在GFW的干扰下IPsec/L2TP vpn变成明文，大家小心

昨天拿服务器搭了个ipsec/l2tp的vpn给朋友翻墙，朋友说连上之后只要一上国外网站，facebook，youtube之类的就会断线，我觉得很不可思议，明明都是加密了的，这不科学。

后来把debug打开，tail -f /var/log/secure，tail -f /var/log/message，一般情况下，连ipsec l2tp vpn，secure log会先出现IKEv2握手的日志，最后会出现transport xxx established，说明ipsec通道建立完成，然后message log才开始出现ppp登录记录，但是每次我朋友拨vpn的时候，根本看不到secure log里有任何动静，上来就是ppp登录。

后来用nc发udp包做测试，正常情况下，用nc发送任意内容的udp包到udp 500端口，可以看到secure日志里提示数据包畸形(malformed xxxx)，但是朋友用nc测试，也没有任何提示，说明udp包在500端口被drop了。
最诡异的一点是windows这时候居然还能建立成功vpn，即使打开了 需要加密(如果服务器拒绝将断开连接) 这个选项，还是可以建立成功vpn通道，只不过这个时候是明文的，而且gfw可以重建通道内的数据包进行审查。
如果打开强制使用最大程度加密的选项，vpn则会建立失败。但是在没有被封锁的地区是可以连上的。

GFW以前是不管ipsec vpn的……
鉴于vpn对大家有着比翻墙更重要的用途，使用l2tp vpn的时候记得打开强制使用最大程度加密的选项，否则很容易在被gfw干扰的情况下变成明文vpn。