Hysteria2 を一言で言うと
Hysteria2 は、UDP 上で動く QUIC を転送の基盤に据えたプロキシプロトコルです。TCP ベースの TLS トンネルと比べ、往復遅延(RTT)が大きい回線やパケットロスが頻発する環境でも、輻輳制御と再送の組み合わせにより「速度が極端に落ちきらない」ことが多いのが特徴です。利用形態は提供者のポリシーと契約に従う必要がありますが、技術的には国際バックボーンの品質が不安定なときの選択肢として広く知られています。
Mihomo(旧称 Clash Meta)では、追加のサイドカー無しで type: hysteria2 をそのまま扱えます。GUI を挟む場合も、内蔵コアが新しめであるほどパラメータの解釈が揃いやすいです。プロトコル同士の位置づけは Clash Meta(Mihomo)アップグレードガイド でも触れています。関連記事の索引は 技術ブログの一覧 から辿れます。
悪路線で効きやすい理由(QUIC の強み)
TCP は「順序立てたバイトストリーム」として設計されており、ひとつでも欠損があると後続のセグメント処理に影響が出やすい面があります。QUIC はコネクションの中に複数のストリームを持ち、暗号化や輻輳制御の単位を現代的に組み直したプロトコルです。Hysteria2 はその上に、プロキシ用途向けの認証と帯域ヒント(後述の up/down)を載せています。
もちろん万能ではありません。キャリアや施設によって UDP そのものが制限・劣化 されると、QUIC 系はそもそも成立しません。その場合は TCP ベースの別プロトコルや、別ポート・別経路の検討が必要になります。環境ごとに実測で比較するのが確実です。
sni は TLS クライアントが提示するサーバー名(Server Name Indication)です。証明書の検証や中間者攻撃の防止に直結するため、サーバー側の設定と文字列レベルで一致させるのが基本です。
始める前に確認したいこと
1. クライアントコアの世代
Hysteria2 を安定して扱うには、Mihomo の版が十分新しいことが前提です。GUI の表記バージョンだけでなく、設定画面やログから実際のコア識別子を確認してください。検証済みのクライアント束ね方は 公式ダウンロードページ にまとめています。
2. UDP とファイアウォール
自宅ルータ、会社出口、公共 Wi‑Fi によっては UDP が低優先度扱いになることがあります。接続テストで「TCP の別プロトコルは通るが Hysteria2 だけ不通」というパターンは、UDP 経路の疑いが強いです。
3. サーバーから渡される値のセット
一般的には server、port、password(共有鍵)、sni、必要に応じて obfs 用の別パスワード、ピン留め用の証明書フィンガープリントなどがセットで渡されます。一部だけ欠けると、同じサーバーでもクライアント側で再現できません。
Mihomo での基本設定(proxies)
以下は config.yaml の proxies に追加する最小構成の例です。値はすべてダミーなので、実運用では提供者の情報に置き換えてください。
proxies:
- name: "HY2-Example"
type: hysteria2
server: hy2.example.com
port: 443
password: "replace-with-server-password"
sni: hy2.example.com
skip-cert-verify: false
alpn:
- h3
up: "80 Mbps"
down: "200 Mbps"alpn に h3 を指定する例がよく使われます。サーバーが要求する ALPN と食い違うと、ハンドシェイク前に失敗します。提供者のドキュメントと揃えるのが安全です。
skip-cert-verify: true は検証を省略するため、公開 Wi‑Fi 下などではリスクが高まります。自己署名証明書を運用側が配っている場合でも、可能なら ca やフィンガープリント指定で検証を残す方法を優先してください。
up と down(帯域ヒント)の考え方
Hysteria2 では、クライアントがアップロード/ダウンロードの目安帯域を文字列で宣言します。例では "80 Mbps" のように単位付きで書きます。ここが極端に実回線と乖離していると、輻輳制御が過敏になったり逆に飽和しやすくなったりします。
実務的には、契約帯域と速度テストの結果の間で、やや保守的な値から試し、遅延や損失の様子を見ながら微調整するのが扱いやすいです。数値は「絶対の上限」ではなく、プロトコル内部のヒントとして働くイメージで捉えると理解しやすいでしょう。
Salamander 形式の obfs(任意)
サーバーが obfs を要求する場合、Mihomo では概ね次のようにネストします。タイプ名やキー名は利用中のコア版のドキュメントと一致させてください。
proxies:
- name: "HY2-Obfs-Example"
type: hysteria2
server: hy2.example.com
port: 443
password: "replace-with-server-password"
sni: hy2.example.com
skip-cert-verify: false
alpn:
- h3
up: "80 Mbps"
down: "200 Mbps"
obfs:
type: salamander
password: "replace-with-obfs-password"obfs は「特徴をならす」方向にも「検知回避」方向にも解釈され得ますが、法令・契約・提供者ポリシーの範囲を超えた利用は避けるべきです。本記事は技術説明にとどまります。
プロキシグループとルールへの組み込み
単体の proxies 定義だけではトラフィックは流れません。proxy-groups に登録し、rules から選択されるようにします。
proxy-groups:
- name: "PROXY"
type: select
proxies:
- HY2-Example
- DIRECT
rules:
- MATCH,PROXY本番では、国内ドメインを DIRECT、動画や更新系だけ別グループ、といった分流が快適です。ルールや Rule Provider の設計は Rule Providers 上級ガイド と相性がよいです。遅延テストやフォールバックを組み合わせる考え方は 高速化のコツ でも整理しています。
主要パラメータの読み方
server/port:接続先。CDN 前段や Anycast では、DNS 結果が意図とズレるとタイムアウトの原因になります。password:共有秘密。コピー時の余分な空白や引用符の取り違いに注意してください。sni:証明書チェーンと整合するホスト名。不一致は典型的な「証明書エラー」に繋がります。skip-cert-verify:検証スキップ。トラブルシュートの切り分けに一時的に使うことはあっても、常時 true は非推奨です。alpn:アプリケーション層プロトコル交渉。サーバー設定と揃える必要があります。up/down:帯域ヒント。実測に基づき更新すると体感が安定しやすいです。
よくある症状と切り分け
一切つながらない(タイムアウト)
まず UDP の到達性を疑います。別回線・テザリングで試す、ルータの UDP 関連オプションを確認する、などが有効です。同じマシンから別の QUIC 系サービスが使えるかも手掛かりになります。
証明書エラーが出る
sni とサーバー証明書の SAN/CN の関係、中間証明書の欠落、端末の時刻ずれを確認します。自己署名を配っている運用では、信頼できる経路で ca やフィンガープリントを取得してください。
速度は出るが遅延だけ高い
プロキシ以外の要因(DNS のフォールバック、ルールのループ、競合する VPN)を疑います。dns セクションと rules の優先順位を見直すと改善することがあります。
特定アプリだけ不安定
OS のプロキシ非対応アプリは TUN モードが必要です。管理者権限や競合フィルタの有無を確認してください。
一次情報とオープンソース
プロトコルやサーバー実装の詳細は、公式ドキュメントとリリースノートが最も正確です。実装の所在を確認したい場合は Hysteria の GitHub リポジトリ も参照してください。クライアント実行ファイルの入手とインストール手順の主導線は、当サイトのダウンロードページに集約しています。
まとめ:クライアントと設定をセットで考える
Hysteria2 は、悪路線でのスループット維持に強い一方、UDP 前提であるため環境適合性が重要です。パラメータは password と sni のような基本項目から、up/down、obfs まで段階的に確認すると、原因箇所に辿り着きやすくなります。
同じノード情報でも、GUI の検証状況・同梱コアの新しさ・DNS プリセットの違いで安定性は変わります。ルールと DNS を一つの設定空間で扱える Clash 系 は、複数プロトコルを併用する運用と相性がよいです。実機で遅延と速度を比較し、自分の回線に合う組み合わせを選ぶのが近道でしょう。→ Clash を無料ダウンロードして、Mihomo 世代の Hysteria2 体験を試す