V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
gissimo
V2EX  ›  问与答

请问这个 openvpn 是什么认证 method?为什么丝毫没有被干扰

  •  
  •   gissimo · 2014-10-27 19:35:59 +08:00 via iPhone · 13544 次点击
    这是一个创建于 3688 天前的主题,其中的信息可能已经有所发展或是发生改变。
    client
    dev tun
    auth-user-pass
    remote nyc.vpn.xxxxxx和谐.net 443
    remote-cert-tls server
    ca 和谐.pem

    还有一个pem证书
    22 条回复    2017-06-02 07:37:42 +08:00
    jerryjhou
        1
    jerryjhou  
       2014-10-27 19:44:43 +08:00 via Android
    默认的TLS认证啊。可能被白名单了。
    不过443端口本来就是传输HTTPS的,也有可能是GFW当成正常流量了(这个证书应该是可信CA签发的,而且非廉价/免费证书)
    gissimo
        2
    gissimo  
    OP
       2014-10-27 19:52:19 +08:00 via iPhone
    @jerryjhou 为什么我自己在bandwagon上搭建的open VPN走TLS有一大堆证书,还经常1分钟被墙?
    gissimo
        3
    gissimo  
    OP
       2014-10-27 19:54:09 +08:00 via iPhone
    @jerryjhou 还有他还要配合账号密码验证。这个能设置openvpn实现?
    dajiangyou
        4
    dajiangyou  
       2014-10-27 20:13:35 +08:00
    client
    dev tun
    proto udp6
    remote ********* 8080
    ca ca.crt
    cert client.crt
    key client.key
    ns-cert-type server
    cipher AES-128-CBC


    一直在用,从未和谐,不过是走的教育网IPV6
    gissimo
        5
    gissimo  
    OP
       2014-10-27 20:19:56 +08:00 via iPhone
    @dajiangyou 我搭的和你差不多,不过是ipv4,也是教育网。最多一天有用,第二天就握手干扰,连上一分钟无网络。只能换secret key方式
    YonionY
        6
    YonionY  
       2014-10-27 21:13:02 +08:00
    @jerryjhou 现在的墙才没那么弱智,能够清晰的分辨出各种流量,跟端口无关的。

    @gissimo 能不能把完整的配置贴出来瞧瞧?另外你的OpenVPN客户端是官方的还是奸商提供的?

    我觉得有两个可能性,一是提供服务的是蜜罐,墙有根证书解密流量,所以对这台服务器放在白名单上,二是使用了某些技术手段欺骗或躲过了墙。

    我最近就有试验一个网上没公开过的办法,目前在不影响效率的情况下解决了被干扰的问题,奸商们的技术能力肯定不会比我弱,没有几把刷子怎么出来赚钱。
    gissimo
        7
    gissimo  
    OP
       2014-10-27 21:56:49 +08:00
    @YonionY 我目前试验了三个网络环境:
    联通3G,连接成功率95%,速度还OK;
    校园网IPV4,链接成功率60%,速度75k左右,配合iKEV2双层VPN可以飙升到我的带宽;
    上海电信,链接成功率25%,速度极慢,基本打不开,配合iKEV2双层VPN可以飙升。

    不是奸商,是免费的,但不是公开的,某个非营利组织,主做网络安全,主要是邮箱,VPN是辅助的。注册需要多个不同好友直接发邀请码
    gissimo
        8
    gissimo  
    OP
       2014-10-27 21:57:34 +08:00
    jerryjhou
        9
    jerryjhou  
       2014-10-27 21:59:36 +08:00 via Android
    @gissimo 你用的证书是可信CA签发的吗?
    @YonionY 第一种纯属胡说八道,同意交出LOG就可以上白名单,怎么可能给根证书。
    第二种有可能,不过标准OVPN客户端应该做不到。我还是认为可能骗过了墙(TCP443的干扰本来就相对弱,识别HTTPS和OVPN还是有一定难度的,尤其在OVPN承载HTTP流量的情况下)
    lsylsy2
        10
    lsylsy2  
       2014-10-27 22:06:08 +08:00
    @jerryjhou
    @YonionY
    居然可以上白名单么……
    jerryjhou
        11
    jerryjhou  
       2014-10-27 22:10:10 +08:00 via Android
    @gissimo 一定程度上骗过了GFW,昂贵且少见的可信CA不容易被照顾,你发的那个网站的就是(直接访问似乎是DNS被和谐了)。你提供的情况明显是被干扰的,但是强度较小,大部分OVPN都这个情况
    gissimo
        12
    gissimo  
    OP
       2014-10-27 23:10:53 +08:00
    @jerryjhou 我不明白什么叫做可信CA。这家肯定不会向政府交出ca
    gissimo
        13
    gissimo  
    OP
       2014-10-27 23:13:42 +08:00
    @jerryjhou 我提供的是一个介绍这家的网,这家官网是www.riseup.net
    dajiangyou
        14
    dajiangyou  
       2014-10-27 23:22:35 +08:00
    @gissimo 你试试IPV6的断不断,反正我是连一次N天不断,除非国内IPV6网络出问题
    dajiangyou
        15
    dajiangyou  
       2014-10-27 23:24:15 +08:00
    对了,教育网直接用IPV6就好了啊,反正我这里是免费百M不断网,不打游戏都可以不用其他宽带了,就是偶尔慢点
    YonionY
        16
    YonionY  
       2014-10-27 23:28:58 +08:00
    @gissimo 用“奸商”这词只是调侃一下,纯粹指服务提供商,并无鄙视收费服务商之意。

    双层VPN都能骗过墙且不被限速,这样看来,或者墙在使用VPN+HTTP识别术对付VPN+非HTTP(VPN+HTTP)时就失效了?这应该也是一个办法。

    @lsylsy2 @jerryjhou 白名单这事就当我胡说八道吧。

    openvpn首次被全体干翻的时候墙已经证明了他们的这种能力,以前一直认为openvpn难以识别。以我的理解来看,现在墙发展到今天应该没有哪个技术不需要骗墙的,就看用什么办法/技术骗而已。

    用商业CA证书或者也是一个办法,以往的openvpn的教程都是自建CA发证书,有时间试试看这招能不能骗过墙。
    gissimo
        17
    gissimo  
    OP
       2014-10-27 23:42:53 +08:00
    @dajiangyou 我们好像没IPV6
    gissimo
        18
    gissimo  
    OP
       2014-10-27 23:44:32 +08:00
    @YonionY 其实我单层的Cisco IPSec IKEV2也没限速没干扰,现在是pptp l2tp openvps的tls握手干扰最厉害,我静态密钥的openvpn也没限速
    gissimo
        19
    gissimo  
    OP
       2014-10-27 23:47:28 +08:00
    @YonionY openvpn也没这么脆弱吧?我用最古老的static key方式,畅通无比,没一点干扰
    dajiangyou
        20
    dajiangyou  
       2014-10-27 23:47:46 +08:00
    @gissimo 用路由了没,有可能是被路由干掉了
    jerryjhou
        21
    jerryjhou  
       2014-10-28 00:03:21 +08:00 via Android
    @gissimo https://www.symantec.com/zh/cn/ssl-certificates?inid=vrsn_symc_ssl_index
    赛门铁克就是可信CA之一,他签发的SSL证书被各大操作系统信任。
    服务商根本就没有CA可以交出,不过解密流量只要有私钥就够了,当然我也相信这种性质的网站不可能向TG交出私钥。
    所以还是可信CA骗了GFW(他们用的不是赛门铁克,我只是举个例子)
    BTW,OVPN用TLS验证,HTTPS也用TLS(TLS是SSL的演进)验证,所以证书完全通用
    Devmingwang
        22
    Devmingwang  
       2017-06-02 07:37:42 +08:00 via Android
    如果用的是 Geo trust global CA 这种知名的机构颁发的证书的话,干扰的确少很多。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1002 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 22:58 · PVG 06:58 · LAX 14:58 · JFK 17:58
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.