简述近来VPN受干扰的现状及解决方法

2012年11月8日 | 分类: 翻墙相关 | 标签: , , , , ,

今天要开会,据说最近PPTP/GAE代理受害最重,其次是L2TP/SSH代理,再次是OpenVPN,SSTP/IKEv2/Cisco IPsec由于国内用来翻墙还不广泛受干扰程度稍轻,关于VPN受干扰情况以下做些简述:

首先,常见的干扰手段

域名被DNS污染是GFW惯用技俩,此法对VPN服务商影响很大,个人用户可以直接用域名对应IP或修改hosts来连接

IP查找方法参考:http://igfw.net/archives/8089http://igfw.net/archives/3996

修改hosts方法参考:http://igfw.net/archives/670

其中PPTP/L2TP/Cisco IPsec/OpenVPN可以直接使用IP连接,SSTP/IKEv2由于其域名和证书有关联而不能直接使用IP连接,需要修改hosts文件。

IP被GFW封锁也是比较常见的情况,如果IP被封锁那就只有找新的可用代理或设置VPN前置代理解决

有时VPN域名对应多个IP,其中一个IP被封锁可以试试其他IP;有时VPN的IP相连附近的IP也是此VPN服务商所有并开通只是没有公布,也不妨一试,详情参考:http://igfw.net/archives/3996

如果找不到可用IP,可以试试设置VPN前置代理,其中PPTP/L2TP/Cisco IPsec/IKEv2不能设置前置代理,SSTP和OpenVPN(最好tcp 443连接)可以设置前置代理,找个国外可用普通代理来设置即可,详情参考:http://igfw.net/archives/6732

端口被干扰的情况最近最为疯狂,继PPTP(要用到TCP 1723)/L2TP(要用到UDP 1701)端口受到干扰之后OpenVPN默认端口(UDP 1194)也受到了不同程度的干扰。

其中PPTP/L2TP/IKEv2/Cisco IPsec一般都使用固定端口,虽然也可变更不过比较麻烦(需要服务器和客户端同时修改)也极为少见,代理VPN服务商里基本没有,所以比较容易被封锁端口。sstp默认使用tcp 443端口(也有部分vpn服务商提供其他端口支持),大部分OpenVPN服务商也支持tcp 443端口连接(一般还会开启多个tcp和udp端口,一个端口被封锁了可以是试试其他的),而tcp 443端口是https网站默认连接端口,此端口一般不会被封锁,所以sstp和openvpn对抗端口封锁更为有利。

其次,不常见的干扰手段

认证有些类型的VPN连接认证过程是需要一定端口或有一定特征的,若进行干扰,可以使其无法连接或频繁掉线,这样可以造成一种你使用VPN服务器不稳定的假象而使你错怪VPN服务商而不会忘却网络封锁。这种情况下最好是试试其他类型的VPN。

传输有些类型的VPN数据传输过程是需要一定端口/协议或有一定特征的,若进行干扰可以使其即使连接上VPN也打不开任何网络,或偷偷进行速度限制使其在VPN下访问网站速度非常慢(据说阿联酋/迪拜等国家就有类似限制)。这种情况下最好是试试其他类型(或端口)的VPN。

最后,偶发的干扰手段

域名/IP+端口这种封锁是指不是彻底封锁某个IP或某个端口而是精心到某个IP上的某个特定端口,这样你可能ping其IP是通的,连接其他类似VPN也能连上,就是这个不行,于是分析IP没被墙/端口没被封就会以为是VPN服务商问题而忽略了网络封锁,很具迷惑性。

基于网络IP要从曾的暂时断网开始说,使用某些被高度关注的破网软件后可能导致暂时连接不上外国IP的情况,然后过一段时间恢复(类似对谷歌的封锁,除非关键词后暂时断开连接,等一段时间后恢复),也有这样情况导致VPN不能连接的可能,也就是你拨号得到的IP是被某种限制的IP(可能这种限制的发生不是你诱发的)。遇到这种情况可以重新拨号获得新IP试试。

基于特征的封锁以前说过SSH遭受IDS/IPS干扰,VPN也是有特征可循的,用来干扰VPN应该也可以实现。

其他干扰手段等待大家补充。

随着常见VPN协议的受干扰程度越来越甚,有兴趣的也可以研究下非主流VPN类型,以下是一些本站以前介绍过的VPN方案

Tinc VPN:http://www.tinc-vpn.org/

SigmaVPN:http://code.google.com/p/sigmavpn/

SSHVpn:http://sshvpn.sourceforge.net/

SocialVPN:http://code.google.com/p/socialvpn/

BadVpn:http://code.google.com/p/badvpn/

N2n:http://www.ntop.org/products/n2n/

Embedded VPN:http://embeddedvpn.com/

TeamViewer:http://www.teamviewer.com/zhcn/download/windows.aspx

cjdns:http://cjdns.info/

FairVPN:http://minerva.netgroup.uniroma2.it/fairvpn

GVPE:http://software.schmorp.de/pkg/gvpe.html

QuickTun:http://wiki.qontrol.nl/QuickTun

VTun:http://vtun.sourceforge.net/

sshuttle:https://github.com/apenwarr/sshuttle

LogMeIn Hamachi:https://secure.logmein.com/products/hamachi/

PacketiX VPN:http://igfw.net/archives/8315

udpip:http://igfw.net/archives/7756

每个人都应该有属于自己的VPN协议:http://igfw.net/archives/3002

本文原始地址http://igfw.net/archives/12375

  1. tttt
    2012年11月10日02:48

    openvpn udp全部熄火了,换tcp吧。。。哎。。。。

  2. 陆委会
    2012年11月9日18:24

    博主,俺这里securitykiss的IP没有能连得上的了,你那里呢

    • iGFW
      2012年11月9日19:36

      没有测试,你可以试试openvpn的连接,支持多种端口,你都试试吧

      • 陆委会
        2012年11月9日20:08

        具體的各種都試過了,現在 最最 重要的 美國。。。的IP 全部連不上了。。英國的IP從一開始就根本沒一個連得上。
        博組測試下呀?。。還是,這裏有用securitykiss的吧,看到的說說。。。

        • iGFW
          2012年11月9日21:04

          这个目前各地网络封锁还不一样,你最好是自己都测试看看。

  3. 沒有共產黨就沒有光明
    2012年11月9日14:57

    前面如何執行動態監測識別不確定,最後總歸就是限制IP,資源消耗戰,這兩年都是這樣的局面,。
    沒事,國內在賣的VPN反正一堆了,有錢就撇吧。

  4. fatality
    2012年11月9日14:15

    翻墙变的这么复杂,普罗大众就不会刻意去了解外面的世界了。 这也是墙想达到的目的吧!

  5. prophet
    2012年11月9日12:36

    博主,可以尝试一下,下载这个程序:
    http://code.google.com/p/opengg-clean-player/downloads/detail?name=tcpdns.zip

    解压后运行tcpdns.exe 将DNS 服务器改成 127.0.0.1
    这样可以防止dns投毒,理论上可以不用改host吧,我等您的实验结果

  6. solstice
    2012年11月9日11:26

    securitykiss vpn这两天收费大号连上也不能用,倒是免费小号反而正常!

  7. fish
    2012年11月9日00:44

    在哪里更改pptp/l2tp的连接端口?

  8. xyz
    2012年11月8日23:57

    用2,1,7版本GoAgent,间歇性抽风,提示:
    未收到数据
    服务器未发送任何数据,因此无法载入该网页。
    以下是一些建议:
    请稍后重新加载此网页。
    错误 324 (net::ERR_EMPTY_RESPONSE):服务器已断开连接,且未发送任何数据。

    • Aquamarine
      2012年11月9日22:13

      最近GoAgent被封严重,就如博主所说那样。

  9. Aquamarine
    2012年11月8日22:01

    是的,最近的确是比之前困难许多,看来要限制翻,还是有很多办法的,并没有什么绝对的突破方式。有2个问题请教下:
    ①关于OpenVPN的前置代理,似乎客户端中也可以设置,那是不是和ovpn文件设置的区别是前者对所有有效而后者仅限所配置的VPN呢?
    ②通过前置代理连接VPN后,是不是任何连接都相当于走了2层代理(包括上述两种设置情况)?
    个人觉得把一些直接连接改成文章名可能更一目了然吧。

    • iGFW
      2012年11月8日22:12

      1、是的,客户端中设置的对全部使用它连接的vpn都生效,配置文件中设置的只对当前配置文件生效,
      2、是的

  10. 询问
    2012年11月8日21:15

    国内某高校,原生接入ipv6(2001:),发现过滤:
    对于地址栏出出现特定字符串,比如“chinagfw.org”,该链接就会断掉,显示“该页无法显示”。(纯ipv6环境+ipv6dns)
    1,比如chinagfw.org.sixxs.org
    2,比如用ipv6.google.com搜索chinagfw.org
    没有墙的时间限制(ipv4的墙当被阻断ip时要过一会才能重练),比如ipv6.google.com阻断后可立即搜索其他内容。
    受限字符串不像墙那样广,目前很少发现这些字符串。(还有某轮子功网址)

    求助:这是高校行为还是墙的ipv6功能发力了?如果是墙,值得警觉。
    打算有空时间看看teredo的ipv6有没有这现象

  11. zdcs
    2012年11月8日20:55

    封的严重那就要挂个名,支持博主!

  12. 福音乐章
    2012年11月8日18:07

    博主好专业啊,连这么多非主流vpn协议都知道。。。
    话说虽然封网严重,但是我们还是翻出来了。

  13. 2012年11月8日18:04

    中国大陆就是一个悲剧。

  14. test
    2012年11月8日17:24

    今天用了一天goagent,没遇到问题。

  15. xiaokangwang
    2012年11月8日16:53

    还是APJP(和Cloud Foundry)好用~