Board logo

標題: Great Firewall 全面封殺 OpenVPN ?! [打印本頁]
作者: tomlee0101    時間: 2013-1-3 18:44     標題: Great Firewall 全面封殺 OpenVPN ?!

本帖最後由 tomlee0101 於 2013-1-16 20:02 編輯

Original article :
https://www.facebook.com/notes/% ... 7/10150993099683078


(網絡行動組) 以obfsproxy解決中國2012年12月針對OpenVPN之網絡封鎖增強.
毋忘六四寫於 2012年12月12日9:37 ·
文:

網絡行動組

積極籌備中的自由網絡研究中心(NIL)

[問題概況]

多得偉大團結無私的執政集團,以及曾入選中國網民眼中二十大嘔心人物的北京郵電大學方濱興校長,2012年12月,GFW針對OpenVPN進行網絡封鎖,經一番追查和考究,最終發現封鎖技術建基於OpenVPN PKI模式下TLS Handshake過程的特徵。我們一直依賴OpenVPN突破網絡封鎖的國內人員亦深受影響,以我們一直的認知,以為OpenVPN並沒有特徵可言,但事實是,TLS Handshake還是會有特徵。



【應對方法】

解決方法1(消極):

「斬腳趾避沙蟲」,改用中古年代的Static-Key模式避過TLS Handshake過程,缺點是:

‧只能一個埠對應一個Client

‧一個Client就要有一個OpenVPN Instance



解決方法2(進取):

另一種比較進取的解決方法是要求OpenVPN社群建立為TLS Handshake過程進行加密的機制

透過TLS-Auth的Static-Key來進行,也是一個不錯的選擇



解決方法3(折騰):

以Obfsproxy模糊TLS Handshake過程,缺點是:

1. 效能上有小量Overhead

2. 不支援UDP...

3. Android手機似乎未有Obfsproxy客戶端...



以下是「解決方法3」的實作過程



【安裝obfsproxy】

#於伺服器和客戶端雙方安裝obfsproxy

$cd /usr/bin/

$sudo git clone https://git.torproject.org/obfsproxy.git

$cd obfsproxy

$./autogen.sh && ./configure && make

$sudo make install

#視窗用戶可下載Windows Obfsproxy Tor Browser Bundle

#https://www.torproject.org/dist/ ... 6-alpha-2_en-US.exe



【伺服器obfs 設置】

$sudo obfsproxy --log-min-severity=info obfs2 --shared-secret="Neverf0rget8964" --dest=127.0.0.1:1194 server 0.0.0.0:689

#基於Obfsproxy限制,OpenVPN 伺服器所用的1194埠是指TCP1194,而非UDP1194



【客戶端obfs 設置】

$obfsproxy --log-min-severity=info obfs2 --shared-secret="Neverf0rget8964" socks 127.0.0.1:689



【伺服器Sample Init Script】

#! /bin/sh

### BEGIN INIT INFO

#Provides:          ObfsProxy Init Script for OpenVPN

# Default-Start:     3 5

# Default-Stop:      0 1 2 6

# Short-Description: Fuck GFW

# Description:       ObfsProxy Daemon for OpenVPN

### END INIT INFO

PIDFILE=/var/run/obfsproxy.pid

PATH=/usr/bin:/sbin

DESC="ObfsProxy Daemon for OpenVPN"

NAME=obfsproxy

DAEMON=/usr/bin/obfsproxy/obfsproxy

DAEMON_ARGS="--log-min-severity=info obfs2 --shared-secret=Neverf0rget8964 --dest=127.0.0.1:8080 server 0.0.0.0:689"

TIMEOUT=30

SCRIPTNAME=/etc/init.d/obfsproxy

case "$1" in start)

echo -n "Starting ObfsProxy Daemon for OpenVPN"

start-stop-daemon -b --start --quiet --make-pidfile --pidfile $PIDFILE --exec $DAEMON -- $DAEMON_ARGS

;;

stop)

echo -n "Shutting down ObfsProxy Daemon for OpenVPN"

start-stop-daemon --stop --quiet --retry=QUIT/$TIMEOUT/TERM/5/KILL/5 --pidfile $PIDFILE --name $NAME

;;

esac




【客戶端ovpn 更改】

-remote openvpnserver.com 1194

+remote openvpnserver.com 689

+socks-proxy 127.0.0.1 689



【NAT】

伺服器端無須再就TCP 1194進行Static PAT,相反TCP 689要做NAT Mapping。



【結論】

方校長這次還玩得真有點過火

----------------------------------------

[方濱興]
中國郵電大學校長。中國網路封鎖防火長城(GFW)總設計師,因此被網民戲稱為“中國防火牆之父”。方濱興曾在接受《環球時報》英文版採訪時稱在自己的家用電腦上有6個VPN(虛擬私人網路)用以測試防火長城。被問到防火長城是如何運作的時候,他說那是“國家機密”。文章發表後民憤強烈。去年在武漢大學演講時,遭學生扔鞋抗議,在網路上引起一片叫好。

------------------------------------------

OpenVPN反封杀的方法 :
http://igfw.net/archives/12526
http://igfw.net/archives/12556
https://community.openvpn.net/openvpn/wiki/TrafficObfuscation
https://www.gsea.com.cn/blog/top ... r-openvpn/#more-748
http://changblog.com/1724
http://igfw.net/archives/12583   L2TP、PPTP被搞死教你如何搭建抗干扰OpenVPN
xxGFW 2012年12月3日04:39 responded "按这个教程做了一遍,确实能用。但是实际情况是tls-auth下UDP989依然撞墙,TCP3389畅通。"
-------------------------------------------
10.12月6日,VPN服务商Astrill通知客户,近期GFW升级之后具备了侦测、辨别和阻断各种类型的VPN连接之功能,解决方案将在近期发布
[attach]2107[/attach]

---------------------------------------------
翻墙观察 2012年12月
http://up2mist.org/zh-hans/2013/ ... 5%B9%B412%E6%9C%88/

-------------------------------------------------
GFW封锁OpenVPN 与 加密流分类的学术论文
一篇有方校长署名的一篇综述文章“网络流量分类研究进展与展望”,其中介绍了流量分类面临的挑战与技术手段,部分内容似乎与最近封锁OpenVPN有关:
http://chinadigitaltimes.net/chinese/2012/11/gfw封锁openvpn-与-加密流分类的学术论文/
作者: 雯雯    時間: 2013-1-3 20:24

回復 1# tomlee0101

唔怪得我部Synology個OpenVPN一路都connect唔到啦! 唔知Synology可唔可以裝到obfsproxy呢?
作者: 角色    時間: 2013-1-3 20:48

改port number呢?
作者: 角色    時間: 2013-1-3 20:59

More information about GFW:

http://www.cs.kau.se/philwint/static/gfc/
作者: lttliang    時間: 2013-1-4 02:18

???已经封左了吗?
作者: 角色    時間: 2013-1-4 09:01

回復 5# lttliang

你的OpenVPN依然能工作吗?
作者: tomlee0101    時間: 2013-1-4 09:54

本帖最後由 tomlee0101 於 2013-1-4 09:56 編輯
回復  tomlee0101

唔怪得我部Synology個OpenVPN一路都connect唔到啦! 唔知Synology可唔可以裝到obfsproxy ...
雯雯 發表於 2013-1-3 20:24



   

Can anyone who suddenly failed in OpenVPN connection  try below ?

"解決方法2(進取):
另一種比較進取的解決方法是..TLS Handshake過程進行加密的機制
透過TLS-Auth的Static-Key來進行,也是一個不錯的選擇"
作者: lttliang    時間: 2013-1-4 10:36

回復  lttliang

你的OpenVPN依然能工作吗?
角色 發表於 2013-1-4 09:01



    未用,因为打算唔用routers,所以昨天我将主机拿返深圳重新装过系统,之前我唔系话用到冇两日又被封左既,我仲以为系PCCW搞既,原来系大陆
作者: lttliang    時間: 2013-1-4 10:37

Can anyone who suddenly failed in OpenVPN connection  try below ?

"解決方法2(進取):
另一種 ...
tomlee0101 發表於 2013-1-4 09:54



    有冇详细的操作步骤呀?因为我唔系好识既
作者: tomlee0101    時間: 2013-1-4 10:45

本帖最後由 tomlee0101 於 2013-1-4 12:47 編輯

My thread

OPENVPN 用 certificate 設定分享 : DD-WRT server,DD-WRT client, Windows, Android
http://www.telecom-cafe.com/foru ... &extra=page%3D1

Added configurations for TLS-Auth..
作者: homeinns    時間: 2013-1-4 11:24

本帖最後由 homeinns 於 2013-1-4 11:37 編輯

共慘黨的網絡警察太聰明啦,居然能夠利用 OpenVPN 起動時那霎那間的 TLS HandShake 來作出封殺。,實在太聰明啦, 他們應該在那幾千億的 “為穩”費裏,分到不少油水啦。 (Homeinns 在國内繳付的薪俸稅就是給共匪做出網絡封鎖用,但又要花費不少的時間和精力去 “破網翻墻”, 中國的寶貴資源就是花費在這些 “内耗”上)

最終發現封鎖技術建基於OpenVPN PKI模式下TLS Handshake過程的特徵。”

謝謝 C-Hing 的 UpDate information, 好彩我香港老家的 DD-WRT OpenVPN Server 是使用 Static Key Login 的, 沒有這個 TLS Handshake過程, 因此 “共匪” 的網絡警察是 Detect 不到的, 而且是共享 Port 443 這個網上商貿專用的 Port, “共匪”是絕對不敢封殺 Port 443 的, 但現在不是 Port 的問題, 是起動時那霎那間的 TLS HandShake 露餡 而引致封殺

DD-WRT OpenVPN Server 使用的 Multi-Cert, 提供 Multi-Client(s) 的 同時 Login 的設定太複雜,Homeinns 還是駕馭不了,因此在沒有辦法下才採用 Single User 的 Static Key Login 辦法。 (那就是説,一條褲子,在同一個時間内,只能夠一個人來穿, 不能夠多人同時穿這一條褲子 (OpenVPN Server))。

請問一下,如果要避免起動時那霎那間的 TLS HandShake 露餡 而引致封殺, 下面這些不同種類的 VPN 有沒有這個 “露餡”TLS HandShake 呢 ???
(1) SSL VPN  (使用 https://www.XXXXXX.com 來 Login 破網翻墻的 VPN)

(2) SSTP VPN (最新款的 Microsoft 標準的 VPN, 要 Window 7 内纔有這個功能的 VPN), MikroTik 的 Soft-Router 内建有這個 SSTP VPN Server 的功能的。

(3) L2TP VPN  (在 MikroTik / PfSense 和他某些 Soft-Router 也内建有這個 L2TP VPN Server 的功能的。)


看來,我們這一幫破網翻墻的老雀,要儘快開發下一代破網翻墻用的 VPN, 與時並進,才能夠不斷的創新,逃出“共匪”的現代資訊長城,接受來自互聯網的最新的反動資訊和反動思潮。
作者: tomlee0101    時間: 2013-1-4 12:34

本帖最後由 tomlee0101 於 2013-1-4 12:55 編輯
下面這些不同種類的 VPN 有沒有這個 “露餡”TLS HandShake 呢 ???
(1) SSL VPN  (使用 https://www.XXXXXX.com 來 Login 破網翻墻的 VPN)

(2) SSTP VPN (最新款的 Microsoft 標準的 VPN, 要 Window 7 内纔有這個功能的 VPN), MikroTik 的 Soft-Router 内建有這個 SSTP VPN Server 的功能的。

(3) L2TP VPN  (在 MikroTik / PfSense 和他某些 Soft-Router 也内建有這個 L2TP VPN Server 的功能的。)

homeinns 發表於 2013-1-4 11:24


I hope to know as well..

Will share with all of you if I find some clue..

In the mean time, I just hope someone can prove/test the below suggested resolution

"解決方法2(進取):
另一種比較進取的解決方法是..TLS Handshake過程進行加密的機制
透過TLS-Auth的Static-Key來進行,也是一個不錯的選擇"



Otherwise, may have to spend some time to study/test the following scenario for using OpenVPN with static Key
1) [DD-WRT OpenVPN client with static key]<---->[DD-WRT OpenVPN server with static key]
Possible ? If so, how to configure at the DD-WRT OpenVPN client ?

2) [CM 7.2 OpenVPN client with static key]<---->[DD-WRT OpenVPN server with static key]
Possible ? If so, how to configure at CM 7.2 OpenVPN client ?
作者: 角色    時間: 2013-1-4 13:39

回復 8# lttliang

用PPTP嘛!不知道用MikroTik的PPTP是否有用呢?
作者: 雯雯    時間: 2013-1-4 13:56

回復 11# homeinns

如果佢要drop你既話, 用幾勁都冇用.
作者: lttliang    時間: 2013-1-4 14:46

I hope to know as well..

Will share with all of you if I find some clue..

In the mean time, I ju ...
tomlee0101 發表於 2013-1-4 12:34



    是否指无需ID与password的静态key?
作者: lttliang    時間: 2013-1-4 14:48

回復  lttliang

用PPTP嘛!不知道用MikroTik的PPTP是否有用呢?
角色 發表於 2013-1-4 13:39



    国内同胞话用ipip tunnel可以防止被封,你们用ROS既就可以了,但我冇用ROS
作者: tomlee0101    時間: 2013-1-4 14:58

本帖最後由 tomlee0101 於 2013-1-4 16:11 編輯
是否指无需ID与password的静态key?
lttliang 發表於 2013-1-4 14:46


I believe so.... There was no detailed explanation at the original article.

I think the suggested resolution is referring to the field  "TLS Auth Key " at DD-WRT OpenVPN configuration screen.

I had tried the corresponding configration / OpenVPN connection and routing etc. successfully, but I could not prove/test if it can resolve GFW針對OpenVPN霎那間的 TLS HandShake 露餡, 而引致進行的網絡封殺..
作者: 雯雯    時間: 2013-1-4 15:42

回復 16# lttliang

lttliang兄, 可否指教一下ipip tunnel?
作者: tomlee0101    時間: 2013-1-4 15:45

回復  lttliang

lttliang兄, 可否指教一下ipip tunnel?
雯雯 發表於 2013-1-4 15:42



   x2 ..  

   interested as well...
作者: homeinns    時間: 2013-1-4 15:53

我去請教 Google 老師, Key-Word = ipip tunnel
但 Google 老師提供下面這些極爲高深的回復, 我看不懂。

要自己起一台 RoS Soft-Router 來實戰演練一下,才能夠明白 Google 老師下面的所言。

+++++++++++++++++++++++++++++++++++++++++++++++++++
IPIP 隧道
Document revision: 1.1 (Fri Mar 05 08:25:43 GMT 2004)
Applies to: MikroTik RouterOS V2.9
基本信息
IPIP隧道是使用在两个路由器间对IP数据包进行封装的简单协议,IPIP隧道接口会像一个物理接口出现在接口列表中,许多路由器,包括Cisco和基于Linux基本支持该协议。这个协议使多个网络分布成为可能。
IP隧道协议可用到下面的网络情况 :
" 通过在Internet上隧道建立企业网
" 使用源路由的反向
快速设置向导
通过一个IPIP隧道在两个MikroTik路由器之间连接,路由器的IP地址为10.5.8.104和 10.1.0.172, 使用IPIP隧道的地址为10.0.0.1和10.0.0.2,设置如下:
" 在IP地址为10.5.8.104的路由器上配置:
1. 添加一个IPIP接口 (默认的名称为ipip1):
[admin@10.5.8.104] interface ipip> add local-address=10.5.8.104 \remote-address=10.1.0.172 disabled=no
2. 添加一个IP地址在ipip1 接口上:
[admin@10.5.8.104] ip address> add address=10.0.0.1/24 interface=ipip1
" 在IP地址为10.1.0.172的路由器上配置:
1. 添加一个IPIP接口(默认名称为ipip1):
[admin@10.1.0.172] interface ipip> add local-address=10.1.0.172 \remote-address=10.5.8.104 disabled=no
2. 添加一个IP地址在ipip1接口上:
[admin@10.1.0.172] ip address> add address=10.0.0.2/24 interface=ipip1
" Packages required: system

IPIP设置
操作路径: /interface ipip
IPIP隧道可以运行在任何IP传输的连接中。每一个IPIP隧道接口只能连接一个远程符合配置的接口。一个路由器可以添加无限个IPIP隧道。
属性描述
name (名称; 默认: ipipN) – 接口参考名
mtu (整数; 默认: 1480) – 最大传输单元。设置为1480bytes是为避免数据包冲突。设置为1500bytes可能会出现网络异常。
local-address (IP 地址) – 在路由器上的本地地址,通过IPIP传输到远程的主机。
remote-address (IP 地址) – 已经配置了相应协议的远程路由器的IP地址。

使用 /ip address add 命令给IPIP接口分配一个IP地址。
在这个接口上没有验证或是静态情况,接口的带宽占用可用通过monitor 命令在interface目录可用监视。
MikroTik RouterOS IPIP隧道已经和Cisco 1005测试通过。Cisco 1005配置样本如下:
interface Tunnel0
ip address 10.3.0.1 255.255.255.0
tunnel source 10.0.0.171
tunnel destination 10.0.0.204
tunnel mode ipip
应用实例
假设我们想在路由器R1和R2之间建立一个IPIP隧道。
首先,我们需要配置IPIP接口和添加IP地址。
路由器R1配置如下:
[admin@MikroTik] interface ipip> add
local-address: 10.0.0.1
remote-address: 22.63.11.6
[admin@MikroTik] interface ipip> print
Flags: X - disabled, R - running
# NAME MTU LOCAL-ADDRESS REMOTE-ADDRESS
0 X ipip1 1480 10.0.0.1 22.63.11.6

[admin@MikroTik] interface ipip> en 0
[admin@MikroTik] interface ipip> /ip address add address 1.1.1.1/24 interface=ipip1
R2配置如下:
[admin@MikroTik] interface ipip> add local-address=22.63.11.6 remote-address=10.
0.0.1
[admin@MikroTik] interface ipip> print
Flags: X - disabled, R - running
# NAME MTU LOCAL-ADDRESS REMOTE-ADDRESS
0 X ipip1 1480 22.63.11.6 10.0.0.1

[admin@MikroTik] interface ipip> enable 0
[admin@MikroTik] interface ipip> /ip address add address 1.1.1.2/24 interface=ipip1
现在两个路由器可用互相ping通对方:
[admin@MikroTik] interface ipip> /ping 1.1.1.2
1.1.1.2 64 byte ping: ttl=64 time=24 ms
1.1.1.2 64 byte ping: ttl=64 time=19 ms
1.1.1.2 64 byte ping: ttl=64 time=20 ms
3 packets transmitted, 3 packets received, 0% packet loss
round-trip min/avg/max = 19/21.0/24 ms
[admin@MikroTik] interface ipip>
作者: 雯雯    時間: 2013-1-4 16:05

回復 20# homeinns

等我今晩將部RB1100拿回宿舍, 趁這個weekend同時用宿舍部RB493G試試.
作者: tomlee0101    時間: 2013-1-4 16:06

我去請教 Google 老師, Key-Word = ipip tunnel
但 Google 老師提供下面這些極爲高深的回復, 我看不懂。
...
homeinns 發表於 2013-1-4 15:53


作者: lttliang    時間: 2013-1-4 16:58

回復  lttliang

lttliang兄, 可否指教一下ipip tunnel?
雯雯 發表於 2013-1-4 15:42



    我都不识,是在QQ群里的一些人说的,你地有linux基础都睇睇唔明既话,我就更加唔可能睇明白了
如果成功既话,放个教程出来呀
作者: tomlee0101    時間: 2013-1-5 00:08

本帖最後由 tomlee0101 於 2013-1-5 00:45 編輯
改port number呢?
角色 發表於 2013-1-3 20:48



   

May possibly work for a few days..

这次openvpn也受影响严重,即使是自己VPS搭建的OpenVPN在正常使用一段时间后可也能就会被封锁端口,然后切换OpenVPN为其他端口连接时又恢复正常,不过使用一段时间还可能被封锁,所以说其应该是根据某些特征封锁,并且GFW应该有自动学习和记忆功能。

Source article :
http://igfw.net/archives/12526
作者: 角色    時間: 2013-1-5 09:54

就是他们看不到你在OpenVPN里搞什么东西,所以block你的去的IP, Port Number。

如果你用PPTP的话,因为他们可以知道你们在里面做什么说什么,所以不理你。

跟据楼主说,现在是根据packet的特征,来判定是否OpenVPN,而不是用port number (443 TCP),所以你就算用其他port number,他们的machine也检测出来。

那么一般商业的VPN用什么呢?SSL VPN听说都有问题。那么用回以前的IPSec吗?
作者: Shenzhen_on9    時間: 2013-1-5 10:36

IPIP Tunnel - just means IP within IP. I haven't used it, but the concept is simple.
Please see the following Wiki.
http://en.wikipedia.org/wiki/IP_in_IP
作者: 角色    時間: 2013-1-5 10:59

回復 26# Shenzhen_on9

有什么好处呢?没有encryption,那么其他人很容易hack。
作者: 雯雯    時間: 2013-1-5 11:11

回復 27# 角色

好處係不像PPTP那樣容易被block.
作者: 角色    時間: 2013-1-5 11:42

但是我认为所有packet都会被监控的对象!但是他们特别针对VPN,因为他们知道一般人的VPN,如PPTP等,因为他们可以很轻易解开,看到里面的内容,所以就给你过,不然,特别一些商业都很少用的VPN,如OpenVPN, 既然他们解不开就不让过。

不知道IP-in-IP效果是怎样?
作者: Shenzhen_on9    時間: 2013-1-5 14:08

角色兄.

To my understanding. IPIP tunnel doesn't involve data encryption. In Linux, you can use the command "iptunnel" to manage the tunnels.

### Establish Tunnel: [root@callisto:~#] iptunnel -?Usage: iptunnel { add | change | del | show } [ NAME ] [ mode { ipip | gre | sit } ] [ remote ADDR ] [ local ADDR ] [ [i|o]seq ] [ [i|o]key KEY ] [ [i|o]csum ] [ ttl TTL ] [ tos TOS ] [ nopmtudisc ] [ dev PHYS_DEV ]

       iptunnel -V | --version



Where: NAME := STRING

       ADDR := { IP_ADDRESS | any }

       TOS  := { NUMBER | inherit }

       TTL  := { 1..255 | inherit }

       KEY  := { DOTTED_QUAD | NUMBER }

IP-IP Tunnel
=========
Tunneling is a somewhat misleading term; there is nothing to actually "dig" through. Network tunnels consist only of two endpoints (an encapsulator and a decapsulator), gateways, a passenger, and a transport protocol. Granted, these are point-to-point links. In between, ordinary destination prefix-based routing and best-effort delivery over IP infrastructures occurs.

In the case of IP-IP tunneling (RFC 1853, RFC 2003), an IP datagram (passenger) travels encapsulated in another IP datagram (transport). The inner IP header is not changed by the encapsulator, except to decrement the Time To Live (TTL) by 1 if the tunneling is carried out as part of forwarding the datagram. The decapsulator does not alter the TTL value, though. An encapsulator must not encapsulate an inner datagram with TTL=0; and vice versa, if after decapsulation the inner TTL equals 0, the decapsulator must discard the datagram.

There is no tunnel management besides the usual Internet Control Message Protocol (ICMP) mechanisms. Obvious applications are policy routing, multicasting and tunneling of RFC 1918 address space, connecting discontinuous subnetworks, providing multiprotocol transport, and overcoming hop-count limits of certain protocols. However, IP-IP tunnels don't work from behind Network Address Translation (NAT) gateways. RFC 2003 does not specify an authentication mechanism; however, header authentication could be used in between the original inner and transport outer header.

IP-IP tunneling is supported by Linux and all BSD operating systems. They are not necessarily compatible with the Cisco IP-IP tunnel implementation. Cisco has introduced an authentication option. Take a look at the article "Configuring Logical Interfaces".

You can refer to the following eTutorial for the details.

http://etutorials.org/Networking ... tures/IP-IP+Tunnel/
作者: 雯雯    時間: 2013-1-5 15:52

就是他们看不到你在OpenVPN里搞什么东西,所以block你的去的IP, Port Number。

如果你用PPTP的话,因为他 ...
角色 發表於 2013-1-5 09:54


如果係跨國公司而國內分公司又有一定規模, 一般都會有向運營商租用MPLS VPN, 這樣在國內出差只需用其他任何VPN連回國內公司便可. 至於國內沒有分公司或國內分公司沒有MPLS VPN的, 出差時用VPN只能夠自求多福了!
作者: 雯雯    時間: 2013-1-5 18:15

IPIP tunnel測試結果成功! windbox GUI的話只需在Interface簡單增加一下IP tunnel和IP --> Address增加一下便可, 另外在GUI IP --> Routes增加一下或者在CLI下打以下command便可以訪問對方內網的資源:
[admin@MikroTik] ip route> add dst-address=192.168.88.0/24 gateway=10.0.0.2

不過還有1個問題就係未能測試Local IP address和Remote IP address是否能用DDNS!
作者: lttliang    時間: 2013-1-6 02:04

IPIP tunnel測試結果成功! windbox GUI的話只需在Interface簡單增加一下IP tunnel和IP --> Address增加一下 ...
雯雯 發表於 2013-1-5 18:15



    成功之后记得分享一下哈  等好消息
作者: 角色    時間: 2013-1-6 02:13

其实她已经做好了,其实真的不难!

但是要记住,这个IPIP,主要用简单方法建立site-to-site,而因为他们能很容易侦测到你的内容后而会放行。如果不知道,对不起现在他们只能”杀错都不能放过“。
作者: lttliang    時間: 2013-1-6 02:19

仲有人知有边D类似ip in ip的软件吗?我又唔可能专门去买部机装ros,我路由器都好多个了
作者: Shenzhen_on9    時間: 2013-1-6 10:43

GRE (Generic Routing Encapsulation)
作者: 角色    時間: 2013-1-6 11:00

回復 35# lttliang

你可以安装RouterOS on X86 machine, 你可以征询homeinns,或者在网上找测试版。
作者: 雯雯    時間: 2013-1-6 11:26

回復 35# lttliang

Linux亦支持IPIP tunnel.
作者: lttliang    時間: 2013-1-6 13:50

回復  lttliang

Linux亦支持IPIP tunnel.
雯雯 發表於 2013-1-6 11:26



    linux直接连到光纤modem的pc可以吗?我睇遍左所有教程,好似要通过router既,而且唔知用域名是否支持
作者: lttliang    時間: 2013-1-6 13:50

回復  lttliang

你可以安装RouterOS on X86 machine, 你可以征询homeinns,或者在网上找测试版。 ...
角色 發表於 2013-1-6 11:00



    ATOM的机器可以吗?
作者: 角色    時間: 2013-1-6 13:58

当然可以,问问不是说过,就算Linux本身都带有IPIP的protocol。
作者: bubblestar    時間: 2013-1-6 14:21

雯雯 OR 問問  呢?  
作者: lttliang    時間: 2013-1-6 15:04

当然可以,问问不是说过,就算Linux本身都带有IPIP的protocol。
角色 發表於 2013-1-6 13:58


  睇来,明年要存D钱买部ATOM的大主板以及多几块1000M的网卡了,可恶的XX校长,搞到我又要花咁多钱
作者: 雯雯    時間: 2013-1-6 15:06

回復 42# bubblestar

找我有甚麼事?
作者: 雯雯    時間: 2013-1-6 15:09

回復 43# lttliang

唉! 道高一尺, 魔高一丈! 不過如果你用虛擬機跑的話, ATOM恐怕不夠力吧!
作者: 雯雯    時間: 2013-1-6 16:14

Original article :



(網絡行動組) 以obfsproxy解決中國2012年12月針對OpenVPN之網絡封鎖增強.
毋忘六四 ...
tomlee0101 發表於 2013-1-3 18:44


剛才睇到用方法一的1個折衷方法, 就係在國內起1部Server用方法一做openvpn client和PPTP VPN server, 不過這個方法就要確保國內server的網速和供電穩定.
作者: lttliang    時間: 2013-1-6 17:07

回復  lttliang

唉! 道高一尺, 魔高一丈! 不過如果你用虛擬機跑的話, ATOM恐怕不夠力吧! ...
雯雯 發表於 2013-1-6 15:09



    不是用虚拟机  我是用真PC
作者: lttliang    時間: 2013-1-6 17:10

剛才睇到用方法一的1個折衷方法, 就係在國內起1部Server用方法一做openvpn client和PPTP VPN server, 不 ...
雯雯 發表於 2013-1-6 16:14



    国内的上传只得50-60KB/S好慢哦
作者: lttliang    時間: 2013-1-6 19:14

本帖最後由 lttliang 於 2013-1-6 20:27 編輯

在VM中装左个RouterOS测试,在winbox gui建立IP Tunnel真系好简单,但是我以前冇用过,所以要令到成部系统正常运行,我就要从头学习RouterOS真系要花好多时间
作者: lttliang    時間: 2013-1-7 00:00

  1. 机器配置
  2. A:
  3. 外网IP:10.10.10.1
  4. 内网IP:192.168.1.1
  5. B:
  6. 外网IP:10.10.20.1
  7. 内网IP:192.168.1.2
  8. =======================
  9. A机器相关配置
  10. 1、增加/etc/sysconfig/network-scripts/ifcfg-tun0,其内容为:

  12. DEVICE=tun0
  13. ONBOOT=yes
  14. TYPE=IPIP
  15. MY_INNER_IPADDR=192.168.1.1
  16. PEER_OUTER_IPADDR=10.10.20.1
  17. MY_OUTER_IPADDR=10.10.10.1
  18. PEER_INNER_IPADDR=192.168.1.2
  19. TTL=64

  21. 2、重新启动网络:
  22. /etc/init.d/network restart
  23. 3、修改防火墙规则,此处-p后面为ipencap。
  24. iptables -I INPUT -s 10.10.20.1 -p ipencap -j ACCEPT

  26. B机器相关配置
  27. 1、增加/etc/sysconfig/network-scripts/ifcfg-tun0,其内容为:
  28. DEVICE=tun0
  29. ONBOOT=yes
  30. TYPE=IPIP
  31. MY_INNER_IPADDR=192.168.1.2
  32. PEER_OUTER_IPADDR=10.10.10.1
  33. MY_OUTER_IPADDR=10.10.20.1
  34. PEER_INNER_IPADDR=192.168.1.1
  35. TTL=64

  37. 2、重新启动网络:
  38. /etc/init.d/network restart
  39. 3、修改防火墙规则,此处-p后面为ipencap。
  40. iptables -I INPUT -s 10.10.10.1 -p ipencap -j ACCEPT
  41. 之后分别在A、B上ping对方的VPN IP地址,应该可以ping通的。
複製代碼
最后怎样令到B从A的外网IP出去呢?
作者: Shenzhen_on9    時間: 2013-1-8 09:19

They use DPI (Deep Packet Inspection) in China.

The following is from Wiki.

The Chinese government uses Deep Packet Inspection to monitor and censor network traffic and content that it claims is harmful to Chinese citizens or state interests. This material includes pornography, information on religion, and political dissent. Chinese network ISPs use DPI to see if there is any sensitive keyword going through their network. If so, the connection will be cut. People within China often find themselves blocked while accessing Web sites containing content related to Taiwanese and Tibetan independence, Falun Gong, the Dalai Lama, the Tiananmen Square protests and massacre of 1989, political parties that oppose that of the ruling Communist party, or a variety of anti-Communist movements as those materials were signed as DPI sensitive keywords already. China also blocks VoIP traffic in and out of their country. Voice traffic in Skype is unaffected, although text messages are subject to DPI, and messages containing sensitive material, such as curse-words, are simply not delivered, with no notification provided to either participant in the conversation. China also blocks visual media sites such as YouTube.com and various photography and blogging sites.
作者: 角色    時間: 2013-1-8 20:59

如果没有什么秘密,用普通的VPN方式就好!
作者: Skypeus    時間: 2013-1-9 09:49

OpenVPN 到现在还是用不了。看日志GW还是侦测得到连接,马上断开连接了。 怎么办?
作者: 角色    時間: 2013-1-9 10:52

回復 53# Skypeus

你在哪个城市呢?

不用是Static Key就可以吗?

还有可以用PPTP VPN吗?
作者: Skypeus    時間: 2013-1-9 14:30

回復  Skypeus

你在哪个城市呢?

不用是Static Key就可以吗?

还有可以用PPTP VPN吗? ...
角色 發表於 2013-1-9 10:52



    请教师兄,gargoyle router里的openvpn 如何设置Static Key ? 

  还有pptp一直装不上,之前帖子有提到过。
作者: bky16    時間: 2013-1-13 17:43

關注一下!因為亦是長期在深圳工作,今日將WRT610N 刷了DD-WRT使用PPTP,聽日返深圳再試試。
作者: dreamy2k    時間: 2013-1-13 23:05

routeros 有SSTP VPN大家有無去研究呢??
作者: 角色    時間: 2013-1-13 23:19

雯雯和我都有RouterOS,所以可以一起测试SSTP和IP-In-IP。
作者: 雯雯    時間: 2013-1-13 23:29

回復 58# 角色

找我嗎?
作者: 角色    時間: 2013-1-13 23:30

是的,等有空的时候,大家可以一起测试。

(上次有因为我的电脑问题,所以没有找你进行IP-in-IP的VPN测试。)
作者: dreamy2k    時間: 2013-1-16 11:58

我都在玩SSTP,我用兩隻ROUTEROS 連到一起
整個SSTP關鍵在SSL証書上,因為要認何機構的SSL証書吾可以自己簽比自己
作者: 角色    時間: 2013-1-16 12:04

回復 61# dreamy2k


效果怎样?是否会给别人block呢?

怎样set呢?
作者: dreamy2k    時間: 2013-1-16 12:27

回復 62# 角色

我還沒有放在大陸試,我是用朋友公司的ROUTEROS連回我家的上,今周未會在大陸上試

SET系好簡單,同PPTP SERVER差不多就系要去申請ssl証書麻煩
作者: 雯雯    時間: 2013-1-16 13:12

回復 63# dreamy2k

師兄可否寫個教程出來?
作者: dreamy2k    時間: 2013-1-16 14:17

回復 64# 雯雯

好!!我呢兩日寫出來呀!!
作者: Qnewbie    時間: 2013-1-16 17:08

回復 61# dreamy2k

Because it is M$ product.
作者: dreamy2k    時間: 2013-1-17 15:48

WINDOWS 用SSTP連去ROUTEROS我都搞好了!!真系比D証書玩死!!周未我先出教程!!!
作者: man0000    時間: 2013-1-17 23:05

如果有自己域名,可以向stratssl  申請免費 class 1 ssl 証書 用SSTP .因為 stratssl是ms認證的ssl的發行公司
我都有用router os做sstp
作者: dreamy2k    時間: 2013-1-17 23:09

如果有自己域名,可以向stratssl  申請免費 class 1 ssl 証書 用SSTP .因為 stratssl是ms認證的ssl的發行公 ...
man0000 發表於 2013-1-17 23:05


我都系有自己DOMAIN先去STARTSSL上申請
作者: bky16    時間: 2013-1-18 12:55

咁如果冇Domain名就唔可以玩啦?
作者: mrandrewchan    時間: 2013-1-19 10:19

可唔可以用 ipsec 呢 ?
作者: 角色    時間: 2013-1-19 10:53

其实大陆很多用都是PPTP,IPSec,SSL VPN比较多,而OpenVPN非常少!所以我估计网警都是针对OpenVPN而设一些blocking,dropping的策略!因为他们破不了就不让你离开中国大陆境内。
作者: mrandrewchan    時間: 2013-1-19 11:03

明白...... 謝



歡迎光臨 電訊茶室 (http://telecom-cafe.com/forum/) Powered by Discuz! 7.2