TrustTunnelについてのメモ

AdGuardが独自のVPNプロトコル「TrustTunnel」をオープンソース化 - GIGAZINE

この前こんな記事が出ていました。

TrustTunnelの大きな特徴は「通常のHTTPSトラフィックに紛れ込む」ように設計されている点で、TLSを基盤としながらウェブで広く使われるHTTP/2またはHTTP/3のトランスポートを利用し、通信の識別やスロットリング、遮断を難しくすることを狙うとしています。

AdGuard VPNが金盾越えにいいという話は聞いたことがなかったけど、この説明だけ見ると越えられてもおかしくなさそうに見えます。

ということで、うちの金盾越えシステムに追加で組み込んでみることにしました。

GitHub - TrustTunnel/TrustTunnel: Modern, fast and obfuscated VPN protocol

公式のGitHubにそれなりに親切な解説があるので、インストールはそんなに迷いません。

まだ出たてで情報があまりないのと、実際使ってみてちょっとくせのあるツールだったので、メモしておきます。

TrustTunnelの特徴

今回サーバ側(Endpoint)はDebianで、クライアント側はDebianとAndroidという構成で組んでみました。
★接続先指定

接続先サーバの指定のしかたはIPアドレスとポート番号のみです。ホスト名での指定はできません。自己署名でないサーバ証明書やホスト名の設定も必須なんですが、これはIPアドレス指定で接続したあとでドメイン検証するためのもののようです。

実家サーバはグローバルIPアドレスを持っているものの、固定ではないので、DDNSで独自ドメインのホスト名とそのアドレスをひもつけるようにしてるんですが、それが活用できません。

日記さんミニPCのセカンドライフ

とはいえ、去年の3月に実家サーバを立ててから一度もグローバルIPアドレスって変わってないので、とりあえずはいいかな。

ちなみに接続先をホスト名で指定させない理由はなんとなく想像がつきます。

日記さん日本から本物の金盾を体験する

金盾みたいにDNS応答を改ざんするシステムが世の中には存在するので、その回避のためと、ドメイン名でブロックされないようにするためということかな。
★Androidアプリ

TrustTunnel - Google Play のアプリ

TrustTunnelのAndroidアプリで特筆すべきは、宛先のIPアドレスやドメインでルーティング(トンネルを通すか通さないかの振り分け)ができること。「デフォルトで全通信をVPNトンネルに通して、指定したものだけバイパスする」のと「デフォルトで全通信をバイパスして、指定したものだけVPNトンネルを通す」のどっちにも対応しています。
(Routing > プロファイル選択 > 縦3点ボタン > Change default routing)

仕事用と個人用のトラフィックを分離したり、特定のドメインやアプリをルーティングしたり、複雑な設定なしでネットワークの動作を微調整したりできます。

とあるんですが、アプリごとのルーティングはまだ実装されていないように見えます。

日記さん v2RayTun

自分の用途ではアプリごとのができてほしいんやけどなあ。
★通信制限

CLI Client(つまりLinux版のクライアント)で接続すると、トンネル内はなぜかping(ICMP)もtraceroute(ICMP/UDPとも)も通りません。

Androidクライアントだと、ping(ICMP)とtraceroute(ICMP)は通るんですがtraceroute(UDP)が通りません。

ほかの通信は通ってるっぽいんですが、疎通確認がしづらいです。
—2026.01.25追記

ICMPについては、サーバにICMP関連設定を追加したらCLI Clientからでも通るようになりました。

—追記ここまで
★通信速度

うちの金盾越えシステムに組み込まれているVPNプロトコルそれぞれで回線速度計測をしてみました。今回はVPNサーバ・クライアントとも日本です。

▼VPNなし
ダウンロード：139.7 Mbps
アップロード：165.3 Mbps

▼SoftEther (UDP OFF)
ダウンロード：81.3 Mbps
アップロード：79.9 Mbps

▼SoftEther VPN Azure経由 (UDP OFF)
ダウンロード：80.9 Mbps
アップロード：72.5 Mbps

▼OpenConnect (UDP OFF)
ダウンロード：74.6 Mbps
アップロード：81.2 Mbps

▼ZeroTier
ダウンロード：81.4 Mbps
アップロード：84.0 Mbps

▼Reality VLESS
ダウンロード：80.4 Mbps
アップロード：87.1 Mbps

▼TrustTunnel
ダウンロード：84.8 Mbps
アップロード：36.9 Mbps

TrustTunnelはもうちょっとチューニングできるかも。

金盾のからむ環境で、しかもネットが混む夕方〜夜だと使い心地はどんな感じになるかな？

ちなみにZeroTierって、サーバ側がグローバルIPアドレスを持っていると、直接P2PでUDP通信をします。中国で通信キャプチャをしてびっくりしました。こんなあからさまなのよく遮断されずにすんでるなあ。