの場合、公式クライアントと同じ接続を提供します。ただし、以下の状況では当アプリが機能しません。
- サーバーに接続するには、NATトラバーサルまたは直接UDP接続が必要となる
- HTTP / SOCKSプロキシ経由での接続
- パスワード以外の認証方法を使用
Q: UDP高速化機能とは何ですか?iOS 13 / サーバービルド9695以降が必要となるのはなぜですか?
SoftEtherは通常直接TCPを介して接続し、データパケットもTCPで転送されます。UDP高速化により、UDPでデータパケットの送受信も可能になります。 高速化とはいうものの、ネットワークの状態によっては、通信速度がTCPより優れている場合とそうでない場合があります。
SoftEtherはこれまで2つのバージョンのUDP高速化機能を実装してきました。元のバージョンはRC4という暗号でデータを暗号化しますが、RC4に脆弱性が証明されたので、対応は見送りしました。 AppleもiOS 10を境にRC4に対するサポートを終了しました。
新しいバージョンはサーバービルド9695で導入され、暗号としてChaCha20-Poly1305を使用しています。iOS 13以降では、Appleもネイティブサポートを提供しています。
Q: UDPとTCPのどちらを使用しているかを知るにはどうすればいいですか? UDPが時々機能しないのはなぜですか?
UDPを使用するとき、ステータスバーに「UDP」というサインが表示されます。接続ログからも判断できます。
UDP高速化には2つの動作モードがあります。
- ダイレクトモード:TCPと同様に、サーバー上の特定のポートを開く必要があります。これが最も安定的なモードです。
- NATトラバーサルモード:ポートは開いていませんが、クライアントとサーバーの外部IPを外部サーバーから取得します。 そしてUDP接続を確立するには、両端がパブリックアドレス上にあるか、特定のタイプのNATネットワーク(「コーンNAT」と呼ばれる)の配下にある必要があります。 たとえば、多くのIPv4モバイルネットワークでは、NATトラバーサルに厳しい対称NAT (Symmetric NAT)を使用しているので、UDP高速化はだいたい機能しません。
IPv6ネットワークではNATを使用していないため、UDP高速化も自然に利用可能です。
Q: ネットワークを切り替えた後、UDP高速化が機能していないようですが、それはなぜですか?
現在のSoftEtherプロトコルによれば、既存のセッションの新しいエンドポイントを再ネゴシエートする方法がないため、UDP高速化がNATトラバーサルモードで動作する場合、これは仕方ないです。 ネットワークの切り替え後、サーバーがクライアントの新しいアドレスを知らない限り、再接続はできないということです。
元のネットワークに戻ると(IPアドレスが変更されていない場合)、UDPが再び機能する可能性が高いです。
この問題を解決するには、2つのオプションがあります:
- TCPの場合と同じように、サーバー側の関連するUDPポートを開きます(ダイレクトモード)。または
- 新しいネットワークで手動でVPNを再接続します。
Q: VPN Azureサービスに接続できますか?
はい、できます。サーバアドレスとしてホスト名(xx.vpnazure.net)を使用してください。 IPアドレスを入力すると動作しません。
また、VPN Azureにも2つのモードがあります。
- リレーモード:純粋なTCPモードで、ほとんどの場合に機能するはずですが、リレーのため速度が低下する可能性があります。
- ダイレクトモード:UDP高速化を使用して、データパケットを実サーバーに直接転送します。
ダイレクトモードが機能するためにiOSバージョン、サーバービルド、およびNATタイプは、上記の要件を満たしている必要もあります。
Q: VPN Gateサービスに接続できますか?
はい。 VPN Gateサーバーに接続するには、以下のように使用してください。
- サーバ:xx.opengw.net(またはIPアドレス)
- ホスト名:xx.opengw.net(サーバとしてIPを入力している場合のみ)
- ポート:TCPポート番号(UDPは非対応)
- 仮想HUB名:vpngate
- ユーザ名:vpn
- パスワード:vpn
ご注意:VPN Gateサーバーは、世界中のさまざまなボランティアによって提供されています。当社は彼らやプロジェクトとは何の関係もありません。 また、いかなる形式の接続やセキュリティも保証しません。
ご自身の責任で使用してください。
TLS検証について
Q: サーバーの信頼性評価とは何ですか?いつ無効にする必要があるのですか?
サーバーの信頼性評価(またはTLS検証)は、サーバーのアイデンティティを検証するプロセスです。すべてのSSTPサーバーはクライアントに証明書を提供する必要があり、その有効性を検証することによって、ネットワークを乗っ取って情報を盗もうとする攻撃者(MITM攻撃と呼ばれます)から保護されます。
一般論として、TLS検証を無効にしないでください。ただし、場合によっては、それを実行したい場合があります(たとえば、サーバーが古い証明書または脆弱な証明書を使用していて、それを変更できない場合など)。最後の手段としてのみ使用し、常に最初にサーバー管理者に相談することをお勧めします。
Q: TLS検証に合格するには、サーバー証明書はどのような要件を満たす必要がありますか?
経験則:サーバーアドレスの先頭にhttps://を追加し、Safariで開いてください(例:https://yourserveraddress)。403または404エラーが報告されたら、問題ないということです(SSTPサーバーはWebサイトではないため、これは正常です)。
もし証明書エラーが発生した場合、TLS検証が失敗したことがわかります。
iOS 13以降では、サーバー証明書に対してより厳格なルールを適用しています。詳細については、以下のリンクを参照してください。
https://support.apple.com/ja-jp/HT210176
https://support.apple.com/ja-jp/HT211025
Q: サーバーが自己署名証明書またはパブリックCAによって署名されていない証明書を使用する場合はどうすればよいですか?
セキュリティ上の理由から、パブリックCAによって署名された証明書を使用することを強くお勧めします。ただし、それが不可能な場合は、管理者からルートCA証明書を入手し、デバイスにインストールして信頼することができます。証明書はiOSの要件を満たす必要があるほか、iOSのバージョンによっては、常に機能するとは限らないことにも注意してください。最後の手段として、TLS検証を無効にすることもできます。
Q: 証明書をインストールして信頼するにはどうすればよいですか?
iOSでは、証明書(通常はルートCA)はプロファイルと呼ばれます。証明書を自分のメールボックスに送信するか、Webからダウンロードして、デバイスで開きます。 プロファイルをインストールする準備ができたという通知が出てきます。
インストールするには:https://support.apple.com/ja-jp/HT209435
信頼するには:https://support.apple.com/ja-jp/HT204477
その他
Q: アプリがバッテリーを消耗しているみたいです。
デフォルトのプロファイルでは、デバイスがスリープに入ってもVPNはオンのままとなっています。したがって、スリープ状態に入れません(正確にはスリープ入りとウェイクアップの繰り返しです)。このスイッチをオフにすれば、デバイスがウェイクアップしたときにVPNが再接続するようになります。これによりバッテリーは節約されますが、再接続には時間がかかる場合があります。
ただし、どのように設定しても、デバイスがずっとスリープ状態に入らない場合があります。それを接続ログで確認できます(ログに「Entering sleep mode」という表示がまったくないことを)。 もしデバイスが充電されているか、バックグラウンドで何かが動いている(音楽が再生されているなど)場合、これは正常です。特に心当たりがない場合は、デバイスを再起動してみてください。
Q: 「スリープ時に接続を維持」をオンにしていますが、接続が切断されることがあります。それはなぜですか。
前述したように、スリープとウェイクアップはシステムによって制御されます。しかし具体的なメカニズムは不明です。 システムがネットワーク接続をシャットダウンする必要があると判断した場合、アプリはそれ以上接続を維持する方法がありません。デバイスを再起動すると問題が解決する場合があります。
また、モバイルデータとWiFiの両方がオンになっていると、WiFiを介した接続がスリープ時に切断されてしまう可能性が高いらしいです。 モバイルデータをオフにしてみてください。
Q: サーバーのセットアップを手伝ってもらえますか?
サーバー側は我々の範囲外ですが、一般的なアドバイスを提供することはできます。お気軽にご連絡ください。 もし特別なサポートが必要なら、状況を評価した上で(支援できる場合に限り)見積もりを提供する場合があります。
Q: さらに質問がある場合はどうしたらいいですか?
support@domosekai.comにメールを送ってください。 接続に問題がある場合は、ログレベルを「デバッグ」に設定し、接続ログをメールと一緒に送信してください。