152
回編集
三男wiki>一反もめん 編集の要約なし |
細 (20版 をインポートしました) |
||
(3人の利用者による、間の6版が非表示) | |||
3行目: | 3行目: | ||
サーバー側にツールを配置後、クライアント側から接続することにより[[VPN]]のように通信を行う。VPNとの違いはディープ・パケット・インスペクション(以下、「DPI」と言う)の回避を目的とした通信プロトコルのサポートを行っている点である。 | サーバー側にツールを配置後、クライアント側から接続することにより[[VPN]]のように通信を行う。VPNとの違いはディープ・パケット・インスペクション(以下、「DPI」と言う)の回避を目的とした通信プロトコルのサポートを行っている点である。 | ||
2022年10月、金盾のアップグレードに合わせ、VMESSやVLESS+XTLSを始めとするXrayでサポートしているプロトコルが繋がりにくくなっているため、金盾回避を目的とする場合は[[sing-box]]を導入し、shadow-tlsプロトコルを使用することを推奨する。 | |||
== 導入 == | == 導入 == | ||
29行目: | 31行目: | ||
Xrayをインストール | Xrayをインストール | ||
<pre><nowiki>bash -c "$(curl -L https://github.com/XTLS/Xray-install/raw/main/install-release.sh)" @ install</nowiki></pre> | <pre><nowiki>bash -c "$(curl -L https://github.com/XTLS/Xray-install/raw/main/install-release.sh)" @ install</nowiki></pre> | ||
=== Trojan === | |||
トロイの木馬。ギリシャ神話のトロイア戦争に登場する木馬に由来し、巧妙に相手を陥れる罠のようにファイヤーウォールからパケットを隠す。紛らわしいがマルウェアのトロイの木馬(Trojan)とは無関係。 | |||
偽装Webサーバーを使い、そのサイトのSSL証明書で通信を暗号化し、パケットを偽装する。検閲者からは一見偽装サイトからパケットを受信しているように見える。 | |||
共通事項に加えて以下が必要。 | |||
・インスタンスでWebホスティング(NginxやApacheを使用) | |||
・ドメイン | |||
・SSL証明書 | |||
WebホスティングとSSL証明書の取得方法は、インターネット上に情報が多数あるため割愛する。 | |||
Xrayの設定ファイルを作成。 | |||
<pre><nowiki>vi /usr/local/etc/xray/config.json</nowiki></pre> | |||
Trojanの設定は以下の通り。 | |||
"password"は接続用パスワードを示し、値を必ず一意の値に変更する。 | |||
"serverName"は偽装サイトのドメイン名。 | |||
"certificateFile"はSSL証明書のパス。 | |||
"keyFile"はSSL秘密鍵のパス。 | |||
<syntaxhighlight lang="json"> | |||
{ | |||
"log":{ | |||
"loglevel": "warning", | |||
"access": "/var/log/xray/access.log", | |||
"error": "/var/log/xray/error.log" | |||
}, | |||
"inbounds": [{ | |||
"port": 443, | |||
"protocol": "trojan", | |||
"settings": { | |||
"clients": [ | |||
{ | |||
"password": "gIljL7ERTJgZC2Kkv2iZvtkQ4MZMdhoTeQOszoAth30=", | |||
"flow": "xtls-rprx-direct" | |||
} | |||
], | |||
"fallbacks": [ | |||
{ | |||
"alpn": "http/1.1", | |||
"dest": 80 | |||
}, | |||
{ | |||
"alpn": "h2", | |||
"dest": 81 | |||
} | |||
] | |||
}, | |||
"streamSettings": { | |||
"network": "tcp", | |||
"security": "xtls", | |||
"xtlsSettings": { | |||
"serverName": "abeshinzo.net", | |||
"alpn": ["http/1.1", "h2"], | |||
"certificates": [ | |||
{ | |||
"certificateFile": "/usr/local/etc/xray/abeshinzo.net.pem", | |||
"keyFile": "/usr/local/etc/xray/abeshinzo.net.key" | |||
} | |||
] | |||
} | |||
} | |||
}], | |||
"outbounds": [{ | |||
"protocol": "freedom", | |||
"settings": {} | |||
},{ | |||
"protocol": "blackhole", | |||
"settings": {}, | |||
"tag": "blocked" | |||
}] | |||
} | |||
</syntaxhighlight> | |||
Xrayを再起動。 | |||
<pre><nowiki>systemctl restart xray</nowiki></pre> | |||
クライアントソフトウェアに以下の値を入力し接続を確認してみよう。 | |||
・Address ・・・・・・・・インスタンスのドメイン名 | |||
・Port ・・・・・・・・・・設定ファイルに記述したポート番号(443) | |||
・Password ・・・・・・・・設定ファイルに記述したパスワード | |||
・flow ・・・・・・・・・・xtls-rpx-direct | |||
・Network ・・・・・・・・tcp | |||
・head type ・・・・・・・none | |||
・tls ・・・・・・・・・・xtls | |||
Q. 繋がらない | |||
A. "systemctl status xray"で確認してみよう。 | |||
証明書と秘密鍵のパーミッションが原因の可能性が高い。 | |||
=== VMess === | === VMess === | ||
42行目: | 159行目: | ||
"port"は使用するポート番号で任意の値に変更可。インスタンスの設定で要開放。 | "port"は使用するポート番号で任意の値に変更可。インスタンスの設定で要開放。 | ||
"id"はUUIDを示し、"********-****-****-****-************" | "id"はUUIDを示し、"********-****-****-****-************"を必ず一意の値に変更する。uuidgenコマンドで生成すると良い。 | ||
<syntaxhighlight lang="json"> | <syntaxhighlight lang="json"> | ||
{ | { | ||
257行目: | 374行目: | ||
}], | }], | ||
</syntaxhighlight> | </syntaxhighlight> | ||
=== X-UI === | |||
X-UIは上記Xray各種プロトコルに対応し、ブラウザから一元管理するGUIパネル | |||
元は中国語だが英語に翻訳しているバージョンがあるのでここではそのインストール方法を記述する | |||
対応プロトコルは vmess, vless, trojan, shadowsocks, dokodemo-door, socks, http | |||
<pre><nowiki>bash <(curl -Ls https://raw.githubusercontent.com/NidukaAkalanka/x-ui-english/master/install.sh)</nowiki></pre> | |||
GitHub https://github.com/NidukaAkalanka/x-ui-english | |||
== WireGuardとの比較 == | |||
Xrayはネットワークプロキシであるのに対し、[[VPN#WireGuardサーバーのセットアップ|WireGuard]]はVPNである。VPNと違う点は、外部から識別可能なトンネリングを行わずにhttpsのようにTCPプロトコルでデータの送受信を行う点である。XrayでVPNのようにクライアントのすべてのトラフィックをリルートする場合、クライアントソフトウェアが必要であるが、WireGuardはカーネルに組み込むことができるため、Xrayのクライアントを実行するユーザー空間よりもクライアント側のソフトウェアセキュリティが強化される。 | |||
結論はこれらを何に使用するかによって決まり、インターネットサービスプロバイダやファイヤーウォールを欺くにはXray、通信の暗号化や拠点間通信、IPアドレスの秘匿化が目的(ISPやFWにVPNを使っていることが知られても良い)場合はWireGuardに軍配が上がる。Xrayは現在の日本において限定的な用途しか存在しないのかもしれない。 | |||
281行目: | 414行目: | ||
systemd-resolvedを再起動。 | systemd-resolvedを再起動。 | ||
<pre><nowiki>systemctl restart systemd-resolved</nowiki></pre> | <pre><nowiki>systemctl restart systemd-resolved</nowiki></pre> | ||
==関連項目== | |||
{{ツール・ソフトウェア・アプリ}} | |||
{{デフォルトソート:えつくすれい}} |