单位的防火墙会阻挡 openvpn 的 tls 握手包,有没有办法在 openvpn 继续使用 udp 协议的前提下绕过防火墙

2014-02-16 23:16:01 +08:00
 liemehoc
初步想法:
server端用iptables更改握手包的特征,在client端再用iptables把握手包改回来
这个想法是否可行,是否需要额外的iptables模块

另外有没有更好更简单的方法
9606 次点击
所在节点    问与答
7 条回复
wzzyj8
2014-02-16 23:37:17 +08:00
自己改握手其实也挺麻烦的。。如果,确定是特征就加obfs好了
geeklian
2014-02-16 23:48:35 +08:00
自己能控制Server端...为啥还局限openvpn呢。
zhujinliang
2014-02-17 09:00:58 +08:00
有一个混淆的patch,不过需要服务器端和客户端都打补丁
关键词 openvpn obfs patch
liemehoc
2014-02-17 10:44:32 +08:00
@wzzyj8 obfs好像只能udp吧

@zhujinliang 这个patch貌似只支持2.2.2,我是部署在openwrt上的,还得交叉编译
ltfish
2014-02-17 18:11:31 +08:00
现在知道封锁的策略么?应该不是简单地匹配的吧?可以试试配置一个 static key。
更方便的做法是自己编译一份 OpenVPN,然后混淆掉所有UDP流量(随机加头部、xor等等)。很容易的。
tux
2014-02-17 18:30:39 +08:00
shadowsocks 能用吗?
liemehoc
2014-02-17 21:41:03 +08:00
@ltfish 我看了一下握手包的结构,特征还是比较明显的 static key应该在tls握手以后吧

@tux shadowsocks 不支持udp

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/100497

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX