V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
AnthraX
V2EX  ›  信息安全

在GFW的干扰下IPsec/L2TP vpn变成明文,大家小心

  •  1
     
  •   AnthraX · 2013-08-17 10:42:13 +08:00 · 17446 次点击
    这是一个创建于 4101 天前的主题,其中的信息可能已经有所发展或是发生改变。
    昨天拿服务器搭了个ipsec/l2tp的vpn给朋友翻墙,朋友说连上之后只要一上国外网站,facebook,youtube之类的就会断线,我觉得很不可思议,明明都是加密了的,这不科学。

    后来把debug打开,tail -f /var/log/secure,tail -f /var/log/message,一般情况下,连ipsec l2tp vpn,secure log会先出现IKEv2握手的日志,最后会出现transport xxx established,说明ipsec通道建立完成,然后message log才开始出现ppp登录记录,但是每次我朋友拨vpn的时候,根本看不到secure log里有任何动静,上来就是ppp登录。

    后来用nc发udp包做测试,正常情况下,用nc发送任意内容的udp包到udp 500端口,可以看到secure日志里提示数据包畸形(malformed xxxx),但是朋友用nc测试,也没有任何提示,说明udp包在500端口被drop了。
    最诡异的一点是windows这时候居然还能建立成功vpn,即使打开了 需要加密(如果服务器拒绝将断开连接) 这个选项,还是可以建立成功vpn通道,只不过这个时候是明文的,而且gfw可以重建通道内的数据包进行审查。
    如果打开强制使用最大程度加密的选项,vpn则会建立失败。但是在没有被封锁的地区是可以连上的。

    GFW以前是不管ipsec vpn的……
    鉴于vpn对大家有着比翻墙更重要的用途,使用l2tp vpn的时候记得打开强制使用最大程度加密的选项,否则很容易在被gfw干扰的情况下变成明文vpn。
    第 1 条附言  ·  2013-08-17 15:17:46 +08:00
    测试账号
    106.187.95.56
    Ipsec secret FUCKGFWFUCKGFW
    用户名 test
    密码test123
    23 条回复    1970-01-01 08:00:00 +08:00
    jasontse
        1
    jasontse  
       2013-08-17 10:55:21 +08:00 via iPad   ❤️ 1
    意思就是ipsec失效导致vpn退化成不加密的pptp?
    AnthraX
        2
    AnthraX  
    OP
       2013-08-17 11:09:25 +08:00
    @jasontse 是ipsec失效导致vpn退化成不加密的l2tp
    lemonda
        3
    lemonda  
       2013-08-17 11:38:53 +08:00
    是不是朋友的电脑上装了 360 ,然后一优化自动就把 IPSEC 服务给关掉了?
    niseter
        4
    niseter  
       2013-08-17 12:33:36 +08:00
    话说没有IPSEC的L2TP只有坐等被宰啊。再问SSH还靠谱吗?
    xatest
        5
    xatest  
       2013-08-17 12:47:50 +08:00
    @niseter SSH早就不靠谱了,干扰得很厉害〜
    LZ说的这种问题是不是只有Windows会这样?
    niseter
        6
    niseter  
       2013-08-17 12:49:12 +08:00
    @xatest 干扰厉害总比直接明文来的好啊,就问现在安全性可否靠谱?
    xatest
        7
    xatest  
       2013-08-17 12:51:32 +08:00   ❤️ 1
    @niseter 安全性应该是没问题的,干扰的手段是强行断开〜
    chenshaoju
        8
    chenshaoju  
       2013-08-17 13:01:35 +08:00
    应该就是这个选项有关:


    目前无锡电信尚未侦测到这种现象。
    AnthraX
        9
    AnthraX  
    OP
       2013-08-17 13:30:22 +08:00
    @chenshaoju 连接设置用的是需要加密(如果服务器拒绝将断开连接),但是用这个选项的话没有ipsec也可以连上,导致l2tp变成明文的。

    如果用最下面的最大强度加密,则会说服务器不支持该加密方式
    AnthraX
        10
    AnthraX  
    OP
       2013-08-17 13:31:35 +08:00
    vpn服务器是linode东京机房的,106.187.x.x
    很多vps在这个机房的朋友也遇到一样的问题
    fqrouter2
        11
    fqrouter2  
       2013-08-17 14:17:31 +08:00
    GFW对电驴服务器下的黑手也是类似的,如果打开了混淆,就让你连不上,然后客户端就会尝试用明文连接,就连上了。不过电驴服务器用的是IP的黑名单,不是所有的IP都会触发这样的行为。
    kimwang
        12
    kimwang  
       2013-08-17 14:25:00 +08:00
    能确定是GFW的干扰,不是其它?
    chenshaoju
        13
    chenshaoju  
       2013-08-17 14:52:20 +08:00
    刚找了一个Linode机房的IP,用L2TP测试了一下。
    无论是可选加密,还是要求加密,均为加密通信,没有发现明文传输。
    也许国内也是定点的?
    AnthraX
        14
    AnthraX  
    OP
       2013-08-17 15:01:00 +08:00 via iPhone
    @chenshaoju
    给你账号试一下
    ip 106.187.95.56
    ipsec secret:FUCKGFWFUCKGFW
    用户名 test
    密码test123
    chenshaoju
        15
    chenshaoju  
       2013-08-17 15:09:25 +08:00
    AnthraX
        16
    AnthraX  
    OP
       2013-08-17 15:21:38 +08:00 via iPhone
    @chenshaoju 再试试呢?重启了一下ipsec
    sundaymouse
        17
    sundaymouse  
       2013-08-17 15:30:18 +08:00 via iPhone
    每次有这种虚惊,我最希望看见的就是 @chenshaoju 。个人愚见认为,这里的问题是没有禁止纯L2TP的访问。Mac上纯L2TP连接是会被系统断开的,不像win。我7个VPS的L2TP刚才逐一测试过了,没发现ipsec会允许l2tp单干。
    chenshaoju
        18
    chenshaoju  
       2013-08-17 16:23:14 +08:00
    @AnthraX 刚测试了,还是连接不能,Ping这个IP能通。
    @sundaymouse =3=
    ayanamist
        19
    ayanamist  
       2013-08-17 16:35:32 +08:00
    ipsec vpn不是早就被封过,后来在各个地区都是一会封掉一会解封的抽风状态。
    真正不封的不是IPsec/L2TP,而是纯IPSec的IKEv1和IKEv2,前者更是Cisco VPN的基础,这个是GFW不好下手的,因为影响真的太大了,所有外企的跨国内网都是用这个建的,当然这个也是用500 UDP端口的,不过也可以走AH/ESP协议
    AnthraX
        20
    AnthraX  
    OP
       2013-08-17 16:38:51 +08:00
    @chenshaoju
    @ayanamist

    能不能麻烦你们nc 106.187.95.56 500 -u
    然后随便输入点东西回车,看看能不能收到任何回复?(一般是乱码)
    chenshaoju
        21
    chenshaoju  
       2013-08-17 17:42:46 +08:00   ❤️ 1
    @AnthraX 好像能,不过你的这个问题至今无法确认。

    AnthraX
        22
    AnthraX  
    OP
       2013-08-17 18:02:33 +08:00
    @chenshaoju
    我这边日志里也出现了
    pluto[6472]: packet from xxxx:55198: sending notification PAYLOAD_MALFORMED to xxxx:55198
    Aug 17 09:40:02 li415-56 pluto[6472]: packet from xxxx:55198: not enough room in input packet for ISAKMP Message (remain=2, sd->size=28)

    说明ipsec应该没问题

    很奇怪,看来不是大规模的行为……
    我朋友在江苏,用的是联通的adsl,他蹭邻居的wifi也是一样的问题。
    ayanamist
        23
    ayanamist  
       2013-08-17 22:19:41 +08:00
    @AnthraX 我只提醒你,封各种VPN这事,不是只有GFW做的出来,很多ISP都会做,例如长宽、移动(铁通)、艾普,还有我厂的网络。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1833 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 16:36 · PVG 00:36 · LAX 08:36 · JFK 11:36
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.