SSTP Connect

SSTP / SoftEther VPN Client for iOS

English Version

よくある質問

一般

Q: システムVPN設定を介して接続または切断できますか?

はい、できます。 VPNプロファイルはシステムに保存されます。したがって、アプリを開かなくてもVPNを接続も切断もできます。

Q: アプリからどのようなデータを収集しますか?

何も収集しません。あなたのプロファイルはシステムに保存され、パスワードはキーチェーンに保存されます。接続ログはメモリにのみ保存され、(一時的であっても)デバイスに保存されることはありません。バックグラウンドで何も送受信しません。

Q: 時にWiFiアイコンがVPNアイコンとともに数秒間消えることがあります。それはなぜですか。

これはVPNが再接続していることを示しています。WiFi接続を失っているのではありません。

Q: 再接続をする時にトラフィックをブロックしてほしいですが(OpenVPNの「シームレストンネル」機能)、 どうすればいいですか?

この機能はすでに有効になっており、無効にする方法は提供していません。

ただし、一部のシステムトラフィックはVPNをまったく通過しないことに注意してください。(例えば、プッシュ通知と一部のDNSリクエスト)

これはiOSによって制御されます。

Q: デバイスはモバイルデータからWiFiに切り替えていたのに、VPNは自動的に切り替わらないことがあります。それはなぜですか。

アプリは、代替ネットワークパスが利用可能になったときに通知するためにシステムに依存しています。通常は機能しますが、既存の接続がIPv6経由で行われ、新しいネットワーク(WiFI)がIPv6をサポートしていない場合、通知が届かない可能性があります。

切り替えが発生したかどうかは、接続ログから知ることができます。答えが「いいえ」の場合は、手動でVPNを再接続する必要があります。

プロファイル

Q: プロファイルに必要なアイテムは何ですか?

少なくとも次の情報を入力する必要があります:

Q: サーバーアドレスとして、IPアドレスとホスト名のどちらを入力すればいいですか?

IPの変更にいちいち対応する必要がないため、ホスト名(vpn.example.comなど)を使用するのが一般的です。

ただし、DNSプロバイダーの信頼性が低い場合、またはIPv4とIPv6のどちらかへの接続を強制したい場合(サーバーはデュアルスタック)は、IPアドレスを使用できます。 その場合、TLS検証およびWindows Serverに応じて、ホスト名フィールドにホスト名を入力する必要があります。

SSTP

Q: Windows SSTPクライアントと同じ機能を提供していますか?

ほとんどの場合、公式クライアントと同じ接続を提供します。ただし、以下の状況では当アプリが機能しません。

SoftEther

Q: WindowsでSoftEtherクライアントを使用して接続できる場合、このアプリも同様に使えますか?

ほとんどの場合、公式クライアントと同じ接続を提供します。ただし、以下の状況では当アプリが機能しません。

Q: UDP高速化機能とは何ですか?iOS 13 / サーバービルド9695以降が必要となるのはなぜですか?

SoftEtherは通常直接TCPを介して接続し、データパケットもTCPで転送されます。UDP高速化により、UDPでデータパケットの送受信も可能になります。 高速化とはいうものの、ネットワークの状態によっては、通信速度がTCPより優れている場合とそうでない場合があります。

SoftEtherはこれまで2つのバージョンのUDP高速化機能を実装してきました。元のバージョンはRC4という暗号でデータを暗号化しますが、RC4に脆弱性が証明されたので、対応は見送りしました。 AppleもiOS 10を境にRC4に対するサポートを終了しました。

新しいバージョンはサーバービルド9695で導入され、暗号としてChaCha20-Poly1305を使用しています。iOS 13以降では、Appleもネイティブサポートを提供しています。

Q: UDPとTCPのどちらを使用しているかを知るにはどうすればいいですか? UDPが時々機能しないのはなぜですか?

UDPを使用するとき、ステータスバーに「UDP」というサインが表示されます。接続ログからも判断できます。

UDP高速化には2つの動作モードがあります。

IPv6ネットワークではNATを使用していないため、UDP高速化も自然に利用可能です。

Q: ネットワークを切り替えた後、UDP高速化が機能していないようですが、それはなぜですか?

現在のSoftEtherプロトコルによれば、既存のセッションの新しいエンドポイントを再ネゴシエートする方法がないため、UDP高速化がNATトラバーサルモードで動作する場合、これは仕方ないです。 ネットワークの切り替え後、サーバーがクライアントの新しいアドレスを知らない限り、再接続はできないということです。

元のネットワークに戻ると(IPアドレスが変更されていない場合)、UDPが再び機能する可能性が高いです。

この問題を解決するには、2つのオプションがあります:

Q: VPN Azureサービスに接続できますか?

はい、できます。サーバアドレスとしてホスト名(xx.vpnazure.net)を使用してください。 IPアドレスを入力すると動作しません。

また、VPN Azureにも2つのモードがあります。

ダイレクトモードが機能するためにiOSバージョン、サーバービルド、およびNATタイプは、上記の要件を満たしている必要もあります。

Q: VPN Gateサービスに接続できますか?

はい。 VPN Gateサーバーに接続するには、以下のように使用してください。

ご注意:VPN Gateサーバーは、世界中のさまざまなボランティアによって提供されています。当社は彼らやプロジェクトとは何の関係もありません。 また、いかなる形式の接続やセキュリティも保証しません。

ご自身の責任で使用してください。

TLS検証について

Q: サーバーの信頼性評価とは何ですか?いつ無効にする必要があるのですか?

サーバーの信頼性評価(またはTLS検証)は、サーバーのアイデンティティを検証するプロセスです。すべてのSSTPサーバーはクライアントに証明書を提供する必要があり、その有効性を検証することによって、ネットワークを乗っ取って情報を盗もうとする攻撃者(MITM攻撃と呼ばれます)から保護されます。

一般論として、TLS検証を無効にしないでください。ただし、場合によっては、それを実行したい場合があります(たとえば、サーバーが古い証明書または脆弱な証明書を使用していて、それを変更できない場合など)。最後の手段としてのみ使用し、常に最初にサーバー管理者に相談することをお勧めします。

Q: TLS検証に合格するには、サーバー証明書はどのような要件を満たす必要がありますか?

経験則:サーバーアドレスの先頭にhttps://を追加し、Safariで開いてください(例:https://yourserveraddress)。403または404エラーが報告されたら、問題ないということです(SSTPサーバーはWebサイトではないため、これは正常です)。

もし証明書エラーが発生した場合、TLS検証が失敗したことがわかります。

iOS 13以降では、サーバー証明書に対してより厳格なルールを適用しています。詳細については、以下のリンクを参照してください。

https://support.apple.com/ja-jp/HT210176

https://support.apple.com/ja-jp/HT211025

Q: SoftEther VPN Serverで作成した証明書を使用する場合、TLS検証を通るにはどうすればよいですか?

SoftEther VPN Serverによって自動的に作成された証明書は、iOS 13の要件を満たしていないため、このガイドに従って再作成する必要があります。

Q: サーバーが自己署名証明書またはパブリックCAによって署名されていない証明書を使用する場合はどうすればよいですか?

セキュリティ上の理由から、パブリックCAによって署名された証明書を使用することを強くお勧めします。ただし、それが不可能な場合は、管理者からルートCA証明書を入手し、デバイスにインストールして信頼することができます。証明書はiOSの要件を満たす必要があるほか、iOSのバージョンによっては、常に機能するとは限らないことにも注意してください。最後の手段として、TLS検証を無効にすることもできます。

Q: 証明書をインストールして信頼するにはどうすればよいですか?

iOSでは、証明書(通常はルートCA)はプロファイルと呼ばれます。証明書を自分のメールボックスに送信するか、Webからダウンロードして、デバイスで開きます。 プロファイルをインストールする準備ができたという通知が出てきます。

インストールするには:https://support.apple.com/ja-jp/HT209435

信頼するには:https://support.apple.com/ja-jp/HT204477

その他

Q: アプリがバッテリーを消耗しているみたいです。

デフォルトのプロファイルでは、デバイスがスリープに入ってもVPNはオンのままとなっています。したがって、スリープ状態に入れません(正確にはスリープ入りとウェイクアップの繰り返しです)。このスイッチをオフにすれば、デバイスがウェイクアップしたときにVPNが再接続するようになります。これによりバッテリーは節約されますが、再接続には時間がかかる場合があります。

ただし、どのように設定しても、デバイスがずっとスリープ状態に入らない場合があります。それを接続ログで確認できます(ログに「Entering sleep mode」という表示がまったくないことを)。 もしデバイスが充電されているか、バックグラウンドで何かが動いている(音楽が再生されているなど)場合、これは正常です。特に心当たりがない場合は、デバイスを再起動してみてください。

Q: 「スリープ時に接続を維持」をオンにしていますが、接続が切断されることがあります。それはなぜですか。

前述したように、スリープとウェイクアップはシステムによって制御されます。しかし具体的なメカニズムは不明です。 システムがネットワーク接続をシャットダウンする必要があると判断した場合、アプリはそれ以上接続を維持する方法がありません。デバイスを再起動すると問題が解決する場合があります。

また、モバイルデータとWiFiの両方がオンになっていると、WiFiを介した接続がスリープ時に切断されてしまう可能性が高いらしいです。 モバイルデータをオフにしてみてください。

Q: サーバーのセットアップを手伝ってもらえますか?

サーバー側は我々の範囲外ですが、一般的なアドバイスを提供することはできます。お気軽にご連絡ください。 もし特別なサポートが必要なら、状況を評価した上で(支援できる場合に限り)見積もりを提供する場合があります。

Q: さらに質問がある場合はどうしたらいいですか?

support@domosekai.comにメールを送ってください。 接続に問題がある場合は、ログレベルを「デバッグ」に設定し、接続ログをメールと一緒に送信してください。