OpenVPN のトラフィックを隠すための第一歩

世界中でインターネット規制が強められていることは全く無価値です。政府はOpenVPN の利用に神経をとがらせ、 規制のためにできることは何でもします。中国の金盾は、この点非常に強力で、中国の内外でいろいろなVPN プロバイダーをブロックしています。

VPN トンネル内で暗号化されたデータを見ることが不可能であることは言うまでもありません。先進のファイアウォールはDPI（ディープ・パケット・インスぺクション）技術を効果的に用い、SSL 暗号を含む全ての暗号を解くことができます。

この問題には多くの対抗策がありますが、そのほとんどは、サーバー設定に技術的なノウハウが必要です。この記事の目的は、あなたが自由に使える様々な方法を紹介することです。もしVPN 信号を隠すことに関心があり、ポート４４３転送がないのであれば、あなたのVPN プロバイダーに連絡を取り、以下のソリューションを実装するかどうかを確認する必要があります。

TCP ポート 443経由のポート転送

これは最も簡単な方法の１つで、何ら難しいことなくできます。ポート４４３経由でOpenVPN を転送する際にほとんどの場合必要なサーバー側の技術的な知識は必要ありません。

既定ではOpenVPN はTCPポート８０を使用していることを知っておく必要があります。通常、ファイアウォールは、ポート８０を監視し、暗号化トラフィックがここを利用しようとするとこれを排除します。HTTPS の場合には、ポート４４３が既定でプライマリーに設定されています。このポートはほとんどウェブ中で、ツイッター、銀行、Gmailなどの巨大サービスによって使用されています。

HTTPS のようなOpenVPN は SSL 暗号を使用し、ポート４４３で検出するのは比較的困難です。ポートのブロックは、インターネットへのアクセスを厳しく消し去るので、結果として、ウェブの検閲者にとって実用的な方法ではありません。

ポート転送は、ほとんどどのOpenVPN クライアントでも普遍的にサポートされているので、ポート４４３を変更することは信じられないくらい簡単です。あなたのVPN プロバイダーがそのようなクライアントを提供している場合は、すぐに連絡を取らなければなりません。

残念ながら、OpenVPN は標準的なSSL を使用しておらず、中国などでDPI が使用されていることを考えると、暗号化されたトラフィックがリアルかどうかを見分けるのは比較的簡単です。この場合は、検知を回避するために従来とは違う方法を考える必要があります。

Obfsproxy

サーバーは難読化レイヤーにデータを効果的に取り込みます。これは、OpenVPN が利用されていることをわかりにくくします。この戦略は、最近Tor によって、パブリックTor ネットワークへのアクセスをブロックする中国対策に採用されました。これは自衛策で、OpenVPN で簡単に暗号化されます。

Obfsproxy は、クライアントのコンピューターとVPN サーバーにもインストールする必要があります。それでもこれは、他のトンネル・メソッドほど安全ではありません。トラフィックを暗号化せず、低帯域幅のオーバーヘッドがあります。これは、シリアやエチオピアなどの帯域幅が大変な所では、効果的な方法です。Obfsproxy は、比較的セットアップと設定が簡単なことがプラスです。

OpenVPN用SSLトンネル

「セキュア・ソケット・レイヤー (SSL)」チャンネルは、OpenVPN の効果的な代替手段として利用されています。多くのプロキシサーバーが接続を保護するために利用しています。加えて、OpenVPN利用を完璧に隠します。OpenVPN は TLS か SSL 暗号化を使用するので、これは通常のSSL チャンネルとは全く違い、高度なDPI には簡単に検知されます。これを避けるために、OpenVPN データを追加レイヤーに隠すのが賢明です。DPI は、SSL チャンネルの外側のレイヤーを通過できません。

結論

It goes without saying that OpenVPN は、DPI でなければ、通常のSSL トラフィックを全く同じに見えます。 This is further reinforced if the OpenVPN をTCP ポート 443経由で迂回させれば、さらに強化されます。しかし繰り返しますが、中国やイランなどの国では、強固に自国民のインターネット・アクセスをコントロールしています。興味深いことに、彼らは最も技術的に高度な方法を、隠されたトラフィックの検出に使用しています。これはあなたにとって障害となります。前述の問題を考慮すべきなのはこのためです。