V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
hikarikongou
V2EX  ›  宽带症候群

成都移动企宽开始封未备案域名 SNI 了

  •  1
     
  •   hikarikongou · 212 天前 · 4650 次点击
    这是一个创建于 212 天前的主题,其中的信息可能已经有所发展或是发生改变。

    今天早上起来发现公司 AnyConnect VPN 连不上了,到公司一看发现 LE 签发 SSL 证书没过期。

    于是在另一条线路上抓包连接测试了一下:

    11:17:40.133546 IP client.32834 > anyconnect.23333: Flags [S], seq 2506707736, win 64240, options [mss 1460,sackOK,TS val 1070019589 ecr 0,nop,wscale 7], length 0
    11:17:40.149812 IP anyconnect.23333 > client.32834: Flags [S.], seq 3447629566, ack 2506707737, win 65160, options [mss 1460,sackOK,TS val 1648754051 ecr 1070019589,nop,wscale 6], length 0
    11:17:40.149862 IP client.32834 > anyconnect.23333: Flags [.], ack 1, win 502, options [nop,nop,TS val 1070019605 ecr 1648754051], length 0
    11:17:40.346911 IP client.32834 > anyconnect.23333: Flags [P.], seq 1:518, ack 1, win 502, options [nop,nop,TS val 1070019802 ecr 1648754051], length 517
    11:17:40.356083 IP anyconnect.23333 > client.32834: Flags [R], seq 3447629567, win 65535, length 0
    

    在 ASA 上同样看到了 connect refused 的日志记录,RST 包来源于 client 。由此可知有中间设备检测到 TLS 后向两侧发送了 RST 报文。

    然后我用了几个肯定是备过案的域名作为 SNI 连接,结果是可以正常连接上。那目前就可以确定成都企宽也开始封未备案域名 SNI 了……

    40 条回复    2024-09-12 09:13:40 +08:00
    gentrydeng
        1
    gentrydeng  
       212 天前 via Android
    你说的备案是指工信部的还是?
    344457769
        2
    344457769  
       212 天前
    感觉大局域网推进得好慢,这得到什么时候才能全国部署呀。
    hikarikongou
        3
    hikarikongou  
    OP
       212 天前
    @gentrydeng 是工信部的备案。这个 VPN 也就是公司用来居家办公用的 VPN 。也不对外提供服务,甚至不用标准端口号,之前稳定运行了一年多。从今天开始就没法正常工作了。
    txydhr
        4
    txydhr  
       212 天前 via iPhone
    那就用备案域名吧
    est
        5
    est  
       212 天前
    之前遇到 v 站有人说 tg 不敢封 anyconnect 。因为什么什么大企业在用什么的,这不。23333
    hikarikongou
        6
    hikarikongou  
    OP
       212 天前
    @est 封的是企宽的入站,要求一定要用备案后的域名。出站没有封。
    geekvcn
        7
    geekvcn  
       212 天前
    域名备案现在这么简单的事,花时间抱怨不如去备个案,好多年前备案还要去线下指定有幕布的地方拍服刑照。现在随便买个便宜的云主机,然后在线备案就行了。你再抱怨也没用,政策又不会因你改变。

    还有你说的场景不备案不也行,换 wireguard 这类 VPN 。
    geekvcn
        8
    geekvcn  
       212 天前
    如果非要用 AnyConnect ,换自签证书
    LGA1150
        9
    LGA1150  
       212 天前 via Android
    可以尝试规避,把 SYN+ACK 报文的 window 改小,强制客户端把 Client hello 分成两段发送
    hikarikongou
        10
    hikarikongou  
    OP
       212 天前
    @geekvcn 自签证书封的可就更刺激了,只能说现在远程办公得换协议咯。
    bclerdx
        11
    bclerdx  
       212 天前
    @geekvcn 备案的目的是?
    simplove
        12
    simplove  
       212 天前
    企宽是固定 IP 吧,直接用 ip 呀
    bclerdx
        13
    bclerdx  
       212 天前
    @LGA1150 具体如何实现?
    OLOrz
        14
    OLOrz  
       212 天前
    @geekvcn 实测云服务商的在线备案也不行。备案通过之后用了几天,之后又被封了……还得通过运营商去备案才行
    lambdaq
        15
    lambdaq  
       212 天前
    @LGA1150 怎么改?
    Smallsun1231
        16
    Smallsun1231  
       212 天前
    上海电信两月底的时候就遇到这个问题了,主要我前面还挂着 MFA ,排查了半天,检查了 SAML 的证书,检查了微软的域名是不是被墙了,最后发现更换.com.cn 的域名就可以了......无语国内拨国内也搞这种东西
    pagxir
        17
    pagxir  
       212 天前 via Android
    那就直接用自签名的 www.gov.cn 的证书
    geekvcn
        18
    geekvcn  
       212 天前
    @pagxir 直接自签名 fuck.10086.cn
    LiYanHong
        19
    LiYanHong  
       212 天前
    直接 ip 呀,pptp l2tp 用了几年了没出过问题
    MFWT
        21
    MFWT  
       212 天前
    OpenVPN 配合自签名证书,自己写一个合适的域名(主要是它可以把 CA 证书一起打包进去,免去证书不受信任的麻烦)
    nivalxer
        22
    nivalxer  
       212 天前
    域名备案。同成都移动企业专线。前段时间因为我们有一个域名没有做备案,阻断了我们的所有入站端口,关键我们有一些端口业务,最后移动客户经理排查了几天才告知我们原因。按他们说法,域名+接入备案都要做。所以我们老老实实做了备案,提交了解封申请后才解封,前后花了大概 1 个月时间。
    nivalxer
        23
    nivalxer  
       212 天前
    @OLOrz 按照要求,域名做完备案了,在哪里接入,还需要接入商再新增接入备案才合法。一个域名下允许多个接入备案,即部分云商,部分运营商这样。用了几个接入按道理都要备。只不过目前云商一般只查备案,移动比较神经,要查接入。
    xmumiffy
        24
    xmumiffy  
       212 天前
    新质生产力这不是就来了么
    txydhr
        25
    txydhr  
       212 天前 via iPhone
    应该和云主机一样,拦截未备案域名
    txydhr
        26
    txydhr  
       212 天前 via iPhone
    @nivalxer 好像 cdn 可以不查接入,云主机、对象储存理论上都是要查的。
    txydhr
        27
    txydhr  
       212 天前 via iPhone
    @est 不是一回事
    OLOrz
        28
    OLOrz  
       212 天前
    @nivalxer 啊这,懂了。目前感觉就移动最蛋疼,但是他真的便宜……
    xwybss
        29
    xwybss  
       208 天前
    内网代理?最近为了不加密,直接改成了 reality(xtls)...阿里有带 tls1.3 的 SNI...
    linzyjx
        30
    linzyjx  
       208 天前
    同,成都移动企宽,这个 IP 未备案(但是域名是有 ICP 备案的,但没挂到移动)
    今天也寄了
    linzyjx
        31
    linzyjx  
       208 天前
    炸裂
    刚刚找移动的技术师傅确认了,这次阻断从上个月就开始了,而且是省公司统一操作。
    要放开必须备案,而且一级二级域名都得备,用了几个域名备几个
    NewYear
        32
    NewYear  
       208 天前
    @linzyjx 二级域名要备案太难了吧……家庭宽带备案,流程走得通吗
    NewYear
        33
    NewYear  
       208 天前
    @OLOrz 通过运营商备案,走得通吗,是不是还需要固定 IP 。
    OLOrz
        34
    OLOrz  
       207 天前
    @NewYear 通过运营商备案应该是能走通,联系你的政企客户经理就行,之前问是说要填十多张表
    linzyjx
        35
    linzyjx  
       206 天前
    Update:
    HTTP 也可能被发 RST ,可能是过的明文审计
    我们一个系统前端没事,后端端口被 RST 了
    linzyjx
        36
    linzyjx  
       206 天前
    @NewYear 家宽别想备案。另外你们家宽也被 RST 了?
    OLOrz
        37
    OLOrz  
       206 天前
    @linzyjx 我发现用第三方 ddns 域名比如飞塔和群晖的,似乎暂时还没阻断,不知道能撑多久。
    不过我自用电脑方案是 chrome 开启 ECH 。
    linzyjx
        38
    linzyjx  
       131 天前
    Update:
    等了两个月把备案流程走完了(移动客户经理的效率是真慢),备案下来当天技术那边就有工单了。断网几分钟后(可能是切换)域名就可以访问了(包括子域名)。
    都已经备案了就直接都上 443 了,后面接个最近挺火的 WAF 。
    还没测其它域名接过来入站的结果是怎么样的。
    pfffs
        39
    pfffs  
       84 天前
    @linzyjx 老哥,我看你提到“一级二级域名都得备,用了几个域名备几个”,
    请问这些域名可以一次性填到那个“ICP 备 案 信 息 真 实 性 核 验 单”里面吗?
    还是说每个域名都要走一遍完整的流程?
    linzyjx
        40
    linzyjx  
       59 天前   ❤️ 1
    @pfffs 目前看起来还和以前一样,备案一级域名就可以了。二级域名应该是不用备案。备案后我这边又开了几个子域名,没有问题。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2619 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 02:50 · PVG 10:50 · LAX 18:50 · JFK 21:50
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.