简述近来VPN受干扰的现状及解决方法
今天要开会,据说最近PPTP/GAE代理受害最重,其次是L2TP/SSH代理,再次是OpenVPN,SSTP/IKEv2/Cisco IPsec由于国内用来翻墙还不广泛受干扰程度稍轻,关于VPN受干扰情况以下做些简述:
首先,常见的干扰手段
域名被DNS污染是GFW惯用技俩,此法对VPN服务商影响很大,个人用户可以直接用域名对应IP或修改hosts来连接
IP查找方法参考:http://igfw.net/archives/8089 和 http://igfw.net/archives/3996
修改hosts方法参考:http://igfw.net/archives/670
其中PPTP/L2TP/Cisco IPsec/OpenVPN可以直接使用IP连接,SSTP/IKEv2由于其域名和证书有关联而不能直接使用IP连接,需要修改hosts文件。
IP被GFW封锁也是比较常见的情况,如果IP被封锁那就只有找新的可用代理或设置VPN前置代理解决
有时VPN域名对应多个IP,其中一个IP被封锁可以试试其他IP;有时VPN的IP相连附近的IP也是此VPN服务商所有并开通只是没有公布,也不妨一试,详情参考:http://igfw.net/archives/3996
如果找不到可用IP,可以试试设置VPN前置代理,其中PPTP/L2TP/Cisco IPsec/IKEv2不能设置前置代理,SSTP和OpenVPN(最好tcp 443连接)可以设置前置代理,找个国外可用普通代理来设置即可,详情参考:http://igfw.net/archives/6732
端口被干扰的情况最近最为疯狂,继PPTP(要用到TCP 1723)/L2TP(要用到UDP 1701)端口受到干扰之后OpenVPN默认端口(UDP 1194)也受到了不同程度的干扰。
其中PPTP/L2TP/IKEv2/Cisco IPsec一般都使用固定端口,虽然也可变更不过比较麻烦(需要服务器和客户端同时修改)也极为少见,代理VPN服务商里基本没有,所以比较容易被封锁端口。sstp默认使用tcp 443端口(也有部分vpn服务商提供其他端口支持),大部分OpenVPN服务商也支持tcp 443端口连接(一般还会开启多个tcp和udp端口,一个端口被封锁了可以是试试其他的),而tcp 443端口是https网站默认连接端口,此端口一般不会被封锁,所以sstp和openvpn对抗端口封锁更为有利。
其次,不常见的干扰手段
认证有些类型的VPN连接认证过程是需要一定端口或有一定特征的,若进行干扰,可以使其无法连接或频繁掉线,这样可以造成一种你使用VPN服务器不稳定的假象而使你错怪VPN服务商而不会忘却网络封锁。这种情况下最好是试试其他类型的VPN。
传输有些类型的VPN数据传输过程是需要一定端口/协议或有一定特征的,若进行干扰可以使其即使连接上VPN也打不开任何网络,或偷偷进行速度限制使其在VPN下访问网站速度非常慢(据说阿联酋/迪拜等国家就有类似限制)。这种情况下最好是试试其他类型(或端口)的VPN。
最后,偶发的干扰手段
域名/IP+端口这种封锁是指不是彻底封锁某个IP或某个端口而是精心到某个IP上的某个特定端口,这样你可能ping其IP是通的,连接其他类似VPN也能连上,就是这个不行,于是分析IP没被墙/端口没被封就会以为是VPN服务商问题而忽略了网络封锁,很具迷惑性。
基于网络IP要从曾的暂时断网开始说,使用某些被高度关注的破网软件后可能导致暂时连接不上外国IP的情况,然后过一段时间恢复(类似对谷歌的封锁,除非关键词后暂时断开连接,等一段时间后恢复),也有这样情况导致VPN不能连接的可能,也就是你拨号得到的IP是被某种限制的IP(可能这种限制的发生不是你诱发的)。遇到这种情况可以重新拨号获得新IP试试。
基于特征的封锁以前说过SSH遭受IDS/IPS干扰,VPN也是有特征可循的,用来干扰VPN应该也可以实现。
其他干扰手段等待大家补充。
随着常见VPN协议的受干扰程度越来越甚,有兴趣的也可以研究下非主流VPN类型,以下是一些本站以前介绍过的VPN方案:
Tinc VPN:http://www.tinc-vpn.org/
SigmaVPN:http://code.google.com/p/sigmavpn/
SSHVpn:http://sshvpn.sourceforge.net/
SocialVPN:http://code.google.com/p/socialvpn/
BadVpn:http://code.google.com/p/badvpn/
N2n:http://www.ntop.org/products/n2n/
Embedded VPN:http://embeddedvpn.com/
TeamViewer:http://www.teamviewer.com/zhcn/download/windows.aspx
cjdns:http://cjdns.info/
FairVPN:http://minerva.netgroup.uniroma2.it/fairvpn
GVPE:http://software.schmorp.de/pkg/gvpe.html
QuickTun:http://wiki.qontrol.nl/QuickTun
VTun:http://vtun.sourceforge.net/
sshuttle:https://github.com/apenwarr/sshuttle
LogMeIn Hamachi:https://secure.logmein.com/products/hamachi/
PacketiX VPN:http://igfw.net/archives/8315
udpip:http://igfw.net/archives/7756
每个人都应该有属于自己的VPN协议:http://igfw.net/archives/3002
openvpn udp全部熄火了,换tcp吧。。。哎。。。。
博主,俺这里securitykiss的IP没有能连得上的了,你那里呢
?
没有测试,你可以试试openvpn的连接,支持多种端口,你都试试吧
具體的各種都試過了,現在 最最 重要的 美國。。。的IP 全部連不上了。。英國的IP從一開始就根本沒一個連得上。
博組測試下呀?。。還是,這裏有用securitykiss的吧,看到的說說。。。
这个目前各地网络封锁还不一样,你最好是自己都测试看看。
前面如何執行動態監測識別不確定,最後總歸就是限制IP,資源消耗戰,這兩年都是這樣的局面,。
沒事,國內在賣的VPN反正一堆了,有錢就撇吧。
翻墙变的这么复杂,普罗大众就不会刻意去了解外面的世界了。 这也是墙想达到的目的吧!
博主,可以尝试一下,下载这个程序:
http://code.google.com/p/opengg-clean-player/downloads/detail?name=tcpdns.zip
解压后运行tcpdns.exe 将DNS 服务器改成 127.0.0.1
这样可以防止dns投毒,理论上可以不用改host吧,我等您的实验结果
感谢支持
securitykiss vpn这两天收费大号连上也不能用,倒是免费小号反而正常!
在哪里更改pptp/l2tp的连接端口?
需要你自己搭建VPN服务器
我搭建了vpn 服务,在pptpd.conf里我没发现有改端口的地方,怎么回事?
http://igfw.net/archives/6779
我没有测试过
用2,1,7版本GoAgent,间歇性抽风,提示:
未收到数据
服务器未发送任何数据,因此无法载入该网页。
以下是一些建议:
请稍后重新加载此网页。
错误 324 (net::ERR_EMPTY_RESPONSE):服务器已断开连接,且未发送任何数据。
最近GoAgent被封严重,就如博主所说那样。
是的,最近的确是比之前困难许多,看来要限制翻,还是有很多办法的,并没有什么绝对的突破方式。有2个问题请教下:
①关于OpenVPN的前置代理,似乎客户端中也可以设置,那是不是和ovpn文件设置的区别是前者对所有有效而后者仅限所配置的VPN呢?
②通过前置代理连接VPN后,是不是任何连接都相当于走了2层代理(包括上述两种设置情况)?
个人觉得把一些直接连接改成文章名可能更一目了然吧。
1、是的,客户端中设置的对全部使用它连接的vpn都生效,配置文件中设置的只对当前配置文件生效,
2、是的
国内某高校,原生接入ipv6(2001:),发现过滤:
对于地址栏出出现特定字符串,比如“chinagfw.org”,该链接就会断掉,显示“该页无法显示”。(纯ipv6环境+ipv6dns)
1,比如chinagfw.org.sixxs.org
2,比如用ipv6.google.com搜索chinagfw.org
没有墙的时间限制(ipv4的墙当被阻断ip时要过一会才能重练),比如ipv6.google.com阻断后可立即搜索其他内容。
受限字符串不像墙那样广,目前很少发现这些字符串。(还有某轮子功网址)
求助:这是高校行为还是墙的ipv6功能发力了?如果是墙,值得警觉。
打算有空时间看看teredo的ipv6有没有这现象
ipv6默认并不是都配置了ipsec,所以其被关键词过滤也不足为奇。
参考 http://igfw.net/archives/11372
封的严重那就要挂个名,支持博主!
博主好专业啊,连这么多非主流vpn协议都知道。。。
话说虽然封网严重,但是我们还是翻出来了。
中国大陆就是一个悲剧。
今天用了一天goagent,没遇到问题。
还是APJP(和Cloud Foundry)好用~