lttliang

回復  lttliang

用PPTP嘛！不知道用MikroTik的PPTP是否有用呢？
角色 發表於 2013-1-4 13:39

    国内同胞话用ipip tunnel可以防止被封，你们用ROS既就可以了，但我冇用ROS

tomlee0101

是否指无需ID与password的静态key?
lttliang 發表於 2013-1-4 14:46

I believe so.... There was no detailed explanation at the original article.

I think the suggested resolution is referring to the field  "TLS Auth Key " at DD-WRT OpenVPN configuration screen.

I had tried the corresponding configration / OpenVPN connection and routing etc. successfully, but I could not prove/test if it can resolve GFW針對OpenVPN霎那間的 TLS HandShake 露餡, 而引致進行的網絡封殺..

雯雯

回復 16# lttliang

lttliang兄, 可否指教一下ipip tunnel?

tomlee0101

回復  lttliang

lttliang兄, 可否指教一下ipip tunnel?
雯雯 發表於 2013-1-4 15:42

   x2 ..  

   interested as well...

homeinns

我去請教 Google 老師， Key-Word = ipip tunnel
但 Google 老師提供下面這些極爲高深的回復， 我看不懂。

要自己起一台 RoS Soft-Router 來實戰演練一下，才能夠明白 Google 老師下面的所言。

+++++++++++++++++++++++++++++++++++++++++++++++++++
IPIP 隧道
Document revision: 1.1 (Fri Mar 05 08:25:43 GMT 2004)
Applies to: MikroTik RouterOS V2.9
基本信息
IPIP隧道是使用在两个路由器间对IP数据包进行封装的简单协议，IPIP隧道接口会像一个物理接口出现在接口列表中，许多路由器，包括Cisco和基于Linux基本支持该协议。这个协议使多个网络分布成为可能。
IP隧道协议可用到下面的网络情况 ：
" 通过在Internet上隧道建立企业网
" 使用源路由的反向
快速设置向导
通过一个IPIP隧道在两个MikroTik路由器之间连接，路由器的IP地址为10.5.8.104和 10.1.0.172, 使用IPIP隧道的地址为10.0.0.1和10.0.0.2，设置如下：
" 在IP地址为10.5.8.104的路由器上配置：
1. 添加一个IPIP接口 (默认的名称为ipip1):
[admin@10.5.8.104] interface ipip> add local-address=10.5.8.104 \remote-address=10.1.0.172 disabled=no
2. 添加一个IP地址在ipip1 接口上:
[admin@10.5.8.104] ip address> add address=10.0.0.1/24 interface=ipip1
" 在IP地址为10.1.0.172的路由器上配置：
1. 添加一个IPIP接口(默认名称为ipip1):
[admin@10.1.0.172] interface ipip> add local-address=10.1.0.172 \remote-address=10.5.8.104 disabled=no
2. 添加一个IP地址在ipip1接口上:
[admin@10.1.0.172] ip address> add address=10.0.0.2/24 interface=ipip1
" Packages required: system

IPIP设置
操作路径: /interface ipip
IPIP隧道可以运行在任何IP传输的连接中。每一个IPIP隧道接口只能连接一个远程符合配置的接口。一个路由器可以添加无限个IPIP隧道。
属性描述
name (名称; 默认: ipipN) – 接口参考名
mtu (整数; 默认: 1480) – 最大传输单元。设置为1480bytes是为避免数据包冲突。设置为1500bytes可能会出现网络异常。
local-address (IP 地址) – 在路由器上的本地地址，通过IPIP传输到远程的主机。
remote-address (IP 地址) – 已经配置了相应协议的远程路由器的IP地址。
注
使用 /ip address add 命令给IPIP接口分配一个IP地址。
在这个接口上没有验证或是静态情况，接口的带宽占用可用通过monitor 命令在interface目录可用监视。
MikroTik RouterOS IPIP隧道已经和Cisco 1005测试通过。Cisco 1005配置样本如下：
interface Tunnel0
ip address 10.3.0.1 255.255.255.0
tunnel source 10.0.0.171
tunnel destination 10.0.0.204
tunnel mode ipip
应用实例
假设我们想在路由器R1和R2之间建立一个IPIP隧道。
首先，我们需要配置IPIP接口和添加IP地址。
路由器R1配置如下：
[admin@MikroTik] interface ipip> add
local-address: 10.0.0.1
remote-address: 22.63.11.6
[admin@MikroTik] interface ipip> print
Flags: X - disabled, R - running
# NAME MTU LOCAL-ADDRESS REMOTE-ADDRESS
0 X ipip1 1480 10.0.0.1 22.63.11.6

[admin@MikroTik] interface ipip> en 0
[admin@MikroTik] interface ipip> /ip address add address 1.1.1.1/24 interface=ipip1
R2配置如下：
[admin@MikroTik] interface ipip> add local-address=22.63.11.6 remote-address=10.
0.0.1
[admin@MikroTik] interface ipip> print
Flags: X - disabled, R - running
# NAME MTU LOCAL-ADDRESS REMOTE-ADDRESS
0 X ipip1 1480 22.63.11.6 10.0.0.1

[admin@MikroTik] interface ipip> enable 0
[admin@MikroTik] interface ipip> /ip address add address 1.1.1.2/24 interface=ipip1
现在两个路由器可用互相ping通对方：
[admin@MikroTik] interface ipip> /ping 1.1.1.2
1.1.1.2 64 byte ping: ttl=64 time=24 ms
1.1.1.2 64 byte ping: ttl=64 time=19 ms
1.1.1.2 64 byte ping: ttl=64 time=20 ms
3 packets transmitted, 3 packets received, 0% packet loss
round-trip min/avg/max = 19/21.0/24 ms
[admin@MikroTik] interface ipip>

雯雯

回復 20# homeinns

等我今晩將部RB1100拿回宿舍, 趁這個weekend同時用宿舍部RB493G試試.

tomlee0101

我去請教 Google 老師， Key-Word = ipip tunnel
但 Google 老師提供下面這些極爲高深的回復， 我看不懂。
...
homeinns 發表於 2013-1-4 15:53

lttliang

回復  lttliang

lttliang兄, 可否指教一下ipip tunnel?
雯雯 發表於 2013-1-4 15:42

    我都不识，是在QQ群里的一些人说的，你地有linux基础都睇睇唔明既话，我就更加唔可能睇明白了
如果成功既话，放个教程出来呀

tomlee0101

改port number呢?
角色 發表於 2013-1-3 20:48

   

May possibly work for a few days..

这次openvpn也受影响严重，即使是自己VPS搭建的OpenVPN在正常使用一段时间后可也能就会被封锁端口，然后切换OpenVPN为其他端口连接时又恢复正常，不过使用一段时间还可能被封锁，所以说其应该是根据某些特征封锁，并且GFW应该有自动学习和记忆功能。

Source article :
http://igfw.net/archives/12526

角色

就是他们看不到你在OpenVPN里搞什么东西，所以block你的去的IP, Port Number。

如果你用PPTP的话，因为他们可以知道你们在里面做什么说什么，所以不理你。

跟据楼主说，现在是根据packet的特征，来判定是否OpenVPN，而不是用port number （443 TCP），所以你就算用其他port number，他们的machine也检测出来。

那么一般商业的VPN用什么呢？SSL VPN听说都有问题。那么用回以前的IPSec吗？

Shenzhen_on9

IPIP Tunnel - just means IP within IP. I haven't used it, but the concept is simple.
Please see the following Wiki.
http://en.wikipedia.org/wiki/IP_in_IP

角色

回復 26# Shenzhen_on9

有什么好处呢？没有encryption，那么其他人很容易hack。

雯雯

回復 27# 角色

好處係不像PPTP那樣容易被block.

角色

但是我认为所有packet都会被监控的对象！但是他们特别针对VPN，因为他们知道一般人的VPN，如PPTP等，因为他们可以很轻易解开，看到里面的内容，所以就给你过，不然，特别一些商业都很少用的VPN，如OpenVPN, 既然他们解不开就不让过。

不知道IP-in-IP效果是怎样？

Shenzhen_on9

角色兄.

To my understanding. IPIP tunnel doesn't involve data encryption. In Linux, you can use the command "iptunnel" to manage the tunnels.

### Establish Tunnel: [root@callisto:~#] iptunnel -?Usage: iptunnel { add | change | del | show } [ NAME ] [ mode { ipip | gre | sit } ] [ remote ADDR ] [ local ADDR ] [ [i|o]seq ] [ [i|o]key KEY ] [ [i|o]csum ] [ ttl TTL ] [ tos TOS ] [ nopmtudisc ] [ dev PHYS_DEV ]

       iptunnel -V | --version



Where: NAME := STRING

       ADDR := { IP_ADDRESS | any }

       TOS  := { NUMBER | inherit }

       TTL  := { 1..255 | inherit }

       KEY  := { DOTTED_QUAD | NUMBER }

IP-IP Tunnel
=========
Tunneling is a somewhat misleading term; there is nothing to actually "dig" through. Network tunnels consist only of two endpoints (an encapsulator and a decapsulator), gateways, a passenger, and a transport protocol. Granted, these are point-to-point links. In between, ordinary destination prefix-based routing and best-effort delivery over IP infrastructures occurs.

In the case of IP-IP tunneling (RFC 1853, RFC 2003), an IP datagram (passenger) travels encapsulated in another IP datagram (transport). The inner IP header is not changed by the encapsulator, except to decrement the Time To Live (TTL) by 1 if the tunneling is carried out as part of forwarding the datagram. The decapsulator does not alter the TTL value, though. An encapsulator must not encapsulate an inner datagram with TTL=0; and vice versa, if after decapsulation the inner TTL equals 0, the decapsulator must discard the datagram.

There is no tunnel management besides the usual Internet Control Message Protocol (ICMP) mechanisms. Obvious applications are policy routing, multicasting and tunneling of RFC 1918 address space, connecting discontinuous subnetworks, providing multiprotocol transport, and overcoming hop-count limits of certain protocols. However, IP-IP tunnels don't work from behind Network Address Translation (NAT) gateways. RFC 2003 does not specify an authentication mechanism; however, header authentication could be used in between the original inner and transport outer header.

IP-IP tunneling is supported by Linux and all BSD operating systems. They are not necessarily compatible with the Cisco IP-IP tunnel implementation. Cisco has introduced an authentication option. Take a look at the article "Configuring Logical Interfaces".

You can refer to the following eTutorial for the details.

http://etutorials.org/Networking ... tures/IP-IP+Tunnel/