在GFW的干扰下IPsec/L2TP vpn变成明文,大家小心

2013-08-17 10:42:13 +08:00
 AnthraX
昨天拿服务器搭了个ipsec/l2tp的vpn给朋友翻墙,朋友说连上之后只要一上国外网站,facebook,youtube之类的就会断线,我觉得很不可思议,明明都是加密了的,这不科学。

后来把debug打开,tail -f /var/log/secure,tail -f /var/log/message,一般情况下,连ipsec l2tp vpn,secure log会先出现IKEv2握手的日志,最后会出现transport xxx established,说明ipsec通道建立完成,然后message log才开始出现ppp登录记录,但是每次我朋友拨vpn的时候,根本看不到secure log里有任何动静,上来就是ppp登录。

后来用nc发udp包做测试,正常情况下,用nc发送任意内容的udp包到udp 500端口,可以看到secure日志里提示数据包畸形(malformed xxxx),但是朋友用nc测试,也没有任何提示,说明udp包在500端口被drop了。
最诡异的一点是windows这时候居然还能建立成功vpn,即使打开了 需要加密(如果服务器拒绝将断开连接) 这个选项,还是可以建立成功vpn通道,只不过这个时候是明文的,而且gfw可以重建通道内的数据包进行审查。
如果打开强制使用最大程度加密的选项,vpn则会建立失败。但是在没有被封锁的地区是可以连上的。

GFW以前是不管ipsec vpn的……
鉴于vpn对大家有着比翻墙更重要的用途,使用l2tp vpn的时候记得打开强制使用最大程度加密的选项,否则很容易在被gfw干扰的情况下变成明文vpn。
17483 次点击
所在节点    信息安全
23 条回复
chenshaoju
2013-08-17 17:42:46 +08:00
@AnthraX 好像能,不过你的这个问题至今无法确认。

AnthraX
2013-08-17 18:02:33 +08:00
@chenshaoju
我这边日志里也出现了
pluto[6472]: packet from xxxx:55198: sending notification PAYLOAD_MALFORMED to xxxx:55198
Aug 17 09:40:02 li415-56 pluto[6472]: packet from xxxx:55198: not enough room in input packet for ISAKMP Message (remain=2, sd->size=28)

说明ipsec应该没问题

很奇怪,看来不是大规模的行为……
我朋友在江苏,用的是联通的adsl,他蹭邻居的wifi也是一样的问题。
ayanamist
2013-08-17 22:19:41 +08:00
@AnthraX 我只提醒你,封各种VPN这事,不是只有GFW做的出来,很多ISP都会做,例如长宽、移动(铁通)、艾普,还有我厂的网络。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/79364

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX