よくある質問
一般
Q:はじめるには?
SSTP Connectを使用するには、まずプロファイルを作成する必要があります。
少なくとも次の情報を入力する必要があります:
- 接続の説明
- サーバアドレス
- ユーザ名とパスワード(または証明書)
- 仮想HUB名(SoftEtherのみ)
SoftEther VPNを利用する場合、以下の記事もご参考にしてください。紹介していただいたSolomonレビューさんに感謝いたします。
SoftEther VPN クライアントマネージャ接続設定ファイル(.vpn)をお持ちの場合、以下の方法でインポートすることもできます:
- 右上の + をタップして、「ファイルからインポート」を選択、または
- 別のアプリから共有/開く。
Q:プロファイルの各アイテムを説明してください。
-
プロトコル
使用するVPNプロトコルを選んでください。現在、SSTPとSoftEtherをサポートしています。
-
説明
必須
任意の説明を入力してください。システムVPNリストにも表示されます。
-
サーバ
必須
ホスト名またはIPアドレスのいずれかを入力してください。
IPの変更にいちいち対応する必要がないため、ホスト名(
vpn.example.com
など)を使用するのが一般的です。ただし、DNSプロバイダーの信頼性が低い場合、またはIPv4とIPv6のどちらかへの接続を強制したい場合(デュアルスタックサーバ)は、IPアドレスも使用できます。
iOS 12以降ではシステムプロキシが自動的に使用されます。
-
ホスト名
TLSサーバ検証に使用されるサーバのホスト名。
サーバ欄にホスト名を入力した場合は、同じホスト名を再度入力する必要はありません。
サーバ欄にIPアドレスを入力した場合は、サーバ証明書と一致するホスト名をここに入力してください。そうしないと、TLS検証が失敗します。
-
ポート
サーバのポート番号。デフォルトでは
443
となります。 -
TLSサーバ検証
TLSサーバ検証は、サーバの信頼性を検証し、MITM(Man-In-The-Middle)攻撃からあなたを保護します。常に有効にすることを強くお勧めします。
サーバがパブリック証明書を使用していない場合は、TLSサーバ検証に合格するために追加の手順が必要になる場合があります。詳細については、以下を参照してください。
-
仮想HUB名
SoftEtherのみ
仮想HUB名を入力してください。
デフォルトのHUB名としては
default
やvpn
などがあります。VPN Gateサービスを使用している場合、HUB名はvpngate
です。 -
コネクション数
SoftEtherのみ
SoftEther VPNセッションのTCP接続本数。
最大32接続をサポートしていますが、2本から試してみることをお勧めします。接続が増えると、より多くのメモリが消費されます。重い負荷では使用しないでください。
-
UDP高速化機能
SoftEtherのみ
iOS 12以降が必要
必要に応じてUDP高速化機能を有効にしてください。
-
NATトラバーサル機能
SoftEtherのみ
iOS 12以降が必要
NAT-T機能はグローバルIPアドレスを持っていないサーバやポートの開放ができない場合などに重要です。必要に応じて有効にしてください。
しかしすべての場合に機能するというわけではありません。詳細はSoftEther公式説明をご参照ください。
-
認証方式
パスワードまたは証明書のいずれかを選んでください。
証明書による認証は、iOS 12からサポートされています。
-
ユーザ名
必須
VPNのアカウント名を入力してください。
証明書認証を使用するSSTPユーザの場合、証明書UPN (User Principal Name)の記載と一致する限り、ユーザ名を省略できます。
SoftEtherサーバにSSTPプロトコルで接続する場合、デフォルトの仮想HUBが使用している場合を除き、仮想HUB名を
user@HUB
の形でアカウント名に追加する必要があります。 -
パスワード
パスワードを入力してください。パスワードはキーチェーンに保存され、iOSによって保護されます。
入力しない場合は、接続するたびにパスワードが要求されます。
-
証明書
証明書認証に必要
まず証明書をインポートし、利用したいものを指定してください。証明書(秘密鍵を含む)はキーチェーンに保存され、iOSによって保護されます。
証明書をインポートする方法については、以下を参照してください。SoftEtherプロトコルは現在、RSA証明書のみをサポートしています。
-
PEAP認証
SSTPのみ
iOS 12以降が必要
サーバがPEAP認証を要求する場合に有効にしてください。
-
EAP認証
SSTPのみ
サーバがパスワード認証にEAP-MSCHAPv2を要求する場合に有効にしてください。
-
PAP/CHAP認証
SSTPのみ
サーバがこれらの古い認証方法のみをサポートする場合に有効にしてください。
-
トンネルIPバージョン
VPNトンネル内のIPバージョンを選択してください。IPv6トンネルの場合、現在サポートされているのはステートレス構成のみです(DHCPv6はサポートされていません)。
-
静的IP/DNS設定
管理者からの指示がある場合、手動でIPとDNSを設定できます。
-
MTU
トンネルのMTUサイズ。デフォルトとしては、SSTPの場合は1400、SoftEtherの場合は1500です。
この数値は通常、クライアント側のネットワーク環境とほとんど関係がなく、変更する必要はありません。
-
デフォルトゲートウェイ
インターネットトラフィックがVPNに転送されるように、デフォルトルートを追加するかどうかを選択してください。
iOSの組み込みVPNでは、このオプションを「すべての信号を送信」といいます。
-
プロキシ
VPNトンネル内のプロキシ設定を指定できます。
-
オンデマンド規則
VPNオンデマンドルールを編集できます。詳細については、以下を参照してください。
-
TLS 1.0/1.1を無効にする
TLS 1.0/1.1は古いバージョンです。アプリはサーバが受け入れる限り最新のTLSバージョン(最大1.3)を使用します。ただし、ここで古いバージョンを明示的に無効にすることもできます。
-
自動再接続
中断された場合にVPNを再接続するかどうかを選択できます。
-
リトライ回数
接続が失敗した場合に再試行する回数。
-
一時IPv6アドレス
(サーバで許可されている限り)接続するたびにIPv6アドレスを変更します。
-
Wi-Fiへ自動切り替え
既存のVPNセッションがモバイルネットワーク上にあり、デバイスがWi-Fiに接続している場合、デフォルトでは、セッションがそのままモバイル上にとどまります。このオプションを有効にすると、Wi-Fiへのアップグレードが行われます。
アップグレードはiOSによって制御されており、常に機能するとは限らないことに注意してください。たとえば、現在のモバイル接続がIPv6を介して行われていて、Wi-FiがIPv4のみである場合、アップグレードが行われない可能性があります。
-
スリープ時に接続を維持
デバイスがスリープ状態に入るときにVPNを切断するかどうかを選択してください。
このオプションを無効にするとバッテリーは節約されますが、再接続には時間がかかる場合があります。
たとえオンに設定すると、スリープとウェイクアップはiOSによって処理されるため、VPNがスリープ後必ず維持されるとは限りません。 特に、モバイルデータとWi-Fi両方がオンになっていると、Wi-Fiを介した接続がスリープ時に切断されてしまう可能性が高いです。モバイルデータをオフにしてみてください。
Q:システムVPN設定から接続または切断できますか?
はい、アプリを開かなくてもVPNを接続も切断もできます。
TLSサーバへの信頼性評価(TLS検証)
Q:TLS検証に合格するには、サーバ証明書はどういった要件を満たす必要がありますか?
iOS 13以降では、サーバ証明書に対してより厳格なルールを適用しています。詳細については、以下のリンクを参照してください。
https://support.apple.com/ja-jp/HT210176
https://support.apple.com/ja-jp/HT211025
最も重要なのは次のとおりです。
- RSAキーサイズが2048ビット以上である
- ハッシュアルゴリズムがSHA-2ファミリ(SHA256など)である
- DNS名がサブジェクト代替名(SAN)に記載される(Common Nameは無視されます)
- 有効期間が825日以内である
Q:SoftEther VPN Serverによって生成された証明書を使用する場合はどうすればよいですか?
SoftEther VPN Serverによって自動的に生成された証明書は、上記の要件を満たしていません。このガイドに従って再生成してください。
Q:サーバが自己署名証明書またはパブリックCAによって署名されていない証明書を使用する場合はどうすればよいですか?
セキュリティ上の理由から、パブリック認証局によって署名された証明書を使用することを強くお勧めします。ただし、それが不可能な場合は、管理者からルートCA証明書を入手し、デバイスにインストールして信頼することができます。
それでも証明書が上記のiOS要件を満たす必要があります。
Q:証明書をインストールして信頼するにはどうすればよいですか?
証明書を自分宛てにメールで送信するか、Webからダウンロードして、デバイスで開いてください。 プロファイルをインストールする準備ができたという通知が出てきます。
インストールするには:https://support.apple.com/ja-jp/HT209435
信頼するには:https://support.apple.com/ja-jp/HT204477
Q:TLSサーバ検証を無効にできますか?
一般論として、TLSサーバ検証を無効にしないでください。ただし、場合によっては、それを実行したいケースもあります(たとえば、サーバが古い証明書または脆弱な証明書を使用していて、それを変更できない場合など)。最後の手段として使用し、常に管理者に相談することをお勧めします。
証明書による認証
Q:証明書をインポートするにはどうすればよいですか?
証明書認証を使用するには、まず証明書をインポートすることです。現在、アプリはPKCS #12形式(.p12または.pfxファイル)に格納された証明書をサポートしています。
PKCS #12は、Windowsプラットフォームのデフォルトの形式であり、SoftEther VPN Serverでもサポートされています。
管理者からP12ファイルを取得し、デバイスに配置する必要があります。これについてはいくつかの方法で行うことができます。
- パソコンのFinderまたはiTunesからファイルを共有する(下記の手順を参照してください)
- ファイルを自分宛てにメールで送信し、添付ファイルを長押しして、「"ファイル"に保存」を選択する
- iCloudドライブまたはファイルアプリからアクセスできるその他のクラウドドライブに保存する
デバイスに置いてから、「インポート」をタップしてフォルダーに移動します。パスワードと任意の説明を入力してください。
証明書(秘密鍵も含む)はキーチェーンに保存されます。セキュリティ上の理由から、インポート後にファイルを削除するか、安全な場所に保管してください。
一つの証明書は複数のプロファイルで使用できます。
Finderを使ってファイルを共有する手順
macOS Catalina 以降の場合
https://support.apple.com/ja-jp/HT210598
iTunesを使ってファイルを共有する手順
macOS Mojave 以前または Windows パソコンの場合
https://support.apple.com/ja-jp/HT201301
Q:証明書を削除するにはどうすればよいですか?
「証明書選択」で、スワイプして削除できます。
現在のiOSでは、アプリを削除しても、証明書はそのままキーチェーンに残ります(引き続きiOSに保護されています)。アプリを再インストールすると、再び使用できます。
Q:新しい証明書をインポートしたいのですが、アプリがすでにキーチェーンにあると文句を言います。そんなことがあるものか?
iOSポリシーによれば、同じ発行者からの同じシリアル番号を持つ証明書は、名前が異なっていても同じと見なされます。管理者に、新しいシリアル番号で証明書を生成するように依頼してください。
Q:システムに証明書がインストールされています。アプリで表示されないのはなぜですか?
サードパーティのアプリとして、組み込みVPNのようにシステムにインストールされている証明書にアクセスすることはできません。アプリであらためてインポートする必要があります。
VPNオンデマンド
Q:VPNオンデマンドとは何ですか?その使用方法は?
VPNオンデマンドは、事前に定めた規則に沿ってVPNの接続や切断を行う高度なiOS機能です。
まずは規則を作成する必要があります。iOSが順番に評価を行う、最初に該当したルールのみが適用されます。 評価プロセスはiOSによって完全に処理され、アプリにはその動作を変更する方法がありません。
重要: 現在有効になっている(選択されている)VPNプロファイルの規則のみが評価されます。
Q:オンデマンド規則を作成するにはどうすればよいですか?
規則には、1つのアクションといくつかの条件があります。すべての条件が満たされると、アクションが実行されるという仕組みです。
アクションには4つのタイプがあります。
- 接続
- 切断
- コネクション評価(以下を参照)
- 無視
次のタイプの条件を指定できます。
- 現在のインターフェイスタイプ(Wi-Fi、モバイル、または任意)
- Wi-FiのSSID(複数可)
- DNS検索ドメイン(複数可)
- DNSサーバ(複数可)
- プローブURL(指定されたHTTPまたはHTTPS URLに到達できる)
条件が指定されていない場合はすべての状況に該当します。したがって、それ以降の規則は無視されます。
Q:家のWi-Fiに繋がるとVPNを切断する、離れると接続するように設定したいのですが、規則をどう書けばよいですか?
以下の順で2つの規則を作成してください。
- 規則1
アクション:切断
インターフェース:Wi-Fi
SSID:(家Wi-FiのSSID)
- 規則2
アクション:接続
条件を入力する必要はありません
そして、「オンデマンド接続を有効化」をクリックし、プロファイルを保存してください。
注1: プロファイルが選択されていることを確認してください(チェックマークが表示されます)。プロファイルが選択されていない場合は機能しません。
注2: 順番が重要です。規則2を規則1の先に配置すると、規則2がどんな状況でも該当するので、規則1は永遠に実行されません。 「編集」をタップして順番を変更することができます。
Q:アクションタイプ「コネクション評価」とは何ですか?
コネクション評価は、接続ごとに宛先を評価してアクションを実行する特別なアクションです。
宛先に到達できない場合は、これらのアクションのいずれかを実行できます。
- 必要に応じて接続
- 接続しない(無視)
たとえば、内部Webサイトが要求されている場合(現在のネットワークでは到達できない)、自動的にVPNに接続するよう、次のように規則を設定します。
アクション:必要に応じて接続
評価されるドメイン:companyinternal.com(すべての*.companyinternal.comが該当します)
SSTPに関する質問
Q:Windows SSTPクライアントと同じ機能を提供していますか?
ほとんどの場合、公式クライアントと同じ機能を提供します。Windows Server RRASでサポートされている標準認証方式をすべて対応しています。
特殊なケースかと思われる場合は、ご相談ください。
SoftEtherに関する質問
Q:WindowsでSoftEtherクライアントを使用して接続できる場合、このアプリも同様に使えますか?
ほとんどの場合、公式クライアントと同じ機能を提供します。直接(TCP)接続もNAT-T経由での接続も使用できます。
特殊なケースかと思われる場合は、ご相談ください。
Q:UDP高速化機能とは何ですか?
SoftEtherは通常直接TCPを介して接続し、データパケットもTCPで転送されます。UDP高速化により、UDPでデータパケットの送受信も可能になります。 高速化とはいうものの、ネットワークの状態によっては、通信速度がTCPより優れている場合とそうでない場合があります。
Q:UDPとTCPのどちらを使用しているかを知るにはどうすればいいですか? UDPが時々機能しないのはなぜですか?
UDPを使用するとき、ステータスバーに「UDP」というサインが表示されます。接続ログからも判断できます。
UDP高速化には2つの動作モードがあります。
- ダイレクトモード:TCPと同様に、サーバ上の特定のポートを開く必要があります。これが最も安定的なモードです。
- NATトラバーサルモード:ポートは開いていませんが、クライアントとサーバの外部IPを外部サーバーから取得します。 そしてUDP接続を確立するには、両端がパブリックアドレス上にあるか、特定のタイプのNATネットワーク(「コーンNAT」と呼ばれる)の配下にある必要があります。 たとえば、多くのIPv4モバイルネットワークでは、NATトラバーサルに厳しい対称NAT (Symmetric NAT)を使用しているので、UDP高速化はほとんど機能しません。
IPv6ネットワークではNATを使用していないため、UDP高速化も自然に利用可能です。
Q:ネットワークを切り替えた後、UDP高速化が機能していないようですが、それはなぜですか?
現在のSoftEtherプロトコルによれば、既存のセッションの新しいエンドポイントを再ネゴシエートする方法がないため、UDP高速化がNATトラバーサルモードで動作する場合、それは仕方ないです。 ネットワークの切り替え後、サーバがクライアントの新しいアドレスを知らない限り、再接続はできないということです。
元のネットワークに戻ると(IPアドレスが変更されていない場合)、UDPが再び機能する可能性が高いです。
この問題を解決するには、2つのオプションがあります:
- TCPの場合と同じように、サーバ側の関連するUDPポートを開きます(ダイレクトモード)。または
- 新しいネットワークで手動でVPNを再接続します。
Q:VPN Azureサービスに接続できますか?
はい、できます。サーバアドレスとしてホスト名(xx.vpnazure.net)を使用してください。 IPアドレスを入力すると動作しません。
また、VPN Azureにも2つのモードがあります。
- リレーモード:純粋なTCPモードで、ほとんどの場合に機能するはずですが、リレーのため速度が低下する可能性があります。
- ダイレクトモード:UDP高速化を使用して、データパケットを実サーバーに直接転送します。
ダイレクトモードが機能するためにiOSバージョン、サーババージョン、およびNATタイプは、上記の要件を満たす必要があります。
Q:VPN Gateサービスに接続できますか?
はい。 VPN Gateサーバーに接続するには、以下のように使用してください。
- サーバ:xx.opengw.net(またはIPアドレス)
- ホスト名:xx.opengw.net(サーバとしてIPを入力している場合のみ)
- ポート:TCPポート番号(UDPは非対応)
- 仮想HUB名:vpngate
- ユーザ名:vpn
- パスワード:vpn
ご注意:VPN Gateサーバーは、世界中のさまざまなボランティアによって提供されています。当社は彼らやプロジェクトとは何の関係もありません。 また、いかなる形式の接続やセキュリティも保証しません。
ご自身の責任で使用してください。
その他
Q:時にWi-FiアイコンがVPNアイコンとともに数秒間消えることがあります。それはなぜですか。
これはVPNが再接続していることを示しています。Wi-Fi接続を失っているのではありません。
Q:再接続をする時にトラフィックをブロックしたいですが(OpenVPNの「シームレストンネル」機能)、 どうすればいいですか?
この機能はすでに有効になっており、無効にする方法は提供していません。
ただし、iOSによって制御されるため、一部のシステムトラフィックはVPNをまったく通過しないことに注意してください。(例えば、プッシュ通知と一部のDNSリクエスト)
Q:サーバのセットアップを手伝ってもらえますか?
サーバ側は我々の範囲外ですが、一般的なアドバイスを提供することはできます。お気軽にご連絡ください。 もし特別なサポートが必要なら、状況を評価した上で(支援できる場合に限り)見積もりを提供する場合があります。
Q:さらに質問がある場合はどうしたらいいですか?
support@domosekai.comにメールを送ってください。 接続に問題がある場合は、ログレベルを「デバッグ」に設定し、接続ログをメールと一緒に送信してください。