たぶん次で終わりです。

• 日記さん 中国中部おためし放浪(12日目)-ひさびさの移動日@成都

飲み物や朝食を買うのに、「零食很忙」「零食有鸣」など「零食」(おやつとかの意味)と名のつくお店は地域最安値になりやすいと四川で学んだけれど、

最後贵阳でも見つけてやっぱり安かったです。爱零食。

中国では野菜ジュースをほとんど見かけないので、野菜不足かなと思ったらフリーズドライので補給。「零食なんとか」で売ってます。

点滴で栄養補給(？)している街路樹をわりと見かけます。日本では見たことないかも？

宜宾のあちこちで看板を見かける歯医者さん。

贵阳にも似たような絵柄の歯医者さんが。

トゥース！

• 日記さん 中国中部おためし放浪(28日+帰国後振り返り2)-金盾とのつきあい方

旅先用Proxmoxルータの話の続きです。

Wi-Fi接続専用OS

• 日記さん Proxmox環境のミニPCを無線ルータ化する
• 日記さん Proxmox環境のOpenWrtでミニPC本体のWi-Fiデバイスを利用する

旅先用ルータは、配下の端末との通信にはルータ本体のWi-Fiを利用し、宿のWi-Fiと接続するのにはUSBドングルを使うという構成にしていました。

ちなみにUSBドングルは、先ほどの日記では

• Amazon | TP-Link WiFi 無線LAN 子機 AC600 433Mbps + 200Mbps Windows/Mac OS 対応 ナノ設計 デュアルバンド 3年保証 Archer T2U Nano | TP-Link | 無線LAN子機 通販

こちらのArcher T2U Nanoを使っていましたが、

• Amazon | TP-Link WiFi 無線LAN 子機 AC1300 867Mbps + 400Mbps Windows 11/10/8.1/8 対応 デュアルバンド メーカー保証3年 アダプタ Archer T3U Nano/A | TP-Link | 無線LAN子機 通販

実際の出発時にはWPA3対応のArcher T3U Nano/Aにしています。

で、このUSBドングルを認識させるのにUbuntu系列最軽量らしいLubuntuを使っていたんですが、これが意外と安定しません。

何日か使っていると、再起動後にWi-Fiをまったく認識しなくなってしまいます。デバイスドライバのビルド&インストールをしなおしてもだめ。使えたときの状態のバックアップからOSを復元させるとまた使えるようになるので、それで帰国まで延命していました。

でもLubuntu Updateでシステムの更新をして再起動すると、100%Wi-Fiが使えなくなってしまうので、この延命も限界です。

ということで、帰国後にWi-Fi用OSはLubuntuをやめてLinux Mintにしました。これだとわざわざデバイスドライバを入れなくても最初からUSBドングルを認識してくれて楽でもあります。

SoftEtherクライアント専用OS

• 日記さん 3回目の中国の旅先用ルータとしてのミニPC

このときの日記では、SoftEtherクライアントはWindowsでやるように書いていますが、実際の出発時にはこちらもLubuntu化していました。できるだけWindowsに頼らないようにしたかったし、こちらの方が安定すると思っていたので。

でもこれもWi-Fi用のほどでないにしてもそこそこ不安定。

何日か使っているとSoftEtherが機能しなくなって、バックアップから戻して復旧させるということがたまーにありました。

ということで、こちらも帰国後にLinux Mint化しています。

PBR (Policy-Based Routing)

• 日記さん 金盾対応のPBR

中国では、インターネット接続をなんでもかんでもVPN経由にすると逆にこまることがあるので、今回はPBRを使って接続先ドメインによってVPNを通すかどうかを仕分けるしくみを作っていました。

現地で1か月使いこむことで、「VPNを通さないといけないドメイン」と「VPNを通してはいけないドメイン」の自分用リストがブラッシュアップされてきています。

が、このPBR運用も安定稼働まではけっこうてこずりました。OpenWrtのPBR機能自体がスムーズに起動してくれることもあれば、全然起動しないこともあったりして。

中国でOpenWrtのPBRを安定して起動させるためのポイントは、PBRなし状態でのルーティング設定。一度PBRがONになってしまえば無視されてしまう設定なんですが。

LuCI > Network > Routing > Static IPv4 Routes

実家のサーバ宛 → Wi-Fi接続専用OSへ
0.0.0.0/1宛 → SoftEtherクライアント専用OSへ
128.0.0.0/1宛 → SoftEtherクライアント専用OSへ

今はこんな感じにしています。

いろいろ手こずりはしたものの、旅先用Proxmoxルータは一度安定稼働しだすとめっちゃ快適な環境になります。

• 日記さん 次回のネット接続構成
• 日記さん ミニPCのセカンドライフ
• 日記さん 3回目の中国の旅先用ルータとしてのミニPC
• 日記さん 金盾対応のPBR
• 日記さん Proxmox環境のミニPCを無線ルータ化する
• 日記さん Proxmox環境のOpenWrtでミニPC本体のWi-Fiデバイスを利用する

今回は、グローバルIPアドレスの来ている実家にVPNサーバを設置し、旅先にはProxmoxを駆使してミニPCを高機能ルータ化したものを持っていっていましたが、実際どんな感じだったかという話です。

旅先ルータ-実家サーバ間通信

旅先ルータ-実家サーバ間のVPNプロトコルとしては、

• ZeroTier
• SoftEther
• OpenConnect

の3種類のトンネルを張っておいて、どれを通すかを切り替えて使うという構成にしていました。

★ZeroTier

3つのプロトコルのうちZeroTierだけは、どういうしくみなのかトンネルを張るのにDNS問い合わせを必要としないので、

(1) まずZeroTierで実家サーバにトンネルを張る。
(2) DNS問い合わせはすべてZeroTierのトンネルを通して行う。

とすることで、金盾によるDNS問い合わせの監視や改ざんを回避していました。

ところがどういうわけか成都の宿ではZeroTierの通信がうまくいかない。贵阳・重庆・宜宾では問題なくて、成都でもモバイル回線だと大丈夫だったのに。2回目の成都は別の宿だったんですが、そちらでもうまくいきませんでした。

★OpenConnect

OpenConnectは全体的に不安定でした。正確に言えば、OpenWrtのOpenConnectクライアントの動きがいまいちな印象です。端末から実家サーバ内のOpenWrtにはアクセスできるのに、同じセグメントの別OSにはなかなかアクセスできないみたいな挙動を見せたりとか。

★SoftEther

そんな中、NHKプラスとかの動画ストリーミングでも通信品質が一番よくて、挙動的に安定もしていたのがSoftEther。なので、旅先ルータ-実家サーバ間の通信は最終的には全部SoftEtherが担当する構成に落ち着きました。

ZeroTierとOpenConnectはOpenWrtからトンネルを張っていたけど、SoftEtherは独立したLubuntuから張っていたというのも関係していたのかも？

ただ、たまにSoftEtherがうまく機能しない場面もあって、そういうときにはZeroTierを代わりに使うといったこともありました。プロトコルを複数用意しておくのは大事そうです。

ちなみにVPNサーバのポート番号は、443でなくても大丈夫でした。

スマホ-実家サーバ間通信

旅先ルータ-実家サーバ間の通信はSoftEtherがベターという結論になりましたが、SoftEtherにはスマホアプリがありません。

ということで、スマホではZeroTierとOpenConnectの両アプリを使っていたんですが、どちらも特に不都合はありませんでした。

ところでOpenConnectには"Split tunnel networks"という設定があって、トンネルを通したい通信の宛先を個別に指定できるようになっているんですが、これで「Google宛の通信だけトンネルを通す」という設定を入れてみました。

https://www.gstatic.com/ipranges/goog.json
https://www.gstatic.com/ipranges/cloud.json

このGoogle所有のIPアドレスレンジ一覧から情報を抽出して。

これで、Googleへのアクセスが必要なDaybookの通信はトンネルを通して、トンネルを通すと応答しなくなるごはんやさんの注文画面は直接通信にできて便利！と思ったんですが、なぜかこれでも注文画面は表示されませんでした。どういうしくみ？？

DNS over HTTPS(DoH)

今回DNS通信を暗号化できるよう、実家のサーバでDoHサービスを立ち上げていました。

GoogleやCloudflareのDoHサービス(セキュアDNS)が金盾でブロックされてしまうのは前回見ていたけれど、自前のだったら大丈夫かもしれないと思ってやってみました。金盾から見ると、HTTPSの通信にしか見えないはずなので。

でも残念ながら、自前のでもだめでした。

実家サーバのグローバルIPアドレスに直接問い合わせてもだめだし、Cloudflare Tunnelを経由して生IPを隠蔽してもだめでした。

ちなみにCloudflare Tunnelは、DoHでないHTTPSサービスだったらアクセスできたので、宛先とかでなくDoH通信っぽいふるまいで金盾はブロックしてるみたいです。なんでわかるんやろ？？

旅先ルータ関連の話はもう少しあるんですが、長くなったのでまた今度。

この前の中国に持っていった荷物の話です。

ドア用フック

• 日記さん 荷づくり

今回、宿の部屋に洗濯ひもを引っかけるところがないときのために金属製のドア用フックを持っていっていましたが、幸い必要になるような宿はありませんでした。

ところが思わぬところで役に立つことに。

中国の公衆トイレの個室って、日本のとちがって中に荷物を引っかけるところがないことも多いんですが、このフックのおかげでドアに引っかけることができました。

とはいえ、中国のドアの厚みとそんなにうまいこと合うわけではなかったので、

帰国後百均でこういうS字フックも買ってみました。

折りたたみ傘

• 日記さん 中国中部おためし放浪(9日目)-四川料理は辛い料理と言っていいか？@重庆
• Amazon | KIZAWA 折りたたみ傘 形状安定 超軽量カーボン傘 195g メンズ ワンタッチ自動開閉 折り畳み傘 5級撥水 レディース コンパクト 丈夫 吸水カバー付き (カーキ) | 折りたたみ傘 通販

今回傘をさしたりたたんだりを繰り返してもめんどくさくないように、軽量のワンタッチタイプの折りたたみ傘を持っていっていました。

中国では便利に使えていたんですが、この前の青森滞在中にさっそく壊れてしまいました。

まず、傘を閉じて柄だけ伸びている状態で、水を切るために振ったら柄が曲がってしまいました。軽量だから弱い(>_<)

それは逆に曲げたら戻せたんですが、今度はワンタッチで開こうとしたら柄だけ伸びて傘が開かなくなってしまいました。

軽さと強さのバランスがむずかしいので、次はふだん使ってるのを持っていくかな。

今回の青森には、スイスとオーストリアの方も来られていて、いっしょに活動していました。

アルプスの少女ハイジ

スイスでも、アルプスの少女ハイジという物語は有名で、絵本や実写映画にもなっているそうです。そして日本のアニメもよく知られていると。

ベルギーでほとんど知られていないというフランダースの犬とは好対照です。

ウィーン(オーストリア首都)-ブラチスラバ(スロバキア首都)間の道

• 日記さん ヨーロッパのインラインスケートコース設定

以前ウィーン-ブラチスラバ間のドナウ川ぞいの道がインラインスケートコースとしていいかもしれないと目をつけていましたが、ここがどういう道なのか聞いてみました。

雰囲気のいい道ではあるけれど、路面がいいところばかりでなく砂利道混じりのところもあるかもとのこと。

Infomaniak

• 日記さん Gmailの後継としてInfomaniak Mailを検討する
• Mail by Infomaniak

Googleのサービスのバックアップとして、日本でほとんど知られていない(？)スイスのInfomaniakのサービスを使っていますが、やっぱりスイスでは有名どころなのだそう。

• Proton Mail

ただ、Proton Mailのことは知らないそうでした。なんでこっちを！？