今天要开会,据说最近PPTP/GAE代理受害最重,其次是L2TP/SSH代理,再次是OpenVPN,SSTP/IKEv2/Cisco IPsec由于国内用来翻墙还不广泛受干扰程度稍轻,关于VPN受干扰情况以下做些简述:
首先,常见的干扰手段
域名被DNS污染是GFW惯用技俩,此法对VPN服务商影响很大,个人用户可以直接用域名对应IP或修改hosts来连接
IP查找方法参考:http://igfw.net/archives/8089 和 http://igfw.net/archives/3996
修改hosts方法参考:http://igfw.net/archives/670
其中PPTP/L2TP/Cisco IPsec/OpenVPN可以直接使用IP连接,SSTP/IKEv2由于其域名和证书有关联而不能直接使用IP连接,需要修改hosts文件。
IP被GFW封锁也是比较常见的情况,如果IP被封锁那就只有找新的可用代理或设置VPN前置代理解决
有时VPN域名对应多个IP,其中一个IP被封锁可以试试其他IP;有时VPN的IP相连附近的IP也是此VPN服务商所有并开通只是没有公布,也不妨一试,详情参考:http://igfw.net/archives/3996
如果找不到可用IP,可以试试设置VPN前置代理,其中PPTP/L2TP/Cisco IPsec/IKEv2不能设置前置代理,SSTP和OpenVPN(最好tcp 443连接)可以设置前置代理,找个国外可用普通代理来设置即可,详情参考:http://igfw.net/archives/6732
端口被干扰的情况最近最为疯狂,继PPTP(要用到TCP 1723)/L2TP(要用到UDP 1701)端口受到干扰之后OpenVPN默认端口(UDP 1194)也受到了不同程度的干扰。
其中PPTP/L2TP/IKEv2/Cisco IPsec一般都使用固定端口,虽然也可变更不过比较麻烦(需要服务器和客户端同时修改)也极为少见,代理VPN服务商里基本没有,所以比较容易被封锁端口。sstp默认使用tcp 443端口(也有部分vpn服务商提供其他端口支持),大部分OpenVPN服务商也支持tcp 443端口连接(一般还会开启多个tcp和udp端口,一个端口被封锁了可以是试试其他的),而tcp 443端口是https网站默认连接端口,此端口一般不会被封锁,所以sstp和openvpn对抗端口封锁更为有利。
其次,不常见的干扰手段
认证有些类型的VPN连接认证过程是需要一定端口或有一定特征的,若进行干扰,可以使其无法连接或频繁掉线,这样可以造成一种你使用VPN服务器不稳定的假象而使你错怪VPN服务商而不会忘却网络封锁。这种情况下最好是试试其他类型的VPN。
传输有些类型的VPN数据传输过程是需要一定端口/协议或有一定特征的,若进行干扰可以使其即使连接上VPN也打不开任何网络,或偷偷进行速度限制使其在VPN下访问网站速度非常慢(据说阿联酋/迪拜等国家就有类似限制)。这种情况下最好是试试其他类型(或端口)的VPN。
最后,偶发的干扰手段
域名/IP+端口这种封锁是指不是彻底封锁某个IP或某个端口而是精心到某个IP上的某个特定端口,这样你可能ping其IP是通的,连接其他类似VPN也能连上,就是这个不行,于是分析IP没被墙/端口没被封就会以为是VPN服务商问题而忽略了网络封锁,很具迷惑性。
基于网络IP要从曾的暂时断网开始说,使用某些被高度关注的破网软件后可能导致暂时连接不上外国IP的情况,然后过一段时间恢复(类似对谷歌的封锁,除非关键词后暂时断开连接,等一段时间后恢复),也有这样情况导致VPN不能连接的可能,也就是你拨号得到的IP是被某种限制的IP(可能这种限制的发生不是你诱发的)。遇到这种情况可以重新拨号获得新IP试试。
基于特征的封锁以前说过SSH遭受IDS/IPS干扰,VPN也是有特征可循的,用来干扰VPN应该也可以实现。
其他干扰手段等待大家补充。
随着常见VPN协议的受干扰程度越来越甚,有兴趣的也可以研究下非主流VPN类型,以下是一些本站以前介绍过的VPN方案:
Tinc VPN:http://www.tinc-vpn.org/
SigmaVPN:http://code.google.com/p/sigmavpn/
SSHVpn:http://sshvpn.sourceforge.net/
SocialVPN:http://code.google.com/p/socialvpn/
BadVpn:http://code.google.com/p/badvpn/
N2n:http://www.ntop.org/products/n2n/
Embedded VPN:http://embeddedvpn.com/
TeamViewer:http://www.teamviewer.com/zhcn/download/windows.aspx
cjdns:http://cjdns.info/
FairVPN:http://minerva.netgroup.uniroma2.it/fairvpn
GVPE:http://software.schmorp.de/pkg/gvpe.html
QuickTun:http://wiki.qontrol.nl/QuickTun
VTun:http://vtun.sourceforge.net/
sshuttle:https://github.com/apenwarr/sshuttle
LogMeIn Hamachi:https://secure.logmein.com/products/hamachi/
PacketiX VPN:http://igfw.net/archives/8315
udpip:http://igfw.net/archives/7756
每个人都应该有属于自己的VPN协议:http://igfw.net/archives/3002
原文:http://igfw.net/archives/12375
via 细节的力量 https://xijie.wordpress.com/2013/01/14/%e7%ae%80%e8%bf%b0%e8%bf%91%e6%9d%a5vpn%e5%8f%97%e5%b9%b2%e6%89%b0%e7%9a%84%e7%8e%b0%e7%8a%b6%e5%8f%8a%e8%a7%a3%e5%86%b3%e6%96%b9%e6%b3%95/
No comments:
Post a Comment