対中国通信 VPN規格によるつながりやすさの比較
昔、在中法人向けの通信サービスをやっていた時に構築した VPN サーバーのメモをまとめて公開した。せっかくなので、各プロトコルを中国からの接続という観点で比較してみる。
比較対象
今回比較するのは以下の6つ:
- ShadowSocks - プロキシ(2012年〜)
- V2Ray - プロキシ(2016年〜)
- SoftEther VPN - VPN(2014年〜)
- WireGuard - VPN(2018年〜)
- OpenConnect - VPN(2009年〜)
- IKEv2 - VPN(2005年〜)
※ ShadowSocks と V2Ray は厳密には VPN ではなくプロキシだが、一般的に「中国用 VPN」として語られることが多いので含めた。
比較表
| プロトコル | 種別 | 速度 | 設定 | GFW回避 | 2025年 |
|---|---|---|---|---|---|
| ShadowSocks | プロキシ | ◎ | ○ | △ | × |
| V2Ray | プロキシ | ○ | △ | ○ | △ |
| SoftEther | VPN | ○ | △ | × | × |
| WireGuard | VPN | ◎ | ○ | △ | △ |
| OpenConnect | VPN | ○ | △ | ○ | ○ |
| IKEv2 | VPN | ○ | △ | × | × |
凡例: ◎=優秀 ○=良好 △=条件付き ×=非推奨
各プロトコルの詳細
ShadowSocks
状況: 2019年頃から DPI(Deep Packet Inspection)による検出が本格化し、現在はほぼ使えない。
- 2012年に中国人プログラマーが開発
- 当時は非常に有効だったが、GFW の進化に追いつけなくなった
- トラフィックパターンが特徴的で、機械学習ベースの検出に弱い
評価: ×(単体での使用は推奨しない)
V2Ray(WebSocket + TLS)
状況: CloudFlare CDN 経由 + WebSocket + TLS の構成なら、まだ使える場合がある。
- HTTPS トラフィックに偽装できる
- CDN を経由することでサーバー IP を隠蔽
- ただし 2024年以降、接続が不安定になっている報告が増えている
評価: △(CDN + TLS 構成なら条件付きで有効)
SoftEther VPN
状況: L2TP/IPsec は検出される。SSL-VPN モードは条件次第。
- 複数プロトコルをサポートする柔軟性がある
- しかし 2024年に Microsoft が L2TP/IPsec を非推奨に
- GFW は IPsec トラフィックを容易に検出・ブロック
評価: ×(中国からの接続には向かない)
WireGuard
状況: 単体では検出されるが、難読化と組み合わせれば有効。
- 非常に高速(OpenVPN の約3倍)
- コード量が少なくセキュリティ監査が容易
- ただし UDP ベースのトラフィックパターンが特徴的
- 短時間・低トラフィックなら動くこともある
評価: △(単体では不安定、難読化併用で有効)
OpenConnect
状況: SSL/TLS ベースで HTTPS に偽装でき、中国でまだ使える可能性がある。
- Cisco AnyConnect 互換のオープンソース VPN
- HTTPS トラフィックに見えるので検閲回避に強い
- 企業 VPN でよく使われる AnyConnect クライアントがそのまま使える
- Let’s Encrypt で正規証明書を使えばさらに検出されにくい
評価: ○(SSL/TLS 偽装で有効)
IKEv2
状況: IPSec ベースのため GFW に検出されやすい。中国向けには非推奨。
- iOS / macOS / Windows にネイティブ対応
- モバイルデバイスでの再接続が得意
- ただし IPSec プロトコルは GFW に容易に検出される
- UDP 500/4500 ポートが特徴的
評価: ×(IPSec は検出される。国内向けなら有効)
2025年現在の推奨
最も有効なプロトコル
現時点で最も GFW を回避しやすいとされているのは:
- VLESS + REALITY(Xray) - 最強候補
- Hysteria2 - UDP ベースで高速、QUIC 偽装
- Trojan-Go - HTTPS 完全偽装
これらは V2Ray / Xray 系のプロジェクトで、設定は複雑だが検出されにくい。
VLESS + REALITY とは
V2Ray のフォーク「Xray」が開発したプロトコル。実在する HTTPS サイト(例: microsoft.com)の TLS 証明書を「借りて」通信する。GFW から見ると「普通に microsoft.com にアクセスしてる人」に見える。
従来の TLS 偽装は「怪しい自己署名証明書」がバレやすかったが、REALITY は本物の証明書を使うので見分けがつかない。自分でドメインや証明書を用意する必要もない。
Hysteria2 とは
QUIC(HTTP/3)ベースのプロトコル。UDP ベースだが、Google の QUIC プロトコルに偽装する。
「Google は中国からブロックされてるのに QUIC 偽装が有効なの?」という疑問はもっともだが、QUIC 自体は Google 以外のサービス(Cloudflare、Facebook、各種 CDN)でも広く使われている。QUIC を完全にブロックすると HTTP/3 対応サービスが全滅するので、プロトコル単位でのブロックは難しい。
速度も非常に速い(UDP + 独自の輻輳制御)。
WireGuard を使いたい場合
WireGuard のシンプルさと速度を活かしつつ GFW を回避するには:
- udp2raw で TCP に偽装
- wstunnel で WebSocket トンネル化
- 前段に Shadowsocks や V2Ray を置いて二重化
VPS の選択
どのプロトコルを使うにしても、VPS の IP アドレスが重要。
つながりにくい VPS:
- さくらインターネット(日本)- IP レンジ単位でブロックされている
- 一部の国内格安 VPS
つながりやすい VPS:
- Vultr(シンガポール、香港)
- DigitalOcean(シンガポール)
- Linode(シンガポール)
- BandwagonHost(香港)
ポイント: 東京リージョンは避けた方がいい。日本の IP レンジは中国から監視・制限されやすい傾向がある。シンガポールや香港など、中国に近いが日本ではないリージョンを選ぶ。
※ これは経験則で、状況は常に変化する。
結論
「これを使えば絶対つながる」というプロトコルは存在しない。
GFW は常に進化しており、2024年後半からは AI ベースの機械学習検出が導入されている。かつて有効だった ShadowSocks は今では検出され、V2Ray も条件付きになっている。
現時点での推奨:
- 手軽さ重視: WireGuard + udp2raw(TCP偽装)
- 安定性重視: VLESS + REALITY(Xray)
- 速度重視: Hysteria2
WireGuard は単体では不安定だが、難読化と組み合わせれば有力な選択肢になる。何より設定がシンプルで、トラブルシューティングがしやすい。
昔サービスやってた時は ShadowSocks で普通につながってたんだけどな…時代は変わった。
関連記事
- ShadowSocksサーバーの構築メモ
- V2Ray(WebSocket+TLS)サーバーの構築メモ
- SoftEther VPN サーバーの構築メモ
- WireGuard VPN サーバーの構築メモ
- OpenConnect(ocserv)サーバーの構築メモ
- IKEv2(strongSwan)サーバーの構築メモ
- Hysteria2 サーバー構築とクライアント接続の概要
- VLESS + REALITY サーバー構築とクライアント接続の概要
参考
- GFW Report - GFW の技術的分析
- Xray-core - VLESS + REALITY
- Hysteria - Hysteria2 公式