未北岸国内服务器与 TLS 流量问题请教

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 285 天前的主题，其中的信息可能已经有所发展或是发生改变。

国内服务器建站要北岸，笔者见到的基本上是不北岸就不开放 80/443 ，或者不让解析域名（会检测 Host 和 SNI ）去访问

现在我有一个问题就是，我在国内服务器上有一个基于 tls 的服务，不对外开放。如果我直接用 IP 访问，会被北岸墙拦下来吗？还是说有更好的解决办法？

具体来说就是：

比如说我这个 TLS 服务是 OpenVPN 之类的 SSL VPN ，或者说是 headscale 的 DERP ，又或者是开启了 TLS 的 RDP ，可以使用非 80/443 端口
证书的话问题不大，我一般是用自签名证书（用在自己所用的设备上，信任自己的 CA 跟证书），IP 证书和域名证书都能签
笔者印象中好像有那么一个情况：把国内机器的 IP 解析到一个域名上，用域名访问 rdp 会失败，但是直接敲 IP 访问 rdp 就能连上，笔者估计，这个可能也是因为 RDP 的 tls 流量被北岸墙给拦下来了，不知道猜测的对不对？
笔者目前在套路云广州服务器上有一个 headscale ，是直接敲 IP 加非标端口访问的，已经稳定使用几个月了。但是因为是 http 流量，所以不确定能不能对此作为参考

望不吝赐教

第 1 条附言 · 284 天前

一天前，笔者在阿里云境内服务器上搭建了一个测试用的站点（因为是测试站，TLS之后就是标准的HTTP协议，毕竟就一般来说，TLS之内众生平等），采用的是非标端口+IP证书+根目录444（497会有301）的配置，直接访问IP

目前暂时没有发现被阻断的现象，但是并不确保阿里云会不会有马后炮现象，依然在继续观察

TLS

rdp

备案

域名

28 条回复 • 2024-02-14 00:37:40 +08:00

gentrydeng

285 天前 via Android

其他的自我阉割也就算了，“备案”也需要脱敏？

这种东西没人说得准，朝令夕改的东西，自己试试就知道了。

MFWT

285 天前 via Android

@gentrydeng 原文就是备案，但是发出来的时候被 v 站给夹 Chamber 去了，为避免麻烦改成北岸算了

xqzr

285 天前

IP 访问不会

ZeroSSL 可以签发受信任的 IP 证书

SenLief

285 天前

ip 是可以的，备案的是域名。

Tufutogo

285 天前 via Android

说下我个人使用经验:
1 ，域名在腾讯云买的有备，NS 放在 CF ，
2 ，域名解析到的机器是腾讯云的国内机。没有用 80/443 的端口，没有放网站，当跳板机用的。
3 ，使用域名来 ssh 或者 rdp 上述的机器没问题，已经三年多了。

OutOfMemoryError

285 天前

@Tufutogo #5 非 443/80 是不受到备案管制的嘛

MFWT

285 天前

@xqzr 主要是考虑到自用服务，那么就懒得找 ZeroSSL 了，直接安装自签名 CA+自己签证书就好了，问题不大

dann73580

285 天前

用 ip 是没啥问题的，ip+高位端口吧，大厂不知道，但是小厂国内机器是没啥问题的，稳定很久了

hzcer

285 天前 via iPhone

3. 阿里云上海有此情况

datou

285 天前

headscale 属于 VPN 服务吧

按照国内各大云计算服务的用户协议来说都是禁止的

sNullp

285 天前

说真的，我不知道 V 站现在为什么还搞这么不透明的敏感词审查。要么就公开提示哪些词语不能用，要么就不要搞。这么偷偷夹文章很无聊。

dyv9

285 天前 via Android

人家是想“管理”，你不对公众提供内容服务，就不是它管理的目标，所以只对域名和标准端口限制，尽量又管理又少点干涉不提供对外服务的其它服务器。这不是理性吗？难道希望没手续全部封了？

ttvast

285 天前 via Android

任何端口只要提供网页服务，就需要备案。比如 linux 安装 apache 后默认的页面，也是网页，不管你是啥端口，都不行

HitouchiMi

285 天前 via Android

https 流量是无法嗅探的，他看到的只是 tls 流量，所以他无法从流量上判断你的 tls 是网页访问还是其他服务，只能从 tls 里的 sni 来判断你做的是域名访问。然后有的是拿到域名主动发起 https 尝试访问来判断是不是 http 服务。前者暂时无解，后者非 http 服务就能逃过一劫。具体哪种就得自己试了。纯 IP 访问目前除了端口，没有限制。

xqzr

285 天前

@HitouchiMi alpn?

MFWT

285 天前 via Android

@ttvast 是，但是我这个端口，它不提供网页服务，就比如我例子里面的 OpenVPN

MFWT

285 天前 via Android

@HitouchiMi 所以我在考虑他会不会一刀切，对所有未备案域名的 tls 流量给砍掉（所以我目前用的是 IP 证书，暂时还相安无事）

MFWT

285 天前 via Android

@HitouchiMi

后者的话，其实我也做过一点实验，就我之前在别的主题里面提到过的，nginx 对于非指定路径的请求（以及非法请求）直接断开连接（ return 444 ），不回复任何消息。至少从直观来看，这个端口除非访问到正确路径（或者有可能是正确的 http 头），不然发什么数据都会直接断开连接

busier

284 天前

不行的!

我试过，未备案阿里云，https/443 端口，做了双向证书验证，相当于都不是可以公开访问的 web 服务器，刚配置好可以用，1 天就被阻断。

busier

284 天前

补充上面：只用 IP 访问，未绑定域名的！

ttvast

284 天前 via Android

@MFWT 不提供网页服务就不需要备案

6Bpencle

284 天前

阿里云是全端口拦截 tls 的，剩下的大多数云平台只拦截常见 web 端口 (80, 443, 8080, 8443, etc.) 的 tls

aru

284 天前

@busier
你这个就是普通的 https 呀，备案检测是旁路入侵检测系统，
检测到 sni 里面的域名是未备案的，肯定给你阻断了。
腾讯云稍微宽松一点，非标端口 https 通过域名访问还可以

aru

284 天前

@MFWT
return 444 是不行的，因为是旁路流量检测，你访问的时候就可以检测了

不过非标端口的 IP 访问 tls 流量没见过有备案系统会拦截

MFWT

284 天前

@busier 非 443 ？ 443 直接跑基本上就意图很明显了

MFWT

284 天前

@aru 我目前是在担心这一点，搭建的测试站点是非标端口+IP 证书+根目录 444 （实际用的话未必有根目录这玩意了，比如 OpenVPN ），短时间数次访问未发现阻断现象，但是如果他来个马后炮（比如过个两三天或者两三周才阻断，我试过 HTTP 就是这样）那就没办法了

MFWT

284 天前

@6Bpencle 这个 TLS 包括 SNI 为 IP 的情况吗（已知用域名是肯定会中招的）？

6Bpencle

283 天前