イギリス国外のノードを経由してトラフィックを逃がすべきか？ネットワークの最適化を考察する

イギリス国内のネットワーク規制や速度制限を考慮して、トラフィックの大部分を海外のノード経由でルーティングすることについて検討しています。皆さんは地理的な制約を回避するためにどのようなVPNやルーティング構成をとっていますか？具体的な構成案や推奨されるノードの選定基準があればぜひ教えてください。

自分も同じことを考えてる。議員への問い合わせみたいなこともやってみたけど、時間の無駄だった。結局、最低賃金で雇われたアシスタントか、あるいはボットが書いたような定型文が返ってくるだけだしね。

それか、もうインターネットは死んだものと考えて諦めるかだね。20年前とは別物になっちゃったし。他にもやることはある。読むべき本も、行くべき場所もたくさんある。かつては最高に面白い場所だったし、その全盛期を体験できたのは幸運だったけど、もう終わったことなんだよ。

「ネットは検閲を障害と見なし、それを回避するルートを見つける。」

-- ジョン・ギルモア (たぶん https://quoteinvestigator.com/2021/07/12/censor/ (https://quoteinvestigator.com/2021/07/12/censor/))

VPNやTorが政府の政策に対する解決策になるなんて言ってる連中がいるけど、時々それが誤情報じゃないかと思えてくる。

VPNの禁止なんて簡単だよ。IPアドレス帯は周知されているし、Wireguardのフィンガープリントもすぐ特定されてブロックされる。

結局いたちごっこになるだけだし、もし政府がこれに負けそうになったら、VPNやTorを使っているところを見つかること自体を違法にするだろうね。それも十分あり得る話だよ。

状況を変える唯一の方法は、もっとマシな政党が出てくることだけど、Reform党を含めてほとんどが検閲賛成派だからね。

自分はすでにUniFiでポリシーベースルーティングを使っていて、imgurとかのOSAに検閲されたサイトへの通信をMullvad VPN経由にしている。ほとんどは上手くいってるけど、IPv6のサイトだとUniFiがIPv6のポリシーベースルーティングに対応してないから完全に壊れるんだよね。

もし政府がMullvadをブロックしてきたら、Hetzner経由のヘルシンキにあるVPSでWireguardに切り替えるだけだよ。

「『オンラインの安全』という名目で、表現の自由とプライバシーという基本的人権が差し迫った脅威にさらされているようだ。」

今のイギリス政府は実際には子供のことなんて気にかけていないよ。もし本当に気にかけているなら、子供の性的搾取（SA）グループの捜査とか、エプスタイン・リストに載っている連中の責任追及を本気でやってるはずだ。オーストラリア [1] も同じ時期に「魔法のように」同じ考えに至ったし、これは世界的なグループがこの動きを裏で糸引いている可能性が高い。

「16歳未満のSNS利用禁止という現在の提案（そのSNSの定義もまだ完全ではないが）は、結果的に広範囲な本人確認を招くことになるだろう。」

これこそが真の目的さ。イギリスのポルノ閲覧時の年齢確認 [2] と同じだよ。ネットで自己表現したければ、いずれは実名と紐付けなきゃならなくなる。VPN規制の話が出ている以上、インターネットに接続するためだけにID確認が必要になる時代もすぐそこだろうね。

昔はチャージ済みのSIMカードを買って、使い捨てにできた。でも今はクレジットカードか身分証を紐付けて、何らかの確認プロセスを通す必要がある。これまでの長い流れを見れば明らかだ。

「というわけで、自分は初めて、イギリス外のインターネット上に何か（WireGuardノードとかSOCKSプロキシ、あるいは再帰DNSサーバー/DNSプロキシ、あるいはその全部）を設置することを検討している。Webへのアクセスを維持するために、必要に応じてトラフィックをそこに流すためだ。」

それだけじゃ足りないよ。そのうちイギリス政府はディープパケットインスペクション（DPI）を義務化するだろうから、隠れる場所なんてなくなる。この手の規制はどこでも導入されつつあるし、じゃあどこの国のサーバーならデータを安心して預けられるっていうの？

ニュージーランドのクライストチャーチでのモスク襲撃事件を思い出すよ。世界中の複数の政府がFacebookに対して、動画を完全に削除するよう圧力をかけていたよね [3]。彼らは事件そのものよりも、人々が攻撃の様子を見たり共有したりすることの方を恐れていたんだ。マニフェストは完全に禁止され [4]、人々は事件に関するストーリーを政府から与えられるしかない状況に置かれた。

これら全部「クライストチャーチ・コール」[5] の影響じゃないかって気がする。この最近の動きを彼らが直接主導しているとは思わないけど、今進行中の取り組みに大きな影響を与えているのは間違いないよ。

[1] https://www.bbc.com/news/articles/cwyp9d3ddqyo
[2] https://www.ofcom.org.uk/online-safety/protecting-children/age-checks-for-online-safety--what-you-need-to-know-as-a-user
[3] https://www.bbc.co.uk/news/business-47620519
[4] https://www.theguardian.com/world/2019/mar/24/censor-bans-manifesto-of-christchurch-mosque-shooter
[5] https://www.christchurchcall.org/

ホスト名に基づいてアップストリームのプロキシへ振り分けるSOCKS5の「プロキシ・マルチプレクサー」を作ったよ。例えばRedditはダブリンのVPS経由、ImgurはTor経由みたいに。SOCKS5はWebトラフィックのマルチプレックスに最適な層だと思う。ECHやESNIを使ってても、マルチプレクサー側でリクエスト先のホスト名が見えるからね。思いつきでパッと作ったコードだけど、今のところかなり安定してる。オープンソースにしてもいいかもな。

外向きのSOCKS5トラフィックをmTLSでラップしてるから、パケット解析する人から見れば「普通」に見える（明らかにプロキシやVPNを使っているようには見えない）。まあ今のところステルス性は脅威モデルに入れてないんだけどね。

「というわけで、自分は初めて、イギリス外のインターネット上に何か（WireGuardノードとかSOCKSプロキシ、あるいは再帰DNSサーバー/DNSプロキシ、あるいはその全部）を設置することを検討している。Webへのアクセスを維持するために、必要に応じてトラフィックをそこに流すためだ。」

頑張って。でもたぶん無理だろうね。AIスクレイピングボットにうんざりした管理者が、住宅用回線やビジネス回線以外からのアクセスを全部一律ブロックするようになってきてるから。VPN業者がスマートTVとかに「収益化SDK」付きのソフトウェアをインストールさせる、いわゆる「倫理的に調達されたプロキシ」が溢れているのには理由があるんだ。あれこそが、YouTubeやNetflixの地域制限を回避するためのVPNの裏にある汚い秘密だよ。

身元バレ防止のため捨て垢で投稿する。

イギリスのこの凋落はずっと感じていた。自分は全てのトラフィックをDAITA [1] を有効にしたMullvad経由で通してる。トラフィック解析に対抗できるのは、こうした情報の取捨選択 [2] くらいしかないと思うからね。エンドポイントは随時変えてる。高級なSBCルーターを使っていて、今のところトンネルの存在やWireguardを使っていることは隠していない。MullvadならQUICやSNI難読化、あるいはvless/xray/vmessで十分に隠せるし、その辺はかなり優秀だ。

アムステルダムにもVPSを立てていて、Wireguardで動かしてる。スマホにもWireguardクライアントが入ってるよ。大手クラウドホスティングの信頼できるVPSプロバイダーさ。Mullvad経由じゃない逆方向のWGトンネルを自宅に向けて張っている（自宅はIPv6アドレスはあるけどIPv4はないので）。スマホ（自分やパートナー、友人など）はそこから自宅のサーバーにアクセスして、全ての通信は匿名化されたMullvad経由で外に出ていく仕組みだ。他にも仮想通貨（XMR）で払っている別のVPSがあって、冬場は（ガス代よりマイニングの排熱の方が安いから）マイニングもしてる。これはポートフォワーディングホストとして使ってて、二重のWGトンネルを組んでリバースプロキシとして機能させている。

ブートストラップ用に、ISP接続上では再帰リゾルバーとdnscryptも動かしてるよ。

これである程度のオンライン上の匿名性は確保できてると思う。ISPルーターを通る通信を検査してみても、特にQUIC SNIスプーフィングをオンにしていればほとんど何も見えない。トラフィックの量はかなり多いし、個性的（エンドポイントが既知であるという最大の欠点はあるけどね）。でも「プライバシー」は確保できているし、自分にとってはそれが重要なんだ。

最近の年齢確認やKYC、顔出し要求といった流れは、以下の2つの単純な前提で国際的に組織されていると思う。

1. ロシアや中国による選挙干渉やデマが、多くの民主主義国家の選挙結果に影響を与えたこと（ブレグジットやトランプの件など）。支配層は世論のコントロールが不可欠だと考えるようになっている。SNSではそれが難しいから、厳格な本人確認で「敵」がどこにいるかを明確にしたいんだ。

2. オンラインの行動が現実世界の結果に直結するようになってきて、支配層が「法律」を破った連中をより簡単に罰したいと考えていること。これは1番目と関連しつつも別の話だ。イギリスでも例はたくさんあるし、世界中で広がっている。「違反」から「逮捕」までの時間を短縮することが行動変容の最大の鍵だからね。

他にも細かい理由として、以下があると思う。

1. 大規模な戦争への恐怖と、情報セキュリティ、世論への影響、それに付随する影の軍事勢力への懸念。

2. 暗号化が進んで、一斉取り締まりが難しくなっていることへの恐怖。大手Webサービスのほとんどはバックドアがあるだろうけど、メタデータが露出しない真のP2P通信はスパイコミュニティにとっての脅威だ。彼らはメタデータと機械学習を根拠に殺害を行ってきた…2014年当時ですらそうだった [3] し、今も同じだろう。メタデータが重視されるのは、それが設計上どこでもアクセス可能だからだ。VPNやTorは悪意ある連中の間で普及しているだろうし、彼らはそうした連中のマスクを剥がすために多大なリソースを費やしてきたはずだ。技術次第では、国民の大部分がこうしたツールを使えば、追跡はかなり難しくなるはずだよ。

3. CSAMのような回避可能な害悪の国際的な増加や、右派的な政治的弊害の増加。

[1] https://mullvad.net/en/vpn/daita
[2] https://en.wikipedia.org/wiki/Chaffing_and_winnowing
[3] https://arstechnica.com/information-technology/2016/02/the-nsas-skynet-program-may-be-killing-thousands-of-innocent-people/

自分はEU外でホストしている自前のプロキシサーバー経由でいろいろルーティングしてるよ。これのおかげで日本のWebサイトなんかにもアクセスできる。

オーストラリアも状況は変わらないけど、自分はホームラボが大好きだから解決策を実装したよ :)

1. XなどデジタルIDが必要なドメイン用のNginx Proxmox LXCコンテナ。
   Ansibleで簡単にドメインの追加や削除ができるようにした。

2. OPNSense上にMullvad VPNのサーバー/クライアントを設定。

3. 手順1で作ったリストを元に、OPNSenseファイアウォールでルール設定。

4. Xなどにアクセスするたびに、OPNSenseのファイアウォールルールがトラフィックをMullvad VPNゲートウェイ経由にリダイレクトして、デジタルIDの強制を回避する。

5. DNSを完全に制御するためにPihole + Unboundで再帰DNSを構築。再帰DNSは13個のルートネームサーバーを使うようにして、GoogleのようなパブリックDNSは一切使わず、むしろ全てブロックしてる。

これでデータは自分のコントロール下だ。