请问这个 openvpn 是什么认证 method?为什么丝毫没有被干扰

2014-10-27 19:35:59 +08:00
 gissimo
client
dev tun
auth-user-pass
remote nyc.vpn.xxxxxx和谐.net 443
remote-cert-tls server
ca 和谐.pem

还有一个pem证书
13523 次点击
所在节点    问与答
22 条回复
jerryjhou
2014-10-27 19:44:43 +08:00
默认的TLS认证啊。可能被白名单了。
不过443端口本来就是传输HTTPS的,也有可能是GFW当成正常流量了(这个证书应该是可信CA签发的,而且非廉价/免费证书)
gissimo
2014-10-27 19:52:19 +08:00
@jerryjhou 为什么我自己在bandwagon上搭建的open VPN走TLS有一大堆证书,还经常1分钟被墙?
gissimo
2014-10-27 19:54:09 +08:00
@jerryjhou 还有他还要配合账号密码验证。这个能设置openvpn实现?
dajiangyou
2014-10-27 20:13:35 +08:00
client
dev tun
proto udp6
remote ********* 8080
ca ca.crt
cert client.crt
key client.key
ns-cert-type server
cipher AES-128-CBC


一直在用,从未和谐,不过是走的教育网IPV6
gissimo
2014-10-27 20:19:56 +08:00
@dajiangyou 我搭的和你差不多,不过是ipv4,也是教育网。最多一天有用,第二天就握手干扰,连上一分钟无网络。只能换secret key方式
YonionY
2014-10-27 21:13:02 +08:00
@jerryjhou 现在的墙才没那么弱智,能够清晰的分辨出各种流量,跟端口无关的。

@gissimo 能不能把完整的配置贴出来瞧瞧?另外你的OpenVPN客户端是官方的还是奸商提供的?

我觉得有两个可能性,一是提供服务的是蜜罐,墙有根证书解密流量,所以对这台服务器放在白名单上,二是使用了某些技术手段欺骗或躲过了墙。

我最近就有试验一个网上没公开过的办法,目前在不影响效率的情况下解决了被干扰的问题,奸商们的技术能力肯定不会比我弱,没有几把刷子怎么出来赚钱。
gissimo
2014-10-27 21:56:49 +08:00
@YonionY 我目前试验了三个网络环境:
联通3G,连接成功率95%,速度还OK;
校园网IPV4,链接成功率60%,速度75k左右,配合iKEV2双层VPN可以飙升到我的带宽;
上海电信,链接成功率25%,速度极慢,基本打不开,配合iKEV2双层VPN可以飙升。

不是奸商,是免费的,但不是公开的,某个非营利组织,主做网络安全,主要是邮箱,VPN是辅助的。注册需要多个不同好友直接发邀请码
gissimo
2014-10-27 21:57:34 +08:00
jerryjhou
2014-10-27 21:59:36 +08:00
@gissimo 你用的证书是可信CA签发的吗?
@YonionY 第一种纯属胡说八道,同意交出LOG就可以上白名单,怎么可能给根证书。
第二种有可能,不过标准OVPN客户端应该做不到。我还是认为可能骗过了墙(TCP443的干扰本来就相对弱,识别HTTPS和OVPN还是有一定难度的,尤其在OVPN承载HTTP流量的情况下)
lsylsy2
2014-10-27 22:06:08 +08:00
@jerryjhou
@YonionY
居然可以上白名单么……
jerryjhou
2014-10-27 22:10:10 +08:00
@gissimo 一定程度上骗过了GFW,昂贵且少见的可信CA不容易被照顾,你发的那个网站的就是(直接访问似乎是DNS被和谐了)。你提供的情况明显是被干扰的,但是强度较小,大部分OVPN都这个情况
gissimo
2014-10-27 23:10:53 +08:00
@jerryjhou 我不明白什么叫做可信CA。这家肯定不会向政府交出ca
gissimo
2014-10-27 23:13:42 +08:00
@jerryjhou 我提供的是一个介绍这家的网,这家官网是www.riseup.net
dajiangyou
2014-10-27 23:22:35 +08:00
@gissimo 你试试IPV6的断不断,反正我是连一次N天不断,除非国内IPV6网络出问题
dajiangyou
2014-10-27 23:24:15 +08:00
对了,教育网直接用IPV6就好了啊,反正我这里是免费百M不断网,不打游戏都可以不用其他宽带了,就是偶尔慢点
YonionY
2014-10-27 23:28:58 +08:00
@gissimo 用“奸商”这词只是调侃一下,纯粹指服务提供商,并无鄙视收费服务商之意。

双层VPN都能骗过墙且不被限速,这样看来,或者墙在使用VPN+HTTP识别术对付VPN+非HTTP(VPN+HTTP)时就失效了?这应该也是一个办法。

@lsylsy2 @jerryjhou 白名单这事就当我胡说八道吧。

openvpn首次被全体干翻的时候墙已经证明了他们的这种能力,以前一直认为openvpn难以识别。以我的理解来看,现在墙发展到今天应该没有哪个技术不需要骗墙的,就看用什么办法/技术骗而已。

用商业CA证书或者也是一个办法,以往的openvpn的教程都是自建CA发证书,有时间试试看这招能不能骗过墙。
gissimo
2014-10-27 23:42:53 +08:00
@dajiangyou 我们好像没IPV6
gissimo
2014-10-27 23:44:32 +08:00
@YonionY 其实我单层的Cisco IPSec IKEV2也没限速没干扰,现在是pptp l2tp openvps的tls握手干扰最厉害,我静态密钥的openvpn也没限速
gissimo
2014-10-27 23:47:28 +08:00
@YonionY openvpn也没这么脆弱吧?我用最古老的static key方式,畅通无比,没一点干扰
dajiangyou
2014-10-27 23:47:46 +08:00
@gissimo 用路由了没,有可能是被路由干掉了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/141912

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX