Board logo

標題: static key OpenVPN也從GFW裡敗陣?! [打印本頁]
作者: yky123    時間: 2013-1-10 17:40     標題: static key OpenVPN也從GFW裡敗陣?!

本帖最後由 yky123 於 2013-1-10 17:50 編輯

Openvpn最近被封殺,有些網民說大陸是從TLS握手過程下手封殺Openvpn,並且建議可以試一試static key,但是實際上是不行,連上了也沒有用。以下是測試時截的圖。我這類用家用router的人搞不了IPSec,也用不了obfsproxy這些解決方法,那我又應該怎樣自救?
▼香港家裡的VPN Server(刷了tomato的ASUS RT-N16 router)
  網絡是PCCW 電話線100M(下載70M 上載30M)
[attach]2153[/attach]
▼透過GUI控制香港家裡的router ping facebook
[attach]2154[/attach]
▼Server設定(左) 客戶端設定(右)
[attach]2155[/attach]
▼openvpn客戶端log
[attach]2156[/attach]
▼在大陸連上VPN後用電腦ping 大陸網站,youtube,facebook
註:我用了路由表令大陸網站遶過VPN
[attach]2158[/attach]
============================================
題外話:也許PacketiX是我們的救星,但是開源版(UT-VPN)只有日文版,要中文版(PacketiX server)就只能付錢。如果有高手能把UT-VPN翻譯了就能方便不少人了。現在我在大陸還能上youtube靠的就是使用PacketiX技術的老牌免費VPN。自架VPN sever一次性成本比Draytek router低,但是電費一定是多了,不過電腦的功能可比router多
▼UT-VPN管理介面
[attach]2157[/attach]
作者: Shenzhen_on9    時間: 2013-1-11 16:45

According to StrongVPN, there are 2 solutions.  

Method 1 : using UDP and change the MTU size.

Method 2 : change to TCP.

Please see the following link.

http://blog.strongvpn.asia/china-blocking-udp-ports/
作者: 角色    時間: 2013-1-11 21:41

不知道大家是否试过呢?
作者: yky123    時間: 2013-1-11 23:00

回復 2# Shenzhen_on9
上面的方法都不可以(方法1我沒改MTU)。參考了某有名的VPN營運商,他們是用tls-auth和增加port的數目來減少被封的機會。不知道有沒有人有這方面的經驗?
作者: homeinns    時間: 2013-1-12 10:25

本帖最後由 homeinns 於 2013-1-12 10:27 編輯

朋友,你不要嚇我噢,  因爲 Port 443 的 OpenVPN 是我們港燦 “破網翻墻“ 的皇牌哦。

我還是天天都使用香港老家的 DD-WRT OpenVPN (Static Key Login type), 沒有任何問題哦,一切如常。(我是常駐在長三角地區的港燦)。

C-Hing 是不是在 VPN “破網翻墻“ 極度猖獗的 港燦集中地  “珠三角地區“ 呢 ??

老實説,“珠三角地區“ 的港燦集中地的VPN “破網翻墻“ 已經達到 水銀瀉地,無孔不入 的普及地步, 已經開始吸引黨中央的眼球啦, 該地區的網絡警察一定要做一點工作,尤其最近在廣州的 “南方都市“ 的武力清場(小型64式的清場行動)後, 更為敏感。

看來, 我們要儘快開發下一的“破網翻墻“ 的工具,去進行這個永不會完結的 “貓和老鼠“的遊戲
作者: 角色    時間: 2013-1-12 10:45

我的感觉是中央要立案调研,为什么我们用OpenVPN,他们是否能看到,是否会杀错!那么他们就发现一些不同之处,特别是银行的Https与OpenVPN的443 TCP的分别,所以他们才找出针对的方案,所以在18大后才采取行动。

为什我们没有工具和网络知识,不知道怎样处理。所以用PPTP也不错,就让大陆看吧!只要他们能看到,你也散播,基本上他们也不搭理你。
作者: homeinns    時間: 2013-1-12 10:50

本帖最後由 homeinns 於 2013-1-12 11:03 編輯
自架VPN sever一次性成本比Draytek router低,但是電費一定是多了,不過電腦的功能可比router多

強烈建議 C-Hing 用一台已經退役的廢舊電腦,在香港的老家起一台 Soft-Router (内有超強勁的 VPN Server(s) 和 FireWall),  看 C-Hing  那麽 Technical 的 Post,  應該不是一個 Lu-Lu, 能夠駕馭 Tomato 的人士應該也有一點份量吧.

Homeinns 已經使用強國的 (海蜘蛛 Hi-Router) 的 Soft-Router, 已經連續 24 x 365 運行超過 半年啦, 絕對穩定, 功能一定比那些 Vigor 的高檔次的 Commerical Grade VPN Router 強得多,

唯一的缺點就是能耗就比較高一點,大概有 30 Watt 把,  最近在我身處的長三角地區氣溫已經下降到 0度 的冰點, 我進一步把  CPU 的冷卻風扇 和 Power Supply 的冷卻風扇 停止運作, 溫度還是冰冷的,這進一步節省大約 5~10 Watt 的電力消耗, 如果能夠用 SSD 代替 機械的 HDD 更加可以節省 5~10 Watt 電。 (但 SSD 目前還是太貴,而且只有 SATA 口,沒有舊電腦的 IDE 口,因此也作罷。)

我的強國版(海蜘蛛 Hi-Router) 的 Soft-Router 是一件古董級的歷史文物,詳看我下面的 Link
這應該也是世界上剩餘無幾的 Intel 333 MHz, P2 Slot 1 CPU 的古董級電腦,還在提供 連續 24 x 365 的 "破網翻墻“ 的 VPN Server 服務,這簡直是 Homeinns 一生中的一個榮耀。

http://www.telecom-cafe.com/foru ... ;highlight=M0n0wall

下一次回到香港的新高登二手電腦商場看看能否檢到一些 “侏羅紀年代化石級“ 的古董 10M ISA Slot 的 LAN Card (10/100M PCI LAN Card 的前一代產品),那麽就真是 “博物館級“ 的歷史文物,
在 Homeinns 去世後,該台“侏羅紀年代化石級“ 的古董(還能夠作爲一台正常工作的電腦) 就可以捐囘給 美國的 Intel 電腦歷史的博物館,這簡直是 Homeinns 一生中的一個榮耀。
作者: 角色    時間: 2013-1-12 11:19

现在问题是很多members没有钱没有时间!!!哪怎样办呢?
作者: homeinns    時間: 2013-1-12 12:02

本帖最後由 homeinns 於 2013-1-12 12:06 編輯

(1) 那些“侏羅紀年代化石級“ 的古董電腦是 “免費的“不用錢的,Soft-Router 的軟件採用免費的 Freeware 軟件,也是 “免費的“, 因此 “沒有錢“ 是一個不成立的 “偽命題“ 而已。

(2) “沒有時間“ 這個纔是真正的問題, 也是目前這個 “變態的社會“ 的一個通病。
We cannot help in this arena.  但盡自己的努力去編排時間,(但生命是有限的,而一天就只有 24個小時)
作者: 雯雯    時間: 2013-1-12 12:10

回復 8# 角色

等我暫時總結一下最近為應付GFW花時間研究出來的一點心得:

1. 某些client to site vpn (如ssl explorer)和所有site to site vpn tunnel (如ipip tunnel、ipsec vpn和site to site sstp vpn tunnel等), 這些表面看來無法做到翻牆, 其實不是! 請看我最近出的1個Draytek post, 只需要自己在香港起1個DNS和Proxy Server. 又或者連起DNS和Proxy Server都沒有時間和功力, 只需將香港ISP的DNS和Proxy Server IP都經VPN tunnel走便可.

2. stunnel我正在研究中.

3. SSH tunnel我暫時未識.
作者: yky123    時間: 2013-1-12 16:35

本帖最後由 yky123 於 2013-1-12 16:46 編輯

回復 5# homeinns
很不辛地我在改用TCP port 8007前,我用的就是我們以為最安全的TCP port 443,而且我現在就在屬於三角地區的妖都(差一個字待遇就差這麼多)。但是樹大招風也是理所當然的,只能跟共[敏感瓷]擋繼續玩貓和老鼠。static key配TCP port 443完全連不上,得到的就是
SIGUSR1[soft,connection-reset] received, process restarting
TCP: connect to "IP":443 failed, will try again in 5 seconds: Connection refused (WSAECONNREFUSED)

下面提到的Soft-Router有在考慮,但是用的可能就不是一台廢電腦,因為家裡唯一一台將會退休的電腦是放10噸乾冰進機箱也會很熱的神器(好像是CPU:AMD Athlon 64 x2 500),用電一定比30W多。另外如果想從存儲空間省電的,有些人會用CF卡。我最近在想最省電sever的硬件清單,省電CPU應該就是intel atom吧,還是其它小品牌eg:VIA?
作者: 雯雯    時間: 2013-1-12 16:41

本帖最後由 雯雯 於 2013-1-12 16:43 編輯

回復 11# yky123

省電PC就Raspberry Pi,省電server應該係Intense PC, 我order了1部Intense PC.
作者: yky123    時間: 2013-1-12 17:06

回復  yky123

省電PC就Raspberry Pi,省電server應該係Intense PC, 我order了1部Intense PC. ...
雯雯 發表於 2013-1-12 16:41

可惜並不是普通人能負擔得到,最低配置的Intense PC Entry官方賣US$399。如果是最低配置的Raspberry Pi只要US$25,但是自由度比Intense PC低很多,因為Raspberry Pi的CPU是ARM架構的。2012年5月到過高登問了文書組裝機的價錢,也是只需要大約HK$1900。
作者: 角色    時間: 2013-1-12 19:12

考虑用10蚊鸡的“一鸡三味”,看来我都要把这个方法重新整理,那么大家就可以有个参考。
作者: 雯雯    時間: 2013-1-12 19:18

回復 14# 角色

唔止一雞三味, 用RouterOS的話已經是一雞五味 (PPTP VPN、IPSec VPN、SSTP VPN、OpenVPN和IPIP tunnel).
作者: 角色    時間: 2013-1-12 20:13

但是10元喔!那可以做那么味!
作者: bky16    時間: 2013-1-13 19:12

我香港公司有FORTIGATE FIREWALL,用ANDROID行PPTP手機基本冇難度,只是速度不算快,但穩定,今日系屋企部WRT610N裝DD-WRT亦設定咗PPTP用BB100,聽日返深圳睇下點。

遲D等有時間,我都系深圳設個逆翻牆ROUTER用下先。嘻嘻
多謝依度D CHING嘅分享。
其實想問下點解PPTP可以用,點解要用OPENVPN ?
作者: yky123    時間: 2013-1-13 20:44

我香港公司有FORTIGATE FIREWALL,用ANDROID行PPTP手機基本冇難度,只是速度不算快,但穩定,今日系屋企部W ...
bky16 發表於 2013-1-13 19:12

PPTP加密力是最低的,而且实在太易封了(port1723被封就已经玩完了),你能上算你好运。
作者: yky123    時間: 2013-1-13 20:46

但是10元喔!那可以做那么味!
角色 發表於 2013-1-12 20:13

能装/配routerOS的router有这麽便宜吗?给尽10欧也不太可能吧。
作者: 雯雯    時間: 2013-1-13 20:48

回復 19# yky123

最便宜的RB2011UAS-2HnD-IN也不止這個價錢.
作者: yky123    時間: 2013-1-13 21:31

回復  yky123

最便宜的RB2011UAS-2HnD-IN也不止這個價錢.
雯雯 發表於 2013-1-13 20:48

那有什麽方法能10元一鸡3/5味?
作者: 角色    時間: 2013-1-13 22:44

回復 19# yky123

淡然是2手。
作者: yky123    時間: 2013-1-14 13:50

回復  yky123

淡然是2手。
角色 發表於 2013-1-13 22:44

願問其詳 能說詳細一點嗎?例如在那裡可以找到這種router
作者: 角色    時間: 2013-1-14 17:52

HOMEINNS说在上海一些2手市场里找到!

如果在淘宝100元附近应该可以。
作者: homeinns    時間: 2013-1-14 21:35

本帖最後由 homeinns 於 2013-1-14 21:42 編輯

我曾經在上海的鴨寮街地攤(上海,閘北區,虬江路,上海地鐵3號綫,寶山路地鐵站,KFC 的旁邊),在星期六,星期日,那民工檢回來的垃圾堆裏,淘到 2件非常便宜的 Wireless N Router, TP-Link WR740N Version 1, 成功 Flash 成 DD-WRT Router, 已經設定好成爲 “破網翻墻” 的 VPN Server,  已經送了給我的一些對電腦網絡沒有任何認識的 Lu-Lu 朋友,但要在國内工作的,

這些非常便宜的 2手廢物, 設定好以後,送給朋友,是十分得體,也十分實用的禮物。(最重要的就是非常環保,本身已經是在 2手的舊貨攤裏淘回來的,而且 24x365 運行也非常節能,估計其 Power Consumption 只有 5 Watt 或更少,基本上是冰冷的運行的,又沒有任何的 Moving Parts 的)

(1) 其中一台 WR740N 連 Power Supply, 我只用人民幣30元 就整套的買下來

(2) 另外一台WR740N 沒有 Power Supply,我只用人民幣 25元就買下來。(那些 9 V 的 Power Supply,家裏面多的是呢)

現在的上海人,(跟香港人也一樣)非常富貴,這些 N-Router 才只有 2嵗多的年紀,已經在舊貨攤上出現,因爲都是一些貪新厭舊的人抛棄出來的東西, 完全操作正常,一插 Power 就能夠正常工作。

對於 Flash DD-WRT 對於 Homeinns 來説,簡直是小菜一碟啦,已經做過不下 100次啦,非常有經驗,  就是使用 TFTP 的高危的 靜脈直接注射的 DD-WRT 的 Flashing 操作,對我來説也是易如反掌的。
作者: bky16    時間: 2013-1-15 09:48

希望有人可以講下依家比較理想嘅翻牆方案,自己都算新手所以想知道下。自己係深圳用PPTP,好似都好穩定,不過速度就有時快D有時慢D,不過依個現象應該係INTERNET TRAFFIC問題,同埋,有冇人開POST講下比較唔同嘅ROM ? TOMATO,OPENWRT,DD-WRT ?等我都學下嘢...嘻嘻!
作者: yky123    時間: 2013-1-15 12:30

本帖最後由 yky123 於 2013-1-15 15:31 編輯
希望有人可以講下依家比較理想嘅翻牆方案,自己都算新手所以想知道下。自己係深圳用PPTP,好似都好穩定,不 ...
bky16 發表於 2013-1-15 09:48

以前ge話就係Openvpn,宜家就唔知啦,可能係SSLVPN 或者 IPSec,你部FORTIGATE好似有SSLVPN,可以一試。
如果你冇設定FORTIGATE ge權力兼且同我一樣都係冇錢人,可以試下Openvpn。set得好就會比pptp快、穩,之前用佢上youtube上得好開心,360P無難度,但係比妖都D網絡JC封左。
firmware我個人就鐘意用tomato,只要用o岩版本wifi速度就唔會大減,dd-wrt好似有拖慢wifi速度ge問題。
============
隨便一問:有冇住廣州ge網友用到IPsec翻到牆?
作者: yky123    時間: 2013-1-15 12:40

我曾經在上海的鴨寮街地攤(上海,閘北區,虬江路,上海地鐵3號綫,寶山路地鐵站,KFC 的旁邊),在星期六 ...
homeinns 發表於 2013-1-14 21:35

我倒希望能撿到一台二手入門mikrotik  環保又省錢
作者: lttliang    時間: 2013-1-15 12:52

刚刚上淘宝买左部350蚊 5口1000M的RouterOS,过年这段时间我就学一下,等我学识之后再买部细PC装RouterOS
作者: Shenzhen_on9    時間: 2013-1-15 21:25

回復 1# yky123

I believed your IP address / Port has been banned by GFW.
作者: 角色    時間: 2013-1-15 21:57

回復 29# lttliang

你的RouterBoard的model是什么?
作者: lttliang    時間: 2013-1-15 22:17

回復  lttliang

你的RouterBoard的model是什么?
角色 發表於 2013-1-15 21:57



    RB750GL
作者: bky16    時間: 2013-1-15 22:38

部fortigate 有權限,不過始終係公司日常運作嘅機,搞錯好大獲,之前叫專搞router 嘅所謂專業人士都搞唔掂,可能舊model, D Rom 又唔統一,之前見過台灣嘅post 自己試都唔得。上面話Router OS 機點解350咁平?唔係話冇WIFI 嘅都要人仔800咩?
作者: 雯雯    時間: 2013-1-15 22:50

回復 33# bky16

Fortigate唔算難搞, Zyxel和RouterOS仲難搞. 其實搞之前backup個setting, 有咩事reset過部機再倒返setting入去.
作者: yky123    時間: 2013-1-15 22:55

回復  yky123

I believed your IP address / Port has been banned by GFW.
Shenzhen_on9 發表於 2013-1-15 21:25

冇俾人block到
1.IP被block ge可能:0%  因為我上到router ge管理界面(我係router度開放左遠端連入ge功能,用ddns網址或者連上空殼openvpn後打192.168.1.1都上到管理界面)
2.port被block ge可能:有可能 但係openvpn最大ge好處就係可以改port,我都試過好多port eg:UDP53 TCP443 TCP8964 TCP8007 TCP8888 etc,差在未好似某有名VPN供應商咁用TCP39031咁後ge port。
作者: yky123    時間: 2013-1-15 23:01

本帖最後由 yky123 於 2013-1-15 23:03 編輯

回復 33# bky16
入門ge邊度有咁貴 有wifi係RB751U-2HnD,但係聽講係裝飾用  同佢差唔多ge咪就係RB750GL 去taobao大6官方店都會查到呢個價
PS:之前想買RB750GL,但係佢冇wifi屋企人想一部機過
作者: bky16    時間: 2013-1-15 23:44

回復  bky16

Fortigate唔算難搞, Zyxel和RouterOS仲難搞. 其實搞之前backup個setting, 有咩事reset過部機 ...
雯雯 發表於 2013-1-15 22:50



    我都知不過有嘢行緊,reset 嘅話即係行緊嘅connection 都會斷,影響嘅係接近百個人…
作者: 角色    時間: 2013-1-15 23:47

回復 37# bky16

你的系统是公司用,不然哪会有那么多connections呢?
作者: bky16    時間: 2013-1-15 23:50

其實依家有冇好玩底玩嘅4-500蚊Router
作者: 角色    時間: 2013-1-15 23:54

回復 39# bky16

主要看你是否想mod机,不然这个价格你可以考虑用RouterBoard,但是settings比较原始!要求很多的知识。
作者: tomlee0101    時間: 2013-1-16 20:06

本帖最後由 tomlee0101 於 2013-1-16 20:08 編輯
希望有人可以講下依家比較理想嘅翻牆方案,自己都算新手所以想知道下。自己係深圳用PPTP,好似都好穩定,不 ...
bky16 發表於 2013-1-15 09:48



http://igfw.net/archives/12583   L2TP、PPTP被搞死教你如何搭建抗干扰OpenVPN
xxGFW 2012年12月3日04:39 responded "按这个教程做了一遍,确实能用。但是实际情况是tls-auth下UDP989依然撞墙,TCP3389畅通。"
作者: bky16    時間: 2013-1-19 12:08

回復 36# yky123


   如果用部RB750GL,可以配咩嘢性價比好嘅AP?
作者: ggkind    時間: 2013-1-28 13:13

Openvpn最近被封殺,有些網民說大陸是從TLS握手過程下手封殺Openvpn,並且建議可以試一試static key,但是 ...
yky123 發表於 2013-1-10 17:40


你好  國內 gfw 應還沒封static key  openvpn  我們幫強國人翻牆网站还是改用static key  

看你的 config 欠了一些設定

redirect-gateway def1

本來是server push this config to client

但 static key openvpn server & client 大家都是等同沒給对方指令要自己加上

試試加上可不可
作者: lttliang    時間: 2013-2-5 23:30

本帖最後由 lttliang 於 2013-2-5 23:33 編輯

要过年了,告诉大家一个好消息,TCP 3389 port用左半个月,终于在今晚正式被封掉了 我又重新换了个新的port才联上去



歡迎光臨 電訊茶室 (http://telecom-cafe.com/forum/) Powered by Discuz! 7.2