homeinns

共慘黨的網絡警察太聰明啦，居然能夠利用 OpenVPN 起動時那霎那間的 TLS HandShake 來作出封殺。，實在太聰明啦， 他們應該在那幾千億的 “為穩”費裏，分到不少油水啦。 （Homeinns 在國内繳付的薪俸稅就是給共匪做出網絡封鎖用，但又要花費不少的時間和精力去 “破網翻墻”， 中國的寶貴資源就是花費在這些 “内耗”上）

“最終發現封鎖技術建基於OpenVPN PKI模式下TLS Handshake過程的特徵。”

謝謝 C-Hing 的 UpDate information， 好彩我香港老家的 DD-WRT OpenVPN Server 是使用 Static Key Login 的， 沒有這個 TLS Handshake過程， 因此 “共匪” 的網絡警察是 Detect 不到的， 而且是共享 Port 443 這個網上商貿專用的 Port， “共匪”是絕對不敢封殺 Port 443 的， 但現在不是 Port 的問題， 是起動時那霎那間的 TLS HandShake 露餡 而引致封殺。

DD-WRT OpenVPN Server 使用的 Multi-Cert， 提供 Multi-Client（s) 的 同時 Login 的設定太複雜，Homeinns 還是駕馭不了，因此在沒有辦法下才採用 Single User 的 Static Key Login 辦法。 （那就是説，一條褲子，在同一個時間内，只能夠一個人來穿， 不能夠多人同時穿這一條褲子 （OpenVPN Server））。

請問一下，如果要避免起動時那霎那間的 TLS HandShake 露餡 而引致封殺， 下面這些不同種類的 VPN 有沒有這個 “露餡”TLS HandShake 呢 ？？？
（1） SSL VPN  （使用 https://www.XXXXXX.com 來 Login 破網翻墻的 VPN）

（2） SSTP VPN (最新款的 Microsoft 標準的 VPN， 要 Window 7 内纔有這個功能的 VPN）， MikroTik 的 Soft-Router 内建有這個 SSTP VPN Server 的功能的。

（3） L2TP VPN  （在 MikroTik / PfSense 和他某些 Soft-Router 也内建有這個 L2TP VPN Server 的功能的。）


看來，我們這一幫破網翻墻的老雀，要儘快開發下一代破網翻墻用的 VPN， 與時並進，才能夠不斷的創新，逃出“共匪”的現代資訊長城，接受來自互聯網的最新的反動資訊和反動思潮。

homeinns

我去請教 Google 老師， Key-Word = ipip tunnel
但 Google 老師提供下面這些極爲高深的回復， 我看不懂。

要自己起一台 RoS Soft-Router 來實戰演練一下，才能夠明白 Google 老師下面的所言。

+++++++++++++++++++++++++++++++++++++++++++++++++++
IPIP 隧道
Document revision: 1.1 (Fri Mar 05 08:25:43 GMT 2004)
Applies to: MikroTik RouterOS V2.9
基本信息
IPIP隧道是使用在两个路由器间对IP数据包进行封装的简单协议，IPIP隧道接口会像一个物理接口出现在接口列表中，许多路由器，包括Cisco和基于Linux基本支持该协议。这个协议使多个网络分布成为可能。
IP隧道协议可用到下面的网络情况 ：
" 通过在Internet上隧道建立企业网
" 使用源路由的反向
快速设置向导
通过一个IPIP隧道在两个MikroTik路由器之间连接，路由器的IP地址为10.5.8.104和 10.1.0.172, 使用IPIP隧道的地址为10.0.0.1和10.0.0.2，设置如下：
" 在IP地址为10.5.8.104的路由器上配置：
1. 添加一个IPIP接口 (默认的名称为ipip1):
[admin@10.5.8.104] interface ipip> add local-address=10.5.8.104 \remote-address=10.1.0.172 disabled=no
2. 添加一个IP地址在ipip1 接口上:
[admin@10.5.8.104] ip address> add address=10.0.0.1/24 interface=ipip1
" 在IP地址为10.1.0.172的路由器上配置：
1. 添加一个IPIP接口(默认名称为ipip1):
[admin@10.1.0.172] interface ipip> add local-address=10.1.0.172 \remote-address=10.5.8.104 disabled=no
2. 添加一个IP地址在ipip1接口上:
[admin@10.1.0.172] ip address> add address=10.0.0.2/24 interface=ipip1
" Packages required: system

IPIP设置
操作路径: /interface ipip
IPIP隧道可以运行在任何IP传输的连接中。每一个IPIP隧道接口只能连接一个远程符合配置的接口。一个路由器可以添加无限个IPIP隧道。
属性描述
name (名称; 默认: ipipN) – 接口参考名
mtu (整数; 默认: 1480) – 最大传输单元。设置为1480bytes是为避免数据包冲突。设置为1500bytes可能会出现网络异常。
local-address (IP 地址) – 在路由器上的本地地址，通过IPIP传输到远程的主机。
remote-address (IP 地址) – 已经配置了相应协议的远程路由器的IP地址。
注
使用 /ip address add 命令给IPIP接口分配一个IP地址。
在这个接口上没有验证或是静态情况，接口的带宽占用可用通过monitor 命令在interface目录可用监视。
MikroTik RouterOS IPIP隧道已经和Cisco 1005测试通过。Cisco 1005配置样本如下：
interface Tunnel0
ip address 10.3.0.1 255.255.255.0
tunnel source 10.0.0.171
tunnel destination 10.0.0.204
tunnel mode ipip
应用实例
假设我们想在路由器R1和R2之间建立一个IPIP隧道。
首先，我们需要配置IPIP接口和添加IP地址。
路由器R1配置如下：
[admin@MikroTik] interface ipip> add
local-address: 10.0.0.1
remote-address: 22.63.11.6
[admin@MikroTik] interface ipip> print
Flags: X - disabled, R - running
# NAME MTU LOCAL-ADDRESS REMOTE-ADDRESS
0 X ipip1 1480 10.0.0.1 22.63.11.6

[admin@MikroTik] interface ipip> en 0
[admin@MikroTik] interface ipip> /ip address add address 1.1.1.1/24 interface=ipip1
R2配置如下：
[admin@MikroTik] interface ipip> add local-address=22.63.11.6 remote-address=10.
0.0.1
[admin@MikroTik] interface ipip> print
Flags: X - disabled, R - running
# NAME MTU LOCAL-ADDRESS REMOTE-ADDRESS
0 X ipip1 1480 22.63.11.6 10.0.0.1

[admin@MikroTik] interface ipip> enable 0
[admin@MikroTik] interface ipip> /ip address add address 1.1.1.2/24 interface=ipip1
现在两个路由器可用互相ping通对方：
[admin@MikroTik] interface ipip> /ping 1.1.1.2
1.1.1.2 64 byte ping: ttl=64 time=24 ms
1.1.1.2 64 byte ping: ttl=64 time=19 ms
1.1.1.2 64 byte ping: ttl=64 time=20 ms
3 packets transmitted, 3 packets received, 0% packet loss
round-trip min/avg/max = 19/21.0/24 ms
[admin@MikroTik] interface ipip>