平凡マン@天津駐在

個人的な日記。2016/1〜中国天津市駐在。

VPNサーバーを自前で建てたけど、中国の規制に負けた話

はじめに 中国のインターネット&VPN規制

中国生活に不可欠なVPNネット規制回避)。僕は赴任以来ずっとセカイVPNを使っているのだけど、数ヶ月に1〜2日くらい一切不通になる(おそらく当局の制限?)こと、回線速度が遅い(Youtubeがやや重、ニコ動は全くダメ)こと、この2点の不満があった。

そこで良い解決策が無いものかと日々漠然と情報収集をしていたところ、今回レンタルVPSに自前でVPNサーバを建てたらどうか?と思い立ち、試してみた。

結論としては駄目だったのだけど、誰かの参考になれば良いかなと思うので、せっかくなので記録を残してみる。

概要

今回試したことは、以下の通り。

  1. VPSの検討 → 安いので、ConoHaを採用。
  2. PPTPを検討 → OSX12(Sierra)が非対応なため、断念。
  3. OpenVPNで試行錯誤 → 「当局の規制」により開通せず。

VPSの検討

以下の観点から、さくらとConoHa(GMO)の2択となった。

  • 安いこと(月額1,000円以下。セカイVPN以上の費用はちょっと…)
  • 回線速度が速いこと(インフラに信頼感がほしい)
  • ネット上に情報が多いこと(実用DIYに手間暇かけたくない)

結局、価格差によりConoHaに決めた。

www.conoha.jp

さくらのVPSは、初期費用が最低1,000円かかるので、ちょっと試すには不向きだった。一方ConoHaは、ダメだった場合すぐ解約すれば、料金が日割り計算での請求となり、費用を抑えることができて、大変よい。

あとは、昔、さくらVPSを使ったことがあったので、せっかくなら経験のないConoHaを試したいという気持ちも。さくらVPSは安定感抜群で速度も申し分ないと思っていたので、もしConoHaの使用感がいまいちなら、後日乗り換えてもいいかなぁ…という算段を建てた。なお、両社の比較は、以下のサイトが参考になった。

評価の高い 新 ConoHa VPS と さくらのVPS の特徴とUnixBenchを含めたパフォーマンスを比較してみました。 | レンタルサーバー・自宅サーバー設定・構築のヒント

ちなみにVPS自体に不慣れな方には、以下の比較記事もおすすめする。(この2社以外も比較したうえで、結局この2社が良いと言う結論になっている)

VPSのサービス比較を行ってみた 2017年1月版 - プログラマのつれづれなるままに

PPTPの検討

VPSを決めて、クレカを片手にサクッと契約をしたところで、次はVPNサーバをどう建てるか?を考えた(順序がおかしい…)。まず参考にしたのは、以下のサイト。

xiaolongchakan.com

iPhoneの脱獄やSIMフリー化でおなじみ、小龍茶館さん。1年前の記事だったので、これは使える…!と思って、書いてある通りに設定してみた。(iptablesのところは、さくらとGMOとで違いがあるかも…と思ったが、とりあえずなぞった。)が、クライアント側(mac)の設定画面で、僕のmacと記事のスクリーンショットに違いがあることがわかった。僕のmacには、PPTPという選択肢がない…!

www.interlink.or.jp

なんと、OSX12(Sierra)ではPPTPが使えず、VPNベンダーがOSアップデートをしないよう呼びかける有り様。PPTP自体がそもそも非セキュアで、PPTPを開発したマイクロソフト自体、別プロトコルを推奨している状況らしい。

この辺で、無理そうな予感がしていた。

OpenVPNで試行錯誤

ということで、OpenVPNで試行錯誤してみることにした。理由は、参考情報が比較的多く見つかったから。(結局、他のプロトコルについては、まだ試せていない。)そもそもVPNというのは、イントラネット同士をインターネットを通じて仮想的にイントラ扱いするような仕組みであり、中国のネット規制回避システムではない。なので、中国のネット規制回避を目的としたVPSへのセットアップ記事が、意外と見つからず。VPS上ではなく自宅サーバ上にVPNサーバを構築するという記事が多く、参考記事を探すのに苦労した。

結局、参考になったのは以下のサイト。

  1. How To Setup and Configure an OpenVPN Server on CentOS 7 | DigitalOcean
  2. GMOクラウド VPS 活用ガイド|OpenVPNのインストールと設定方法
  3. VPSにOpenVPNサーバーを立ててみた - えぢた 2.2 @k_zoar
  4. CentOS7でOpenVPN2.3が起動しない時の対応方法 - IT石ログ
  5. 中国からOpenVPNで日本のVPNに接続できません - Googleグループ

ざっくり、設定&試行錯誤の流れは以下の通り。

  1. openvpn(とvsftpd)をインストール。
  2. easy-rsa認証局&証明書(サーバ・クライアント)を作成
  3. openvpnの設定(conf)を作成
  4. openvpnを起動したが、失敗 → 上記4のサイトを見て、解決。
  5. クライアントに証明書をコピーして、設定(ovpnファイル)を作成
  6. Tunnelblick(mac用クライアント)で接続を試すが、接続不可。
  7. 「UDP1194はNG」との情報からTCPの別ポートを試すも、解決せず。
  8. 上記5のサイトに行き着き、挫折。(今ココ)

細かいコマンドなどを書く気力も時間もないので、具体的手順は、上に挙げたサイト様をご参考。Linuxサーバを弄った経験のある方なら十分理解可能だろうけど、そうでなければ説明を尽くしても難しいと思われる。というか、結局成功していないので書いても大した意味は無い。

(2017/6/30 追記)

ちなみにセカイVPNに接続してから自前のVPNへ接続したところ問題なく開通したので、VPNサーバーの構築自体は、上記手順で成功しているハズと考えています。(VPNサーバの設定ミスの可能性が疑われるため、補足です。)

最後に VPNサービスの再選択

ということで、自分でVPNを準備してみて、中国のネット規制回避には意外とノウハウが必要らしいということが分かった。

実は、2013〜15年頃、出張で中国へ来ていた頃、日本の自宅のルータのVPN機能でネット規制を回避した成功体験があったので、行けるかな?と思ったというのが、そもそものきっかけ。当時のその機能はPPTPだったので、それがダメだった時点で、雲行きが怪しいとは思ったが、まさかここまで面倒臭いとは思わなかった。また情報収集をしながら、いい方法が見つかったら、試してみようと思う。

 さて、結局セカイVPNを継続使用するしかないと諦め気分ではあるのだけれど、せっかくなので他のVPNサービスについて調べてみた。ひとつ、参考になるサイトが見つかったので、リンクを貼っておく。単なるアフィサイトかもしれないけれど、中国在住邦人にとってVPN選択は割と切実なので、一つの情報として参考になれば幸い。

中国おすすめVPN(2017年版) | 中国IT情報局

一番先頭にあるVyprVPNというのが、Alipayも対応していて便利そうなので、近日中に試してみたいと思う。