• 日記さん TrustTunnelについてのメモ
• 日記さん Codexにまた課金する
• 日記さん sing-box for Androidという救世主

今回も金盾対応をブラッシュアップして臨みましたが、どんな感じだったか？

基本方針

自分用に構築しているVPNシステムでは、実家と千葉の家の2つの中継拠点があります。

利用できるプロトコルの中でも、SoftEther(VPN Azure)とZeroTierはグローバルIPアドレスなしの千葉側でも中継できて貴重なので、対策されないようできるだけ使用を控えます。実家側がダウンしたり、IPアドレス指定でブロックされたりしてもこまらないように。
(特にZeroTierは、金盾越え界隈ではまったく認識されてないダークホースのようなので。そしてSoftEtherはその界隈では金盾越えできないものとして認識されているようです。)

ということで、今回は新プロトコルのVLESS・TrustTunnel・Hysteria 2を中心に利用することにしました。

総評

全行程を通じて非常にいい感じでした。

Hysteria 2はUDPベースなので金盾にブロックされやすいかもという話もあったんですが、そんなことはなく速度も出るので、ずっとメインで使っていました。

今回からミニPCなしの構成でしたが、なくてこまったのはやっぱりChromebookのOSアップデートのときだけ。事前の想定通り、サブスマホ用のeSIM回線のテザリングで回避しました。

が、いくつか注意点があったので記録に残しておきます。

Xiaomi HyperOS 3の問題

今回もXiaomi POCO X7 Proをメインスマホとして利用していました。

これは出発前からわかっていたんですが、Xiaomi HyperOS 3だとVPN接続が裏で勝手に切られるんです。バックグラウンドプロセスの管理が厳しすぎるのか。

常時接続VPNの設定やアプリの電源設定など、AIに聞いてできる対策を全部やってもだめ。100%ではないですが、カメラアプリで写真を撮るとVPN接続が切られやすいです。

ただ、今回スマホのVPNでは中国アプリの除外設定をしていたので、VPNがつながっていようがいまいが「中国アプリがうまく使えない」という状況は避けられました。つまり、レジや改札であわあわせずにすんだのはよかったです。

実は金盾越えができたTailscale

うちのシステムには金盾越え用のVPNとは別に、拠点間通信用にTailscaleを導入しています。

TailscaleはWireGuardプロトコルで通信していると聞いていたので、金盾越えができないものだと思い込んでいたのですが、今回うっかりつないでしまったときにふつうに通信ができてしまいました。

• Connection types · Tailscale Docs

調べてみると、TailscaleはふつうはWireGuardプロトコルでUDP通信するのですが、それで接続が確立できないと、HTTPSベースのDERPリレーという別方式に切り替わるようです。

TailscaleもSoftEtherやZeroTierと同じく千葉側を中継地として使えて貴重なので、この方式も常用は控えました。

Androidアプリ版のTrustTunnelの弱点

Androidアプリ版のTrustTunnelにはドメイン振り分けの機能があるので、Chromebookでのブラウザ閲覧で便利に使えるはずでした。

が、ひとつ問題が。

バイパス側とトンネル側のドメインで、DNSの問い合わせ先を切り替える機能がないんです。

• 日記さん 日本から本物の金盾を体験する

DNS問い合わせを全部バイパスされると金盾のDNS応答改ざんの影響を受けるので、全部トンネルを通すしかないんですが、そうすると高德地图や百度地图などの中国サイトの応答がおかしくなることがあります。

中国サイトへのアクセスは、システムにDHCPで割り振られたDNSを使うのが一番トラブらないということを今回学びました。

ドメインやアプリリストを都度改廃しなくていい工夫

これまでの金盾越えでは、

• トンネルを通すとまずいドメイン
• トンネルを通さないとまずいドメイン
• トンネルを通すとまずいアプリ

この3つのリストを作って都度改廃しながら運用してきました。

• Exclave | F-Droid - 自由かつオープンソースのAndroidアプリ・リポジトリ

今回VLESS・Hysteria 2をExclaveというアプリでも使ってみていたんですが、

左上の三本線 > Route

を開いたところに

• 中国 用のPlayストアルール
• 中国 用のドメインルール
• 中国 用のIPルール

という設定があることに気がつきました。もしかして、このへんをONにすれば自分でルールをメンテしなくていい？

アプリ除外設定をはずしてこのルールだけでいろいろためしてみましたが、「中国 用のIPルール」がONだとなぜかFlickrアプリで通信ができなくなるので、これだけOFFにすると今のところいい感じの動きになっています。

これ、Chromebookでもやってみたいなあと思ったのですが、ExclaveはGoogle Playストアにはないので、Chromebookには入れられません。

同じようなことがChromebookで使っているsing-box for AndroidでもできないかとCodexに頼んでみると、

geosite-cn
https://raw.githubusercontent.com/SagerNet/sing-geosite/rule-set/geosite-cn.srs

geoip-cn
https://raw.githubusercontent.com/SagerNet/sing-geoip/rule-set/geoip-cn.srs

設定ファイルの中にこのリストファイルを組み込むことで実現してくれました。定期的に再読み込みをして最新版に自動更新してくれます。

このリストはExclaveで使っているそのものではないようで、これだとFlickrへの接続にも影響がありません。

今のところうまく動いているんですが、1点気になるのが、この方式だと「トンネルを通すとまずい宛先」でも「トンネルを通さないとまずい宛先」でもない宛先との通信が(無駄に？)トンネルを通る運用になること。

理想の探求も無駄に続きそうです。