在GFW的干扰下IPsec/L2TP vpn变成明文,大家小心

2013-08-17 10:42:13 +08:00
 AnthraX
昨天拿服务器搭了个ipsec/l2tp的vpn给朋友翻墙,朋友说连上之后只要一上国外网站,facebook,youtube之类的就会断线,我觉得很不可思议,明明都是加密了的,这不科学。

后来把debug打开,tail -f /var/log/secure,tail -f /var/log/message,一般情况下,连ipsec l2tp vpn,secure log会先出现IKEv2握手的日志,最后会出现transport xxx established,说明ipsec通道建立完成,然后message log才开始出现ppp登录记录,但是每次我朋友拨vpn的时候,根本看不到secure log里有任何动静,上来就是ppp登录。

后来用nc发udp包做测试,正常情况下,用nc发送任意内容的udp包到udp 500端口,可以看到secure日志里提示数据包畸形(malformed xxxx),但是朋友用nc测试,也没有任何提示,说明udp包在500端口被drop了。
最诡异的一点是windows这时候居然还能建立成功vpn,即使打开了 需要加密(如果服务器拒绝将断开连接) 这个选项,还是可以建立成功vpn通道,只不过这个时候是明文的,而且gfw可以重建通道内的数据包进行审查。
如果打开强制使用最大程度加密的选项,vpn则会建立失败。但是在没有被封锁的地区是可以连上的。

GFW以前是不管ipsec vpn的……
鉴于vpn对大家有着比翻墙更重要的用途,使用l2tp vpn的时候记得打开强制使用最大程度加密的选项,否则很容易在被gfw干扰的情况下变成明文vpn。
17510 次点击
所在节点    信息安全
23 条回复
jasontse
2013-08-17 10:55:21 +08:00
意思就是ipsec失效导致vpn退化成不加密的pptp?
AnthraX
2013-08-17 11:09:25 +08:00
@jasontse 是ipsec失效导致vpn退化成不加密的l2tp
lemonda
2013-08-17 11:38:53 +08:00
是不是朋友的电脑上装了 360 ,然后一优化自动就把 IPSEC 服务给关掉了?
niseter
2013-08-17 12:33:36 +08:00
话说没有IPSEC的L2TP只有坐等被宰啊。再问SSH还靠谱吗?
xatest
2013-08-17 12:47:50 +08:00
@niseter SSH早就不靠谱了,干扰得很厉害〜
LZ说的这种问题是不是只有Windows会这样?
niseter
2013-08-17 12:49:12 +08:00
@xatest 干扰厉害总比直接明文来的好啊,就问现在安全性可否靠谱?
xatest
2013-08-17 12:51:32 +08:00
@niseter 安全性应该是没问题的,干扰的手段是强行断开〜
chenshaoju
2013-08-17 13:01:35 +08:00
应该就是这个选项有关:


目前无锡电信尚未侦测到这种现象。
AnthraX
2013-08-17 13:30:22 +08:00
@chenshaoju 连接设置用的是需要加密(如果服务器拒绝将断开连接),但是用这个选项的话没有ipsec也可以连上,导致l2tp变成明文的。

如果用最下面的最大强度加密,则会说服务器不支持该加密方式
AnthraX
2013-08-17 13:31:35 +08:00
vpn服务器是linode东京机房的,106.187.x.x
很多vps在这个机房的朋友也遇到一样的问题
fqrouter2
2013-08-17 14:17:31 +08:00
GFW对电驴服务器下的黑手也是类似的,如果打开了混淆,就让你连不上,然后客户端就会尝试用明文连接,就连上了。不过电驴服务器用的是IP的黑名单,不是所有的IP都会触发这样的行为。
kimwang
2013-08-17 14:25:00 +08:00
能确定是GFW的干扰,不是其它?
chenshaoju
2013-08-17 14:52:20 +08:00
刚找了一个Linode机房的IP,用L2TP测试了一下。
无论是可选加密,还是要求加密,均为加密通信,没有发现明文传输。
也许国内也是定点的?
AnthraX
2013-08-17 15:01:00 +08:00
@chenshaoju
给你账号试一下
ip 106.187.95.56
ipsec secret:FUCKGFWFUCKGFW
用户名 test
密码test123
chenshaoju
2013-08-17 15:09:25 +08:00
AnthraX
2013-08-17 15:21:38 +08:00
@chenshaoju 再试试呢?重启了一下ipsec
sundaymouse
2013-08-17 15:30:18 +08:00
每次有这种虚惊,我最希望看见的就是 @chenshaoju 。个人愚见认为,这里的问题是没有禁止纯L2TP的访问。Mac上纯L2TP连接是会被系统断开的,不像win。我7个VPS的L2TP刚才逐一测试过了,没发现ipsec会允许l2tp单干。
chenshaoju
2013-08-17 16:23:14 +08:00
@AnthraX 刚测试了,还是连接不能,Ping这个IP能通。
@sundaymouse =3=
ayanamist
2013-08-17 16:35:32 +08:00
ipsec vpn不是早就被封过,后来在各个地区都是一会封掉一会解封的抽风状态。
真正不封的不是IPsec/L2TP,而是纯IPSec的IKEv1和IKEv2,前者更是Cisco VPN的基础,这个是GFW不好下手的,因为影响真的太大了,所有外企的跨国内网都是用这个建的,当然这个也是用500 UDP端口的,不过也可以走AH/ESP协议
AnthraX
2013-08-17 16:38:51 +08:00
@chenshaoju
@ayanamist

能不能麻烦你们nc 106.187.95.56 500 -u
然后随便输入点东西回车,看看能不能收到任何回复?(一般是乱码)

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/79364

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX