電訊茶室 - Powered by Discuz! Board

標題: 在大陆使用PPTP VPN的发现——墙叔在看你的内容（怎样处理？） [打印本頁]

作者: 角色 時間: 2018-2-11 10:00 標題: 在大陆使用PPTP VPN的发现——墙叔在看你的内容（怎样处理？）

可能大家都知道PPTP VPN如果上到，墙叔都在打开你的packets，检查里面的内容，有的时候看，有的时候不看。如果他不看时（可能忙别的IP），那么你几乎能看到香港所有信息（facebook，马会），但是如果他在看时，有些网站是过不去的（如facebook），其他的网站都正常浏览。

如果你遇到这个情况，你的PPTP Tunnel里再建立另外一条tunnel，如L2TP over IPSec，就非常正常。可能系统只解开PPTP一层tunnel，而没有再往下解，所以“L2TP over IPSec” tunnel over “PPTP” tunnel。

又人会问，那么直接用L2TP over IPSec不是简单，问题就来，因为有的时候L2TP over IPSec连不上，估计墙叔在monitoring，见到就dropped。如果你遇到这种情况，可以尝试上面的方法。

作者: vpn-learner 時間: 2018-2-12 00:33

Interesting! 有没有具体的参考方法？！是否必须用routeros 才能办到？一般的router做不到呢？
我第一个反应就如你所说用得了L2TP，何必要PPTP Tunnel里再建立另外一条tunnel？一般情况L2TP连不上时， PPTP 也都连不上的？？！

作者: 角色 時間: 2018-2-12 01:07

不是的。两边routers（RouterOS）我用PPTP连起来，然后用我的MacBook的L2TP over IPSec再连香港的VPN server（CCR1009).

L2TP over ISPec连不上，而PPTP很多时候都可以。

作者: 角色 時間: 2018-2-17 14:11

本帖最後由角色於 2018-2-17 14:12 編輯

今天2018-2-17，又再出现我的PPTP link to HK又被监控，于是facebook上不了，其他都没有问题，于是在在PPTP link （router to router），我的notebook再拨L2TP over IPSec后就没有问题。

过一个大约半个小时，就不需要L2TP over IPSec，说明什么，就是大家的PPTP link去香港，墙叔会有时监控你的link一段时间就离开，一般都是半个小时，因为没有发现什么，于是系统有转到监控别的PPTP link了！

为什么我用PPTP？英好连，用L2TP over IPSec有的时候连不上，但是在PPTP里每次都能连上。

作者: milanolarry 時間: 2018-2-17 18:07

facebook 已經小事，試下睇發倫公、鹿死、講毒等等，睇祥叔同祥嫂有乜反應。

作者: 角色 時間: 2018-2-17 20:13

本帖最後由角色於 2018-2-18 02:17 編輯

我觉得自己看就可以，不要转发。不然。。。他们会找上门。（你想想如果你只看什么都不做传播，他找你干嘛？）

所以我们用VPN，只要抱着这个原则（只看不传播！！！），不要做一些危害国家的行为！

作者: Skypeus 時間: 2018-2-17 23:53

回復 4# 角色

[attach]3905[/attach]

@# 看来天朝对跨境的VPN服务是严加管控了，难怪之前用的几个VPN现在都用不了了

作者: 角色 時間: 2018-2-18 10:05

facebook 已經小事，試下睇發倫公、鹿死、講毒等等，睇祥叔同祥嫂有乜反應。 ...
milanolarry 發表於 2018-2-17 18:07

所以遇到这个情况，那么就多加一层VPN，例如L2TP over IPSec就可以。

作者: Skypeus 時間: 2018-2-18 11:29

iOS手机如何配置L2TP over IPSec？

作者: 角色 時間: 2018-2-18 11:35

本帖最後由角色於 2018-2-18 11:38 編輯

iOS里选L2TP (不要选IPSec）
Server：服务器hostname or IP address
Account：L2TP login in name
Password: L2TP login in password
Secret: IPSec key

不过有的时候ISP会block出境外的connection。所以一般最好要有几手准备。

作者: Skypeus 時間: 2018-2-18 11:53

回復 10# 角色

好的，谢谢

作者: 角色 時間: 2018-2-19 12:09

本帖最後由角色於 2018-2-19 17:14 編輯

今天又出现我描述的问题，需要用L2TP over IPSec就把问题解决。

就算不用L2TP over IPSec，改用PPTP也可以。就是“PPTP VPN” over “PPTP VPN”，就是双tunnels，就畅顺了。

作者: 角色 時間: 2018-2-22 14:13

在某些地方，因为太多人VPN到香港，所以系统都检查得非常密，非常深！就是多层分析（都是估计），在VPN tunnel 里的data再第二层分析，例如用L2TP over IPSec，墙叔系统都会drop。

在远离那些地区，“L2TP over IPSec” over PPTP VPN tunnel是不断的。

如果单是L2TP over IPSec，有些时候会被block的。

作者: milanolarry 時間: 2018-2-22 20:54

我有時會用 shadowvpn (吾係 shadowsocks)，可能因為冇乜人用，每次都非常順。最大問題係響 windows 既 support 非常之差，Android 就還可以。

作者: 角色 時間: 2018-2-22 21:35

回復 14# milanolarry

CHing是否有用过vmess？

作者: milanolarry 時間: 2018-2-23 19:05

SS 用吾到 vmess，我之前都講過我對v2ray吾多信任

作者: 角色 時間: 2018-2-23 19:34

在我来说，能用就可以。如果用Apple iOS的VPN就更加好！（如果能用的话）

作者: tomleehk 時間: 2018-2-23 23:42

本帖最後由 tomleehk 於 2018-2-24 17:54 編輯

個人認為如果要應對牆嘅監控，最可靠方案喺起一隻webserver行https，再用ss-server 加simple-obfs 行tls obfs，設定 simple-obfs 用 443 port 分流去ss-server 同 webserver

你用ss-client (行tls obfs) 有正確ss密碼就可以經server 嘅443 port分流去ss-server 作正常翻牆，其他嘅嘢會分流去https server

https://zengwh.com/blog/shadowsocks-with-obfs/

所以對於牆嚟講只會見到一隻真實存在嘅https 網頁同加密咗嘅正常https 串流，串流其實會先喺ss層面加密，再用https 包封同加密，無咁易被睇真實內容，老實講，每日出出入入嘅https 串流多到數唔到，唔可能對每個https串流都去作深入研究同分析，解開packet技術上亦有難度

再穩陣d, 可以令ss-server 每日自動轉ip address, 日日都走鬼

但https server需要嘅cert如果喺免費嘅暫時揾到只得90日有效，比較麻煩要每90日更新一次，當然唔更新cert未必影響翻墙，只喺混淆效果未喺最理想

下一步研究吓有無方法可以自動更新d cert

作者: milanolarry 時間: 2018-2-25 23:33

本帖最後由 milanolarry 於 2018-2-25 23:45 編輯

我都唸過 e 樣野，我仲考慮過抄埋香港中聯辦個網頁黎做 http 個門面 (仲要聲明係黨員 log in)。祥叔查起上黎可能會以為係自已友。
多口問句，有冇可能同一個 ss server，開兩個 port，一個就有 obfsproxy 掩護，另一個就冇？

作者: 角色 時間: 2018-2-25 23:45

回復 18# tomleehk

回復 19# milanolarry

看来两位CHings对VPN高级用家，而我今晚只能用SSTP，而不用L2TP over IPSec，PPTP VPN clients，不知道是否又与上面开会有关？

作者: milanolarry 時間: 2018-2-25 23:47

我連最基本既網絡運作都未搞清楚，只係一步一步咁跟人地既教學，高級用家真係講吾上。

作者: 角色 時間: 2018-2-25 23:57

不管怎样，起码这里提供一处我们交流VPN技术的地方，不像友台那里，动不动就ban，members用心血写的帖子就白写了！！！（所以我在那里说简单说说方法，具体怎样已经很少在那里说了！）

作者: vpn-learner 時間: 2018-2-26 00:06

回復 tomleehk

回復 milanolarry

看来两位CHings对VPN高级用家，而我今晚只能用SSTP，而不用L2TP ove ...
角色發表於 2018-2-25 23:45

角色兄，现在华东是否不能用 PPTP 和 L2TP 翻墙？那么 SS 是否正常呢？这两天刚回了香港，也不知道珠三角是否可以翻墙？！！过几天会去试一试！

作者: 角色 時間: 2018-2-26 00:32

应该这样说，是我香港某台服务器被墙叔订上，PPTP，L2TP over IPSec都不能过，而SSTP就没有问题，可能宇TCP 443 port有关。SS能正常上，没有问题。

作者: tomleehk 時間: 2018-2-26 00:50

本帖最後由 tomleehk 於 2018-2-26 03:13 編輯

多口問句，有冇可能同一個 ss server，開兩個 port，一個就有 obfsproxy 掩護，另一個就冇？

milanolarry 發表於 2018-2-25 23:33

唔記得同一個ss-server可唔可以同時用兩個 listening port, 亦無刻意研究

要做到咁嘅效果, simple-obfs 要行 standalone mode用一個 listening port, ss-server用另一個 listening port

例如 webserver 用 port 8080 去行 https,
而ss-server 用 port 8443, 當然可以用嚟收 ss-client (用 port 8443) 嘅番墙工作
simple-ofbs 行 standalone mode 用 port 443, 用嚟收 ss-client (用 port 443, tls-obfs)嘅番墙工作, ss-client密碼如果正確嘅會自動轉發去 port 8443 俾 ss-server番墙, failover 嘅轉發去 port 8080 俾 websphere

参考下面對應嘅指令
obfs-server -s server_ip -p 443 --obfs tls -r 127.0.0.1:8443 --failover 127.0.0.1:8080

但我喺openwrt/lede平台試過, ss-server同 simple-obfs無法喺boot機一齊成功自動啟動, 所以而家simple-obfs只能行plug-in mode, listening port 443, 而ss-server 嘅listening port喺random嘅

作者: tomleehk 時間: 2018-2-26 01:00

本帖最後由 tomleehk 於 2018-2-26 11:23 編輯

我仲考慮過抄埋香港中聯辦個網頁黎做 http 個門面 (仲要聲明係黨員 log in)。
milanolarry 發表於 2018-2-25 23:33

小心呢樣嘢反而引人注意

用 https webserver 嚟做 ss-server 嘅 obfs (不過只能行plug-in mode)嘅工作基本上已經完成, 而家研究緊點樣可以令server自動更新 https webserver 嘅免費cert, 唔喺好想吓吓要抄上去

作者: tomleehk 時間: 2018-2-26 01:10

本帖最後由 tomleehk 於 2018-2-26 03:17 編輯

回復 tomleehk

回復 milanolarry

看来两位CHings对VPN高级用家，而我今晚只能用SSTP，而不用L2TP over IPSec，PPTP VPN clients，不知道是否又与上面开会有关？

角色發表於 2018-2-25 23:45

大家研究同討論吓技術, 個人仍在努力研究同學習中

不過上面每次開會, 加強監控同干擾都喺指定嘅動作

作者: 角色 時間: 2018-2-26 09:12

今天PPTP和L2TP over IPSec都不能用，只有SSTP能用（估计是TCP 443 port有关），很久以前也发生过这种情况。

作者: lookforyou 時間: 2018-2-26 10:10

要两会了，又得老实的当吃瓜群众了

作者: tomleehk 時間: 2018-2-26 10:54

本帖最後由 tomleehk 於 2018-2-26 11:24 編輯

個人只用443,80,8443,8080呢幾個port, 一般比較靠得住, 就算大時大節, 網管很少會搞呢幾個port

作者: 角色 時間: 2018-2-26 11:00

回復 29# lookforyou

我们只是科学上网，找找一些技术的资料，为什么就那么难呢？一般人用PPTP，L2TP，听说深圳有些公司用IPSec VPN都不行！！！

没有办法了，那么只能用vmess，ss，sstp这一类的东西了！！！

作者: Skypeus 時間: 2018-2-26 11:23

天朝把平民想用的VPN连接方式都“斩尽杀绝”，在这里想自由上网上网是有点难的。

作者: tomleehk 時間: 2018-2-26 11:41

本帖最後由 tomleehk 於 2018-2-26 11:44 編輯

大隱隱於市

所以個人首選用https走443 port做掩飾,大時大節都比較可靠用到,當然絶到行白名單制就無乜計

但難免速度上要妥協,同一設備情況下,速度唔會最快

作者: milanolarry 時間: 2018-2-26 13:51

本帖最後由 milanolarry 於 2018-2-26 13:54 編輯

角色兄，现在华东是否不能用 PPTP 和 L2TP 翻墙？那么 SS 是否正常呢？这两天刚回了香港，也不知 ...
vpn-learner 發表於 2018-2-26 00:06

ss 響珠三角除左19大，一直冇問題

作者: milanolarry 時間: 2018-2-26 14:02

本帖最後由 milanolarry 於 2018-2-26 14:06 編輯

前排去左一間響廣東省既酒店住左兩晚，間野一向住開，今次發現最大既分別係酒店既 wifi 已經再吾係一層樓一個，所有人都用同一個，而係落重本，一間房一個 wifi，仲要用之前一定要輸入電話號碼，攞到個識別碼先可以用。即係話就算用 wifi，爺爺都可以知到邊個打邊個，去過邊度，睇過 D 乜。有冇玩攀牆當然都逃吾出 grandpa 既法眼啦。死未？

作者: 角色 時間: 2018-2-26 14:51

如果是这样，他整个思路都是要知道谁在用！

所以很多时候办事都要二代身份证！手机是实名登记，宾馆也要！是我试过有些地方，因为读不出来我的回乡卡，就不让我住！！！淘宝，支付宝用实名，办什么时候都要！！！

作者: 角色 時間: 2018-2-26 22:12

改了IP，现在所有protocols都可以用了！

我估计我之前通过香港VPN下载很多材料，大约50G（其实可以通过大陆下也可以，因为都是百度云那里），估计可能这个原因被Big6订上。所以我在想，是否应该用PBR，大陆走大陆Gateway，其他走香港，那么Big6就不会那么容易发现我们。（这个都是假设）

作者: tomleehk 時間: 2018-2-26 22:55

本帖最後由 tomleehk 於 2018-2-27 00:18 編輯

1) 唔好引人注目, 高流量難免容易中招
易地而處, 我喺網管都會留意呢d情況, 有懷疑就針對性再深入分析
估計網管累積分析一段時間後就會將可疑ip放入ip黑名單,大時大節就果斷落閘

2) 我嘅應對就喺器材每日自動轉新ip,每日走鬼, 網管懷疑得嚟server都已經閃咗去第二個ip

作者: milanolarry 時間: 2018-2-26 23:52

大隱隱於市

所以個人首選用https走443 port做掩飾,大時大節都比較可靠用到,當然絶到行白名單制就無乜計

...
tomleehk 發表於 2018-2-26 11:41

443 已經畀 sstp 用左

作者: tomleehk 時間: 2018-2-27 00:02

443 已經畀 sstp 用左
milanolarry 發表於 2018-2-26 23:52

有限資源下就要自己取捨, 好彩嘅ISP如果可以俾多一個真ip, 就可以多一個443 port用

作者: 角色 時間: 2018-2-27 00:49

回復 40# tomleehk

我都是这样用，有两个真IP，那么有两个443 port用。

作者: 角色 時間: 2018-2-27 10:55

以前我的VPN都是一直连着，但是这样做会产生一个问题就是，就是Big6会根据你连线长久，还有流量做进行深度分析，所以我觉得是：

1、VPN连线有time-out，就是没有traffic下就断开（那么你的IP连线VPN就会断很多）
2、流量分开走！这里有两个做法，就是1、分开连个AP，一个香港，一个大陆。不用香港，就要转到大陆。不过这个有点麻烦，最好有多二个选择就就Policy Route based on IP （DNS 用大陆，另外一个DNS based 用 8.8.8.8 ）

摘要：（身处大陆）
1、AP-HK (VPN HK, DNS 8.8.8.8)
2、AP-CN (全用local上网）
3、AP-CNC (科学上网，用大陆DDS)
4、AP-CNH (科学上网，用Google DNS 8.8.8.)

所有VPN香港都要有dial-on-demand，还有timeout。不知道各位CHings有什么意见呢？

作者: Skypeus 時間: 2018-2-27 11:59

回復 36# 角色

这就是天朝的“天网恢恢…………”

作者: tomleehk 時間: 2018-2-27 12:05

本帖最後由 tomleehk 於 2018-2-27 13:23 編輯

1、VPN连线有time-out，就是没有traffic下就断开（那么你的IP连线VPN就会断很多）
2、流量分开走！这里有两个做法，就是1、分开连个AP，一个香港，一个大陆。不用香港，就要转到大陆。不过这个有点麻烦，最好有多二个选择就就Policy Route based on IP （DNS 用大陆，另外一个DNS based 用 8.8.8.8 ）

角色發表於 2018-2-27 10:55

只要server固定同一ip可以長期被牆作深度分析, 我覺得作用唔大
就算你client唔連線, 牆都可以主動試探server嘅反應去分析, 而且有時VPN亦無可避免有大流量(例如要睇電視串流), 一旦被懷疑被分析甚至被放入黑名單,你之後只可以閃去另一ip

與其喺咁, 不如被懷疑被分析之前主動走鬼

作者: milanolarry 時間: 2018-2-27 13:47

server 可以走鬼， client 無得走鬼。將 client 入黑名單如何？

作者: tomleehk 時間: 2018-2-27 14:35

本帖最後由 tomleehk 於 2018-2-28 00:33 編輯

第一...client 如果喺用openwrt/lede router都可以日日轉唔同ip
第二...就算真喺有client黑名單呢樣嘢, 可以對client ip有d乜嘢嘅懲罰措施? 難道唔俾用80(http),443(https)睇外地網頁 ?

作者: 角色 時間: 2018-2-27 14:42

一般change IP是否需要更改MAC address？

作者: tomleehk 時間: 2018-2-27 14:45

一般change IP是否需要更改MAC address？
角色發表於 2018-2-27 14:42

對..當然唔包所有器材都可以用script改到

作者: 角色 時間: 2018-2-27 15:18

本帖最後由角色於 2018-2-27 15:21 編輯

那么我要写个scipt更改一下。

上次我reboot好几次都改不了，于是关机15分钟后再取IP就可以了。

作者: tomleehk 時間: 2018-2-27 23:20

本帖最後由 tomleehk 於 2018-2-28 00:32 編輯

如果唔想起web server行https走443 port做掩飾, 可以參考以下網友嘅意見

问一下，混淆过的协议现在检测率有多少？
https://www.v2ex.com/t/376651

当前网络环境，SS及SSR该怎么配置协议混淆才是最佳？
https://www.weibo.com/ttarticle/ ... 0014142890849820960

各帥各法

作者: 角色 時間: 2018-3-2 09:04

最近把所有长期接住的VPN都disabled，然后改IP，平静后，我再慢慢连上，发现
1、SSTP是比较慢，有的时候慢到不想用。
2、L2TP over IPSec就比较畅顺。
3、PPTP能用，不过不安全，完全Big6在看。

最后先选2、（L2TP over IPSec），次选是SSTP，PPTP尽量都不用。

作者: lookforyou 時間: 2018-3-2 10:15

回復 51# 角色

苹果手机因为pptp不太安全好像已经不支持了

作者: tomleehk 時間: 2018-3-2 10:18

本帖最後由 tomleehk 於 2018-3-2 10:44 編輯

1、SSTP是比较慢，有的时候慢到不想用。
2、L2TP over IPSec就比较畅顺。

角色發表於 2018-3-2 09:04

ISP 亦可能利用Qos, 因應唔同嘅protocol或者唔同嘅port而放唔同嘅速度
呢個亦喺另一個原因我認為行最大路嘅http或者https比靠可靠

歡迎光臨電訊茶室 (http://telecom-cafe.com/forum/)