今天早上起来发现公司 AnyConnect VPN 连不上了,到公司一看发现 LE 签发 SSL 证书没过期。
于是在另一条线路上抓包连接测试了一下:
11:17:40.133546 IP client.32834 > anyconnect.23333: Flags [S], seq 2506707736, win 64240, options [mss 1460,sackOK,TS val 1070019589 ecr 0,nop,wscale 7], length 0
11:17:40.149812 IP anyconnect.23333 > client.32834: Flags [S.], seq 3447629566, ack 2506707737, win 65160, options [mss 1460,sackOK,TS val 1648754051 ecr 1070019589,nop,wscale 6], length 0
11:17:40.149862 IP client.32834 > anyconnect.23333: Flags [.], ack 1, win 502, options [nop,nop,TS val 1070019605 ecr 1648754051], length 0
11:17:40.346911 IP client.32834 > anyconnect.23333: Flags [P.], seq 1:518, ack 1, win 502, options [nop,nop,TS val 1070019802 ecr 1648754051], length 517
11:17:40.356083 IP anyconnect.23333 > client.32834: Flags [R], seq 3447629567, win 65535, length 0
在 ASA 上同样看到了 connect refused 的日志记录,RST 包来源于 client 。由此可知有中间设备检测到 TLS 后向两侧发送了 RST 报文。
然后我用了几个肯定是备过案的域名作为 SNI 连接,结果是可以正常连接上。那目前就可以确定成都企宽也开始封未备案域名 SNI 了……
1
gentrydeng 212 天前 via Android
你说的备案是指工信部的还是?
|
2
344457769 212 天前
感觉大局域网推进得好慢,这得到什么时候才能全国部署呀。
|
3
hikarikongou OP @gentrydeng 是工信部的备案。这个 VPN 也就是公司用来居家办公用的 VPN 。也不对外提供服务,甚至不用标准端口号,之前稳定运行了一年多。从今天开始就没法正常工作了。
|
4
txydhr 212 天前 via iPhone
那就用备案域名吧
|
5
est 212 天前
之前遇到 v 站有人说 tg 不敢封 anyconnect 。因为什么什么大企业在用什么的,这不。23333
|
6
hikarikongou OP @est 封的是企宽的入站,要求一定要用备案后的域名。出站没有封。
|
7
geekvcn 212 天前
域名备案现在这么简单的事,花时间抱怨不如去备个案,好多年前备案还要去线下指定有幕布的地方拍服刑照。现在随便买个便宜的云主机,然后在线备案就行了。你再抱怨也没用,政策又不会因你改变。
还有你说的场景不备案不也行,换 wireguard 这类 VPN 。 |
8
geekvcn 212 天前
如果非要用 AnyConnect ,换自签证书
|
9
LGA1150 212 天前 via Android
可以尝试规避,把 SYN+ACK 报文的 window 改小,强制客户端把 Client hello 分成两段发送
|
10
hikarikongou OP @geekvcn 自签证书封的可就更刺激了,只能说现在远程办公得换协议咯。
|
12
simplove 212 天前
企宽是固定 IP 吧,直接用 ip 呀
|
16
Smallsun1231 212 天前
上海电信两月底的时候就遇到这个问题了,主要我前面还挂着 MFA ,排查了半天,检查了 SAML 的证书,检查了微软的域名是不是被墙了,最后发现更换.com.cn 的域名就可以了......无语国内拨国内也搞这种东西
|
17
pagxir 212 天前 via Android
那就直接用自签名的 www.gov.cn 的证书
|
18
geekvcn 212 天前
@pagxir 直接自签名 fuck.10086.cn
|
19
LiYanHong 212 天前
直接 ip 呀,pptp l2tp 用了几年了没出过问题
|
20
LGA1150 212 天前 via Android
|
21
MFWT 212 天前
OpenVPN 配合自签名证书,自己写一个合适的域名(主要是它可以把 CA 证书一起打包进去,免去证书不受信任的麻烦)
|
22
nivalxer 212 天前
域名备案。同成都移动企业专线。前段时间因为我们有一个域名没有做备案,阻断了我们的所有入站端口,关键我们有一些端口业务,最后移动客户经理排查了几天才告知我们原因。按他们说法,域名+接入备案都要做。所以我们老老实实做了备案,提交了解封申请后才解封,前后花了大概 1 个月时间。
|
23
nivalxer 212 天前
@OLOrz 按照要求,域名做完备案了,在哪里接入,还需要接入商再新增接入备案才合法。一个域名下允许多个接入备案,即部分云商,部分运营商这样。用了几个接入按道理都要备。只不过目前云商一般只查备案,移动比较神经,要查接入。
|
24
xmumiffy 212 天前
新质生产力这不是就来了么
|
25
txydhr 212 天前 via iPhone
应该和云主机一样,拦截未备案域名
|
29
xwybss 208 天前
内网代理?最近为了不加密,直接改成了 reality(xtls)...阿里有带 tls1.3 的 SNI...
|
30
linzyjx 208 天前
同,成都移动企宽,这个 IP 未备案(但是域名是有 ICP 备案的,但没挂到移动)
今天也寄了 |
31
linzyjx 208 天前
炸裂
刚刚找移动的技术师傅确认了,这次阻断从上个月就开始了,而且是省公司统一操作。 要放开必须备案,而且一级二级域名都得备,用了几个域名备几个 |
35
linzyjx 206 天前
Update:
HTTP 也可能被发 RST ,可能是过的明文审计 我们一个系统前端没事,后端端口被 RST 了 |
38
linzyjx 131 天前
Update:
等了两个月把备案流程走完了(移动客户经理的效率是真慢),备案下来当天技术那边就有工单了。断网几分钟后(可能是切换)域名就可以访问了(包括子域名)。 都已经备案了就直接都上 443 了,后面接个最近挺火的 WAF 。 还没测其它域名接过来入站的结果是怎么样的。 |