这是一个创建于 4101 天前的主题,其中的信息可能已经有所发展或是发生改变。
昨天拿服务器搭了个ipsec/l2tp的vpn给朋友翻墙,朋友说连上之后只要一上国外网站,facebook,youtube之类的就会断线,我觉得很不可思议,明明都是加密了的,这不科学。
后来把debug打开,tail -f /var/log/secure,tail -f /var/log/message,一般情况下,连ipsec l2tp vpn,secure log会先出现IKEv2握手的日志,最后会出现transport xxx established,说明ipsec通道建立完成,然后message log才开始出现ppp登录记录,但是每次我朋友拨vpn的时候,根本看不到secure log里有任何动静,上来就是ppp登录。
后来用nc发udp包做测试,正常情况下,用nc发送任意内容的udp包到udp 500端口,可以看到secure日志里提示数据包畸形(malformed xxxx),但是朋友用nc测试,也没有任何提示,说明udp包在500端口被drop了。
最诡异的一点是windows这时候居然还能建立成功vpn,即使打开了 需要加密(如果服务器拒绝将断开连接) 这个选项,还是可以建立成功vpn通道,只不过这个时候是明文的,而且gfw可以重建通道内的数据包进行审查。
如果打开强制使用最大程度加密的选项,vpn则会建立失败。但是在没有被封锁的地区是可以连上的。
GFW以前是不管ipsec vpn的……
鉴于vpn对大家有着比翻墙更重要的用途,使用l2tp vpn的时候记得打开强制使用最大程度加密的选项,否则很容易在被gfw干扰的情况下变成明文vpn。
后来把debug打开,tail -f /var/log/secure,tail -f /var/log/message,一般情况下,连ipsec l2tp vpn,secure log会先出现IKEv2握手的日志,最后会出现transport xxx established,说明ipsec通道建立完成,然后message log才开始出现ppp登录记录,但是每次我朋友拨vpn的时候,根本看不到secure log里有任何动静,上来就是ppp登录。
后来用nc发udp包做测试,正常情况下,用nc发送任意内容的udp包到udp 500端口,可以看到secure日志里提示数据包畸形(malformed xxxx),但是朋友用nc测试,也没有任何提示,说明udp包在500端口被drop了。
最诡异的一点是windows这时候居然还能建立成功vpn,即使打开了 需要加密(如果服务器拒绝将断开连接) 这个选项,还是可以建立成功vpn通道,只不过这个时候是明文的,而且gfw可以重建通道内的数据包进行审查。
如果打开强制使用最大程度加密的选项,vpn则会建立失败。但是在没有被封锁的地区是可以连上的。
GFW以前是不管ipsec vpn的……
鉴于vpn对大家有着比翻墙更重要的用途,使用l2tp vpn的时候记得打开强制使用最大程度加密的选项,否则很容易在被gfw干扰的情况下变成明文vpn。
第 1 条附言 · 2013-08-17 15:17:46 +08:00
测试账号
106.187.95.56
Ipsec secret FUCKGFWFUCKGFW
用户名 test
密码test123
106.187.95.56
Ipsec secret FUCKGFWFUCKGFW
用户名 test
密码test123
 |
1
jasontse 2013-08-17 10:55:21 +08:00 via iPad  1
意思就是ipsec失效导致vpn退化成不加密的pptp?
|
 |
3
lemonda 2013-08-17 11:38:53 +08:00
是不是朋友的电脑上装了 360 ,然后一优化自动就把 IPSEC 服务给关掉了?
|
 |
4
niseter 2013-08-17 12:33:36 +08:00
话说没有IPSEC的L2TP只有坐等被宰啊。再问SSH还靠谱吗?
|
 |
8
chenshaoju 2013-08-17 13:01:35 +08:00
应该就是这个选项有关:
 目前无锡电信尚未侦测到这种现象。 |
 |
9
AnthraX OP @chenshaoju 连接设置用的是需要加密(如果服务器拒绝将断开连接),但是用这个选项的话没有ipsec也可以连上,导致l2tp变成明文的。
如果用最下面的最大强度加密,则会说服务器不支持该加密方式 |
|
10
AnthraX OP vpn服务器是linode东京机房的,106.187.x.x
很多vps在这个机房的朋友也遇到一样的问题 |
 |
11
fqrouter2 2013-08-17 14:17:31 +08:00
GFW对电驴服务器下的黑手也是类似的,如果打开了混淆,就让你连不上,然后客户端就会尝试用明文连接,就连上了。不过电驴服务器用的是IP的黑名单,不是所有的IP都会触发这样的行为。
|
 |
12
kimwang 2013-08-17 14:25:00 +08:00
能确定是GFW的干扰,不是其它?
|
|
13
chenshaoju 2013-08-17 14:52:20 +08:00
刚找了一个Linode机房的IP,用L2TP测试了一下。
无论是可选加密,还是要求加密,均为加密通信,没有发现明文传输。 也许国内也是定点的?  |
|
14
AnthraX OP |
|
15
chenshaoju 2013-08-17 15:09:25 +08:00
|
|
16
AnthraX OP @chenshaoju 再试试呢?重启了一下ipsec
|
 |
17
sundaymouse 2013-08-17 15:30:18 +08:00 via iPhone
每次有这种虚惊,我最希望看见的就是 @chenshaoju 。个人愚见认为,这里的问题是没有禁止纯L2TP的访问。Mac上纯L2TP连接是会被系统断开的,不像win。我7个VPS的L2TP刚才逐一测试过了,没发现ipsec会允许l2tp单干。
|
|
18
chenshaoju 2013-08-17 16:23:14 +08:00
|
 |
19
ayanamist 2013-08-17 16:35:32 +08:00
ipsec vpn不是早就被封过,后来在各个地区都是一会封掉一会解封的抽风状态。
真正不封的不是IPsec/L2TP,而是纯IPSec的IKEv1和IKEv2,前者更是Cisco VPN的基础,这个是GFW不好下手的,因为影响真的太大了,所有外企的跨国内网都是用这个建的,当然这个也是用500 UDP端口的,不过也可以走AH/ESP协议 |
|
20
AnthraX OP |
|
21
chenshaoju 2013-08-17 17:42:46 +08:00 1
|
|
22
AnthraX OP @chenshaoju
我这边日志里也出现了 pluto[6472]: packet from xxxx:55198: sending notification PAYLOAD_MALFORMED to xxxx:55198 Aug 17 09:40:02 li415-56 pluto[6472]: packet from xxxx:55198: not enough room in input packet for ISAKMP Message (remain=2, sd->size=28) 说明ipsec应该没问题 很奇怪,看来不是大规模的行为…… 我朋友在江苏,用的是联通的adsl,他蹭邻居的wifi也是一样的问题。 |
Select Language