未北岸国内服务器与 TLS 流量问题请教

315 天前
 MFWT

国内服务器建站要北岸,笔者见到的基本上是不北岸就不开放 80/443 ,或者不让解析域名(会检测 Host 和 SNI )去访问

现在我有一个问题就是,我在国内服务器上有一个基于 tls 的服务,不对外开放。如果我直接用 IP 访问,会被北岸墙拦下来吗?还是说有更好的解决办法?

具体来说就是:

  1. 比如说我这个 TLS 服务是 OpenVPN 之类的 SSL VPN ,或者说是 headscale 的 DERP ,又或者是开启了 TLS 的 RDP ,可以使用非 80/443 端口
  2. 证书的话问题不大,我一般是用自签名证书(用在自己所用的设备上,信任自己的 CA 跟证书),IP 证书和域名证书都能签
  3. 笔者印象中好像有那么一个情况:把国内机器的 IP 解析到一个域名上,用域名访问 rdp 会失败,但是直接敲 IP 访问 rdp 就能连上,笔者估计,这个可能也是因为 RDP 的 tls 流量被北岸墙给拦下来了,不知道猜测的对不对?
  4. 笔者目前在套路云广州服务器上有一个 headscale ,是直接敲 IP 加非标端口访问的,已经稳定使用几个月了。但是因为是 http 流量,所以不确定能不能对此作为参考

望不吝赐教

3227 次点击
所在节点    宽带症候群
28 条回复
ttvast
314 天前
@MFWT 不提供网页服务就不需要备案
6Bpencle
314 天前
阿里云是全端口拦截 tls 的,剩下的大多数云平台只拦截常见 web 端口 (80, 443, 8080, 8443, etc.) 的 tls
aru
313 天前
@busier
你这个就是普通的 https 呀,备案检测是旁路入侵检测系统,
检测到 sni 里面的域名是未备案的,肯定给你阻断了。
腾讯云稍微宽松一点,非标端口 https 通过域名访问还可以
aru
313 天前
@MFWT
return 444 是不行的,因为是旁路流量检测,你访问的时候就可以检测了

不过非标端口的 IP 访问 tls 流量没见过有备案系统会拦截
MFWT
313 天前
@busier 非 443 ? 443 直接跑基本上就意图很明显了
MFWT
313 天前
@aru 我目前是在担心这一点,搭建的测试站点是 非标端口+IP 证书+根目录 444 (实际用的话未必有根目录这玩意了,比如 OpenVPN ),短时间数次访问未发现阻断现象,但是如果他来个马后炮(比如过个两三天或者两三周才阻断,我试过 HTTP 就是这样)那就没办法了
MFWT
313 天前
@6Bpencle 这个 TLS 包括 SNI 为 IP 的情况吗(已知用域名是肯定会中招的)?
6Bpencle
313 天前
@MFWT 一般是不包括,只检测域名是否备案

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1015342

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX