毎日蒸し暑いです(>_<)

これだけ暑いと身動きがとれないので、来年以降のためにも行きつけにできそうな避暑地を探してみることにしました。

避暑によさそうな場所

日本国内は今どこも滞在費が高いので、やっぱり近場の海外で探すのがよさそうです。

• 日記さん 四川旅行のざっくりルートを考える

もともとは標高2000mぐらいの高地が広がる雲南省に目をつけていたんですが、

• 昆明（クンミン）の天気予報【中国】 - ウェザーニュース

2週間予報を見てみると、すずしいけれどほぼほぼ雨。

• 昆明市 の気候、月別の気象、平均気温（中国） - Weather Spark

7月が雨季のピークっぽいので、これだと出かけられへんなあ。

どこかほかにいいところはないか、あちこちピンポイントで気温と降水量を調べていってみると、いい感じのエリアがあるのを発見しました。

北京の西側の黄河周辺です。標高を調べてみると1000〜2000mの高原になっていました。知らんかったー。
(左下のまる囲いは雲南省。)

• モンゴル高原 - Wikipedia
• 黄土高原 - Wikipedia
• チベット高原 - Wikipedia

地理的にはモンゴル高原・黄土高原・チベット高原にまたがるエリアになるようです。

どこも気温はそこそこまでしか上がらないし、7〜8月も天気がよさそうです。そしてちゃんとした町がいくつもあるというのもポイント。

そして巴彦淖尔(バヤンノール)とか中華離れした地名がいろいろあってわくわくします。どんなところなのか実際行って確認しなくては。

チケットを取る

▼行き

2025.07.11(金) 15:30 成田T1発 MF810
2025.07.11(金) 18:30 福州(福建省省都)着
2025.07.12(土) 11:55 福州発 MF8273
2025.07.12(土) 17:20 西宁(青海省省都)T2着

▼帰り

2025.08.07(木) 22:55 呼和浩特(フフホト：内モンゴル自治区省都)発 SC4994
2025.08.08(金) 00:50 青岛(山東省)着
2025.08.08(金) 08:00 青岛発 SC4091
2025.08.08(金) 11:25 関空T1着

お盆には実家に帰るので、こんな感じでチケットを取りました。さっきのまる囲いの中を陸路で西から東に移動するイメージになるかな。

★スタート地点

スタートは、地下鉄もある比較的大きな町の兰州(蘭州)にしようかと思ったんですが、空港まで地下鉄が通ってなくてバスを使わないといけないのに、Alipayの市バスのQRコード切符が兰州ではエラーで取得できませんでした。

現地でどうにかできるんだとは思うけれど、気を張る到着日の日暮れのせまった時間帯にめんどうごとを余計に抱えたくないです。

ということで、さらに西の西宁(西寧)をスタート地点にしました。チベット高原末端の標高2000m超えのところで、今回一番すずしい町になりそうです。

★経由地

• 日記さん 中国中部おためし放浪(3日目)-経由地としての福州@贵阳

行きの経由地は、前回も使った福州。また空港内のカプセルホテルに泊まります。

そして帰りの経由地の青岛(青島)は初めてのところ。深夜(0:50)着で翌朝(8:00)発やけど、地下鉄が動いてない時間帯なので空港で夜明かしします。

• 青島膠東空港案内と交通情報

空港にカプセルホテルがなくて、ラウンジも開いてない時間帯やけど、無料の夜間休憩エリアがあるそうなので利用させてもらいます。

これで終わりです。

前回は移動日が多くていそがしすぎたので、今回はひとつの町に長く滞在するスタイルにしていました。そのスタイルにして発生した状況が、行きつけのお店ができたこと。

暗くなってから出歩かないようにしているので、夕食は宿の近くの決まったところで取ることが多かったんですが、顔なじみになると「お、またきたねー」って感じでおばちゃんがおまけしてくれたりします。

今回Naturehikeのお店にも何度か通って、最終的にサブザック・ウエストポーチ・スマホポーチをNaturehikeのに買い替えたんですが、Naturehikeの店員さんも感じがよかったです。

• 日記さん 中国南部おためし放浪(14日目)-電気街に繰り出す@深圳

この感じは前回の深圳の電気街の店員さんとも似ていて、「商品に理解ある同志」みたいに接してくれているようでした。

町の人のマナーが悪くて日々辟易しているのは前提としてあるけれど。

台湾から遠く離れた贵阳にも人防工程(防空壕的なもの)がありました。

• 日記さん 中国南部おためし放浪(7日目)-文化圏の切り替わり@厦门

台湾の対岸の厦门とかとちがってけっこうレアではあるけれど。

现实主义许愿墙
把心愿和想法都留下：

贵阳の町にこんな落書きボード(？)があったんですが、そこには「收复台湾」や「祖国統一」の文字も。日本で言えば「北方領土を取り戻せ」みたいな感じかな。

やらせなのかなんなのかわからないけど、こういう言論の雰囲気があるということは確かなようです。

自分はすでに両方の人たちにお世話になっているので、どっちかにつくことはないけれど、とにかく平和であってほしいー。

たぶん次で終わりです。

• 日記さん 中国中部おためし放浪(12日目)-ひさびさの移動日@成都

飲み物や朝食を買うのに、「零食很忙」「零食有鸣」など「零食」(おやつとかの意味)と名のつくお店は地域最安値になりやすいと四川で学んだけれど、

最後贵阳でも見つけてやっぱり安かったです。爱零食。

中国では野菜ジュースをほとんど見かけないので、野菜不足かなと思ったらフリーズドライので補給。「零食なんとか」で売ってます。

点滴で栄養補給(？)している街路樹をわりと見かけます。日本では見たことないかも？

宜宾のあちこちで看板を見かける歯医者さん。

贵阳にも似たような絵柄の歯医者さんが。

トゥース！

• 日記さん 中国中部おためし放浪(28日+帰国後振り返り2)-金盾とのつきあい方

旅先用Proxmoxルータの話の続きです。

Wi-Fi接続専用OS

• 日記さん Proxmox環境のミニPCを無線ルータ化する
• 日記さん Proxmox環境のOpenWrtでミニPC本体のWi-Fiデバイスを利用する

旅先用ルータは、配下の端末との通信にはルータ本体のWi-Fiを利用し、宿のWi-Fiと接続するのにはUSBドングルを使うという構成にしていました。

ちなみにUSBドングルは、先ほどの日記では

• Amazon | TP-Link WiFi 無線LAN 子機 AC600 433Mbps + 200Mbps Windows/Mac OS 対応 ナノ設計 デュアルバンド 3年保証 Archer T2U Nano | TP-Link | 無線LAN子機 通販

こちらのArcher T2U Nanoを使っていましたが、

• Amazon | TP-Link WiFi 無線LAN 子機 AC1300 867Mbps + 400Mbps Windows 11/10/8.1/8 対応 デュアルバンド メーカー保証3年 アダプタ Archer T3U Nano/A | TP-Link | 無線LAN子機 通販

実際の出発時にはWPA3対応のArcher T3U Nano/Aにしています。

で、このUSBドングルを認識させるのにUbuntu系列最軽量らしいLubuntuを使っていたんですが、これが意外と安定しません。

何日か使っていると、再起動後にWi-Fiをまったく認識しなくなってしまいます。デバイスドライバのビルド&インストールをしなおしてもだめ。使えたときの状態のバックアップからOSを復元させるとまた使えるようになるので、それで帰国まで延命していました。

でもLubuntu Updateでシステムの更新をして再起動すると、100%Wi-Fiが使えなくなってしまうので、この延命も限界です。

ということで、帰国後にWi-Fi用OSはLubuntuをやめてLinux Mintにしました。これだとわざわざデバイスドライバを入れなくても最初からUSBドングルを認識してくれて楽でもあります。

SoftEtherクライアント専用OS

• 日記さん 3回目の中国の旅先用ルータとしてのミニPC

このときの日記では、SoftEtherクライアントはWindowsでやるように書いていますが、実際の出発時にはこちらもLubuntu化していました。できるだけWindowsに頼らないようにしたかったし、こちらの方が安定すると思っていたので。

でもこれもWi-Fi用のほどでないにしてもそこそこ不安定。

何日か使っているとSoftEtherが機能しなくなって、バックアップから戻して復旧させるということがたまーにありました。

ということで、こちらも帰国後にLinux Mint化しています。

PBR (Policy-Based Routing)

• 日記さん 金盾対応のPBR

中国では、インターネット接続をなんでもかんでもVPN経由にすると逆にこまることがあるので、今回はPBRを使って接続先ドメインによってVPNを通すかどうかを仕分けるしくみを作っていました。

現地で1か月使いこむことで、「VPNを通さないといけないドメイン」と「VPNを通してはいけないドメイン」の自分用リストがブラッシュアップされてきています。

が、このPBR運用も安定稼働まではけっこうてこずりました。OpenWrtのPBR機能自体がスムーズに起動してくれることもあれば、全然起動しないこともあったりして。

中国でOpenWrtのPBRを安定して起動させるためのポイントは、PBRなし状態でのルーティング設定。一度PBRがONになってしまえば無視されてしまう設定なんですが。

LuCI > Network > Routing > Static IPv4 Routes

実家のサーバ宛 → Wi-Fi接続専用OSへ
0.0.0.0/1宛 → SoftEtherクライアント専用OSへ
128.0.0.0/1宛 → SoftEtherクライアント専用OSへ

今はこんな感じにしています。

いろいろ手こずりはしたものの、旅先用Proxmoxルータは一度安定稼働しだすとめっちゃ快適な環境になります。

• 日記さん 次回のネット接続構成
• 日記さん ミニPCのセカンドライフ
• 日記さん 3回目の中国の旅先用ルータとしてのミニPC
• 日記さん 金盾対応のPBR
• 日記さん Proxmox環境のミニPCを無線ルータ化する
• 日記さん Proxmox環境のOpenWrtでミニPC本体のWi-Fiデバイスを利用する

今回は、グローバルIPアドレスの来ている実家にVPNサーバを設置し、旅先にはProxmoxを駆使してミニPCを高機能ルータ化したものを持っていっていましたが、実際どんな感じだったかという話です。

旅先ルータ-実家サーバ間通信

旅先ルータ-実家サーバ間のVPNプロトコルとしては、

• ZeroTier
• SoftEther
• OpenConnect

の3種類のトンネルを張っておいて、どれを通すかを切り替えて使うという構成にしていました。

★ZeroTier

3つのプロトコルのうちZeroTierだけは、どういうしくみなのかトンネルを張るのにDNS問い合わせを必要としないので、

(1) まずZeroTierで実家サーバにトンネルを張る。
(2) DNS問い合わせはすべてZeroTierのトンネルを通して行う。

とすることで、金盾によるDNS問い合わせの監視や改ざんを回避していました。

ところがどういうわけか成都の宿ではZeroTierの通信がうまくいかない。贵阳・重庆・宜宾では問題なくて、成都でもモバイル回線だと大丈夫だったのに。2回目の成都は別の宿だったんですが、そちらでもうまくいきませんでした。

★OpenConnect

OpenConnectは全体的に不安定でした。正確に言えば、OpenWrtのOpenConnectクライアントの動きがいまいちな印象です。端末から実家サーバ内のOpenWrtにはアクセスできるのに、同じセグメントの別OSにはなかなかアクセスできないみたいな挙動を見せたりとか。

★SoftEther

そんな中、NHKプラスとかの動画ストリーミングでも通信品質が一番よくて、挙動的に安定もしていたのがSoftEther。なので、旅先ルータ-実家サーバ間の通信は最終的には全部SoftEtherが担当する構成に落ち着きました。

ZeroTierとOpenConnectはOpenWrtからトンネルを張っていたけど、SoftEtherは独立したLubuntuから張っていたというのも関係していたのかも？

ただ、たまにSoftEtherがうまく機能しない場面もあって、そういうときにはZeroTierを代わりに使うといったこともありました。プロトコルを複数用意しておくのは大事そうです。

ちなみにVPNサーバのポート番号は、443でなくても大丈夫でした。

スマホ-実家サーバ間通信

旅先ルータ-実家サーバ間の通信はSoftEtherがベターという結論になりましたが、SoftEtherにはスマホアプリがありません。

ということで、スマホではZeroTierとOpenConnectの両アプリを使っていたんですが、どちらも特に不都合はありませんでした。

ところでOpenConnectには"Split tunnel networks"という設定があって、トンネルを通したい通信の宛先を個別に指定できるようになっているんですが、これで「Google宛の通信だけトンネルを通す」という設定を入れてみました。

https://www.gstatic.com/ipranges/goog.json
https://www.gstatic.com/ipranges/cloud.json

このGoogle所有のIPアドレスレンジ一覧から情報を抽出して。

これで、Googleへのアクセスが必要なDaybookの通信はトンネルを通して、トンネルを通すと応答しなくなるごはんやさんの注文画面は直接通信にできて便利！と思ったんですが、なぜかこれでも注文画面は表示されませんでした。どういうしくみ？？

DNS over HTTPS(DoH)

今回DNS通信を暗号化できるよう、実家のサーバでDoHサービスを立ち上げていました。

GoogleやCloudflareのDoHサービス(セキュアDNS)が金盾でブロックされてしまうのは前回見ていたけれど、自前のだったら大丈夫かもしれないと思ってやってみました。金盾から見ると、HTTPSの通信にしか見えないはずなので。

でも残念ながら、自前のでもだめでした。

実家サーバのグローバルIPアドレスに直接問い合わせてもだめだし、Cloudflare Tunnelを経由して生IPを隠蔽してもだめでした。

ちなみにCloudflare Tunnelは、DoHでないHTTPSサービスだったらアクセスできたので、宛先とかでなくDoH通信っぽいふるまいで金盾はブロックしてるみたいです。なんでわかるんやろ？？

旅先ルータ関連の話はもう少しあるんですが、長くなったのでまた今度。