另外一種挺不錯的破網翻墻(越獄)方案 SSL VPN

homeinns

作爲一個常駐在國内居住和工作的港燦,VPN 是一種不可缺少的生活必需品,要不然的話,靈魂就會很飢餓.

我們通過多年來的努力和實戰的演練,基本上已經掌握了 PPTP VPN 和 OpenVPN 這兩种破網翻墻(越獄)的辦法.

有鑒于通過我們多年來的努力推廣(一人一 VPN Server 的運動),現在,最簡單和最容易設定的 PPTP VPN 破網翻墻(越獄)的辦法已經深入民間(至少在常駐在國内工作的港燦社群裏已經非常流行),因此使用 PPTP VPN 破網翻墻(越獄)的人越來越多,大有螞蟻和蝗蟲一樣多如牛毛的數量,在港燦的集中地(珠三角的一帶),晚高峰的時間 Port 1723 基本上是網絡大堵車,因爲太過份啦,共慘黨的網絡警察要向阿爺交差,因此有一些地方的網絡警察封鎖 Port 1723.

對於我來説,沒有問題,因爲我香港老家的 DD-WRT Server 内建有 OpenVPN Server 是使用浮動自選 Port 的(我是自選網上金融商貿用的 Port 443,因爲共慘黨的網絡警察因爲投鼠忌器,絕對不夠膽封殺網上金融商貿專用的 Port 443 的.

為了對破網翻墻(越獄)更加有保障, 開發第三种不同類型的備用 VPN 種類是十分有必要的,因爲 Don't put all eggs in 2 baskets only.(of course 3 baskets are much better)

最近，通過熱心網友的幫助，對 SSL VPN 破網翻墻(越獄)有第一次的接觸， Homeinns 就用我的筆杆子把我第一次試用 SSL VPN 破網翻墻(越獄)的體驗與各位網友分享：-

SSL VPN 是一種 Clientless 的 VPN， 在國内的電腦是不需要安裝任何的軟件的，（但 Internet Explorer 要有 ActiveX 的功能的）

Step 1：-  登入香港老家的 SSL VPN Server （這位熱心網友是使用高檔次的商用 Vigor 品牌具有 SSL VPN 功能的 Router）
Internet Explorer 就會顯示 Trusted Certificate 的錯誤，但只要 Accept 就可以（可能 Server Certificate 還未 Set 好）

假設登入網址是  https://homeinns.dyndns.com （注意：- 是有 S 字的加密登入）
假設 User Name = homeinns        Password = XXXXXX

Step 2：- 登入成功后就會顯示
You have successfully logged in, you are granted the following previleges - SSL Tunnel
Use SSL  Tunnel 可以選擇 2种方法：
（1） 使用 ActiveX  或者 是使用   （2） Java Applet
因爲我辦公室的電腦比較新款，所以使用 ActiveX 方法來連接。
（它就會自動安裝一個 ActiveX 的 DrayTunnel.cab 的 ActiveX Control）
要選擇 Change the Default Route to be the remote Gateway (把破網翻墻(越獄)的數據驅趕去香港的老家才上網以逃避共慘黨的網絡警察）

Step 3：- 連接成功后，就會出現一個 DraySSL Tunnel Client 的圖像 （與我們很熟悉的 PPTP-VPN 的 Client 圖像十分類似）

完成上面的 3個 Steps， 就跟我們過去的 PPTP-VPN　網翻墻(越獄)十分類似。

恭喜你，已經可以翻越國内的網絡封鎖啦，　水果，髮輪宮，大幾圓，YouTube, FaceBook, Jockey Club, 141, 169 全部沒有問題。

但不知道什麽原因，在我的辦公室（國内的農村地區）SSL VPN Link 常常斷線（但　PPTP VPN Link 就沒有問題）

讓我今天晚上回家，用我國内家中的舊石器年代的電腦，使用　Java Link 再一次測試后，再向廣大的網友匯報。


看來　SSL VPN 的使用並不是太困難（但不知道它的上游　Server　的設定是不是很困難呢　？？　Lu-Lu 能否設定呢 ??）

而且内建有　SSL VPN Server　的　Router，大都是商業級的商用　Router，非常昂貴。

SSL VPN Router 有什麽比較便宜的選擇呢　？？　（How Much $$$ ??）請有經驗的網友介紹一下。

除了硬体的　SSL VPN Router 外，有沒有可能使用一台舊石器時代的退役電腦去運行軟體的　SSL VPN Server 呢？？請有經驗的網友介紹一下。

homeinns

剛剛下班回到國内的家，馬上用那一台 24 x 365 運行的上古恐龍年代的電腦去試圖連接 SSL VPN

這台上古恐龍年代的電腦，是香港老家退役多年的電腦，為免浪費，帶來國内作為動物機使用，作爲 Server 和 BT 用。
是一台 Socket 370 P3 733 MHz 的 IBM Aptiva 2197-68V 厰機, 配 256M SDRAM + 15G ATA HDD
SiS 630 Chip-Set, On-Board SiS Video Adaptor & On-Board LAN.
運行 Window 2000 Server 軟件（因爲太舊，又沒有任何重要的 Data，因此，不設任何防毒軟件）
(但因爲是用來 24小時 BT 的動物機，我自己配了一張新高登 2手優等的 Intel 82559 Server 級的 LAN Card)

因爲還是運行 Win2000 Server SP4， Internet Explorer = IE6 (這個恐龍年代的遠古版本，其實與很多網頁已經 Not Compatible), 但用來 24小時 BT 的動物機無所謂啦，運行多年，so far so good,  厰機的質量真是與砌機不同，已經是 12嵗的高齡，還是 24 x 365 運行 Running Strong.

Homeinns 是不是非常環保呢 ？？電腦可以使用到 12嵗的高齡，還是 24 x 365 在國内的家運行（因爲國内居住的面積比香港大得多嗎）
用電腦可以用到 Software incompatible, 還是在24 x 365 使用，手提電話用到買不到電池才 Upgrade 去一台比較新的型號，那些製作大量電子垃圾的網友看到了后，有沒有慚愧呢 ？？


但很遺憾，這個上古恐龍年代的電腦連接不到上述熱心網友的 SSL VPN Server (無論是  ActiveX 還是  Java Connection), 因爲軟件實在太舊啦，根本不 Compatible.
（但該台 上古恐龍年代的電腦 使用 PPTP VPN 就絕對沒有任何的問題，因爲 PPTP VPN Client 軟件在 Window 内已經是 Build-In 的）

結論就是， 使用 SSL VPN 的國内電腦，一定要是比較新款的電腦（年齡不超過 5嵗吧），起碼是 Window XP， Internet Explorer IE7 或以上。

homeinns

下班后,在國内的家弄了一個晚上,
原來那一台恐龍年代的上古電腦 Can't find the Virtual PPP Adaptor (那就是虛擬的 LAN Card)所以出現不能連接香港熱心網友的 DrayTek SSL VPN Server.

而我辦公室那一台比較新款的 LapTop 就 Intall 有 DrayTek SmartVPN Client (Version 3.6.2),所以已經有那 Virtual PPP Adaptor.(注; 我也有一台舊的 Vigor 2200E Plus 運行 L2TP over IPSec 的 VPN, 所以要用 DrayTek SmartVPNClient 去連接,就是這個原因,我的辦公室 LapTop 内就有這個軟件)

讓我今天下班后,回到國内的家裏,在那一台恐龍年代的上古電腦裏下載並安裝DrayTek SmartVPN Client 再作測試,然後再向廣大的常駐在國内工作的香港同胞匯報,以便他們可以做出最適合的破網翻墻(越獄)的選擇.



Homeinns,現在已經玩過下面不同類別的 VPN 破網翻墻(越獄),心得匯總如下:-
PPTP VPN,好處是:-
很容易設定和使用,Lu-Lu 也行，而且非常便宜.(一台 $100-$150元的 DD-WRT Flash Router 就 OK，而且 24x365 運行非常節能， Power Consumption 少於 5 Watts）

PPTP VPN,壞處是:-
太多人使用，樹大招風（見光死），在國内一些港燦集中的地區，受到共慘黨網絡警察封殺 Port 1723




OpenVPN VPN,好處是:-
共慘黨網絡警察絕對沒有可能封殺，因爲是可以自選 Port 的 （走鬼 Port，看你怎樣封），而且使用網上金融和電子貿易的 Port 443，投鼠忌器, 更加絕對不能封殺。加上 128 Bits 的 AES 加密，破解是非常困難的。
非常便宜.(一台 $100-$150元的 DD-WRT Flash Router 就 OK，而且 24x365 運行非常節能， Power Consumption 少於 5 Watts）

Open VPN,壞處是:-
設定 OpenVPN （Both Server Side and Client Side），非常困難，普通的網絡 Lu-Lu 是很難駕馭的




L2TP over IPSec VPN,好處是:-
共慘黨網絡警察絕對沒有可能封殺，因爲是使用商業用的 IPSec Port 500 的，廣泛地使用在商業用途上，投鼠忌器，更加絕對不能封殺。加上 IPSec 的 3DES 加密，破解是非常困難的。

L2TP over IPSec VPN,壞處是:-
設定 L2TP over IPSec VPN （Both Server Side and Client Side），非常困難，普通的網絡 Lu-Lu 是很難駕馭的。
價格非常的昂貴，如果選用節能的 DrayTek 支援 L2TP over IPSec 的商用 Router （例如我那一台舊的 Vigor 2200E Plus），價格非常貴。
L2TP over IPSec VPN,最大的壞處是，穿透上游 Router 的防火墻有一定的難度，在一些國内的酒店或者一些 ISP， 這種 VPN 是穿不透它們的防火墻的。




SSL VPN,好處是:-
共慘黨網絡警察絕對沒有可能封殺，因爲 SSL VPN 是選用網上金融商貿的 Port 443 的，廣泛地使用在網上的商貿上，投鼠忌器，更加絕對不能封殺。加上 SSL VPN 的加密，破解是非常困難的。
設定非常容易，如果你使用昂貴的 DrayTek SSL VPN Router， 配合其配套提供的 DrayTek SmartVPN Client，那麽 Lu-Lu 也可以設定。

SSL VPN,壞處是:-
唯一的不好處是，價格非常的昂貴，如果選用節能的 DrayTek 支援 SSL VPN 的商用 Router，價格非常貴。
如果節省一點，用一台已經報廢的退役電腦去運行軟體的 SSL VPN Server，如果 24x365 運行，就非常浪費能源，而且設定比較困難。



所以 Homeinns 最後的結論和建議就是：-
如果是有錢 的 Lu-Lu，就購買比較昂貴的 DrayTek SSL VPN Router 配合由其配套的 SmartVPN Client 軟件去破網翻墻（越獄）

如果是窮光蛋的 Lu-Lu，就使用$100-$150元的 DD-WRT Flash Router （運行最簡單的 PPTP VPN），去破網翻墻（越獄）

如果是窮光蛋的 網絡高手，就使用$100-$150元的 DD-WRT Flash Router （運行最複雜的 OpenVPN），去破網翻墻（越獄）

Homeinns 不太建議使用 L2TP over IPSec VPN 去網翻墻（越獄），因爲其穿透上游防火墻的能力有一定的問題（也可能是 Homeinns 的網絡知識有問題），在國内很多的酒店和地方都穿不透上游的防火墻 （
但從我國内的家，利用 Vigor SmartVPN Client， 使用 DrayTek 的L2TP over IPSec VPN 連接囘我香港老家那一台 Vigor 2200E Plus 絕對沒有任何問題）

homeinns

中港 SSL VPN  破網翻強速度比拼的報告：-  （3月11日（星期日），早上 11點）

今天是星期日假期，利用一台比較新款的電腦 （其實也是老態龍鍾的 Window XP SP3 + IE7 的 LapTop 電腦），對香港熱心網友的 SSL VPN Test Accout 進行比較詳細和科學化的破網翻墻強速度比拼。

國内就利用我家裏的 中國電信的 10M Optical Fibre 寬帶/（這是在我的城市裏目前最高檔次的民用寬帶，上下在都是大約有 10M 的速度）


Speedtest without any VPN （中國電信 10M Optical Fibre 寬帶）
Speedtest without any VPN 6.38M DL,  8.94M UL



Speedtest with DrayTek SSL VPN (HKBN 1000M)
0.54M DL,  0.52M UL




一位 HKEPC 年代的受惠網友提供的 PPTP VPN (HKBN 10M)
1.08M DL,  1.13M UL



另一位 HKEPC 年代的受惠網友提供的 PPTP VPN (PCCW 6M ADSL)
0.41 DL,  0.23M UL



我自己在香港老家的PPTP VPN (PCCW 6M ADSL)
0.64 DL,  0.37M UL



另一位 HKEPC 年代的受惠網友提供的 PPTP VPN  (NWT 6M ADSL)
0.43 DL,  0.43M UL



另一位 HKEPC 年代的受惠網友提供的 USA PPTP VPN  (ComCast USA 10M iCable)
0.23 DL,  0.32M UL


得到的結論是：-
（1）那一位香港熱心網友提供的 SSL VPN， 須然在香港老家使用極爲高速度的 HKBN ISP， 但通過共慘黨網絡警察的過濾的 Bottle-Neck， 在國内的 VPN 下載速度比 PCCW 的 6M ADSL ISP 的 VPN 下載速度基本上差不了多少。

（2） 如果我使用 https://homeinns.dyndns.org   Clientless 模式 Login , 沒有問題，但非常容易斷線。 Why ？？ Why ？？ Tell me Why ??

（3） 我改用 DrayTek SmartVPN Client Version 3.6.2 連接 SSL VPN 就非常的穩定，連結半天都沒有斷綫。 穩定性與我使用多年的 PPTP VPN  和 OpenVPN 一樣的穩定。

(4) SSL VPN  是一種非常適合 “有米“ 的 Lu-Lu 用來中港破網翻墻，（DrayTek 的富貴的商用 SSL VPN Router 最好配合由原厰提供的 DrayTek SmartVPN Client。  十分穩定，沒有任何斷線的問題， 100% Fully compatible.

End of  Homeinns's detailed  SSL VPN speed test report

雯雯

回復 1# homeinns

SSL VPN Server上游設定好易, Lu-Lu都會set! SSL VPN router最便宜應該是D-Link DIR-330、ZyXEL USG 20W或Draytek Vigor 2930. 軟件版SSL VPN可以用SSL-Explorer, 不過要另外配合proxy server才做到翻牆. 我有Windows EXE版和linux幾個不同的版本, 有需要可以找我! 我之前試過裝Windows版沒有問題, 但是裝linux版就唔得, 裝linux版的成功經驗可以問ckleea兄!

雯雯

回復 1# homeinns

homeinns兄, 你亦可以裝Draytek Smart VPN client去試, support SSL VPN.

ckleea

回復 5# 雯雯


SSL-explorer is good to use. Free of charge in my case for linux. Only problem is quite old now and with no support

I have used it for few years and now using it to access Telecom-cafe. It is blocked in my office.

I can set to an even port for access. in my case, I do not use 443 but my own port. My router helps me to do the diversion.

雯雯

回復 7# ckleea

ckleea兄, 你部Netgear router也有SSL VPN功能.

ckleea

回復 8# 雯雯


    I have tried before but seems SSL-explorer fits my requirement more.

雯雯

回復 9# ckleea

如果用Netgear router的SSL VPN Tunnel功能應該也可以做到你的要求.

homeinns

homeinns兄, 你亦可以裝Draytek Smart VPN client去試, support SSL VPN.

經過這 2 天的第一次試用 SSL VPN 破網翻墻， Homeinns （一位經驗豐富的破網老鼠）都承認。
沒錯，DrayTek 的商用高檔次SSL VPN Router配合配套的DrayTek SmartVPN Client是最簡單和最容易設定的破網翻墻的方案。（只要你願意負擔DrayTek高檔商用Router的價格）

Homeinns 國内的家那一台 Window 2000 運行 IE6 的古董電腦已經是 12嵗的超高齡，
最新版本的 DrayTek SmartVPN Client  V.4.0.0.1 和 V4.0.0.5 基本上安裝不了。
就算那些比較老的V.3.6.2 和 V3.2.6 可以安裝到，但沒有 SSL VPN 的功能。（只有 PPTP， L2TP，IPSec ，沒有 SSL VPN的功能）。
但公司那一台比較新款的LapTop（其實都是老態龍鍾的Win XP SP3電腦），很奇怪安裝同一套V.3.6.2 但就有SSL VPN 功能，能夠連結到香港熱心網友的SSL VPN Server（沒有問題）

所以，我的結論是 DrayTek SmartVPN Client  的 minimum requirement 是 Win XP SP3
我的 Window 2000 是太古董， Not compatible  with DrayTek SmartVPN Client  。
而且我安裝V.3.6.2 但結果它自動 Downgrade 去 沒有 SSL VPN 的 V3.2.6 （這更加證明我的想法）

讓我在本星期六和星期日假期，把公司那比較新款  Window XP SP3 的 LapTop 帶囘國内的家，用我家那高速的 10M 寬帶，去測試那香港熱心網友的 SSL VPN Server 的真正速度和穩定性。
因爲我在公司（在農村地區，寬帶的速度不高又不太穩定）， 那香港熱心網友的 SSL VPN Server 的 HKBN 的速度不高，只有 0.2 - 0.3M 的 VPN 下載速度，我香港老家的 DD-WRT  PPTP -VPN 速度 （使用 PCCW 6M ADSL ）在同樣的中國農村的寬帶，下在速度比 HKBN 的速度更高。（高達 0.4 - 0.5M),  是 HKBN 的速度不行，還是 中國農村的寬帶速度不行呢 ？？

很奇怪，我這個 Post 一出，共慘黨的網絡警察好像馬上用自動的電腦程式（Word Filtering）Detect 到很多 敏感的字眼，  Telcom-Cafe 的 Domain 好像已經被共慘黨封殺。 （遍佈在中華大地的網友請匯報在國内不同地區的情況）

Homeinns 這一趟真是臉上貼金，承蒙共慘黨的錯愛，繼 HKEPC 被 Ban 后，不知道在 Telecom-Cafe 會不會再一次被 Ban 呢 ???? (這也證明 Homeinns 筆桿子的厲害，更加彰顯共慘黨對 VPN 破網翻墻的懼怕，尤其是那些混進 Port 443 網上的加密商業數據的破網翻墻老鼠）

雯雯

回復 11# homeinns

homeinns兄, 我現在是用PCCW 1G+HKBN 1G+HGC 30M, 而且還有兩條PPTP VPN 7x24小時connect住.

homeinns

我現在是用PCCW 1G+HKBN 1G+HGC 30M, 而且還有兩條PPTP VPN 7x24小時connect住.

哇，小師妹好勁抽哦，簡直令我震驚，你是不是吃 IT 這一行飯呢 ？？

那麽高的速度， Professional 的 Data Center 也沒有這個 Bandwidth

但他媽的，經過 共慘黨的 Filtering 和 Throttling， （人為的 Bottle Neck），
進入中國后，無論你是 6M， 1G， 10G 或者 10000000000G， 來到我的農村，最終的 VPN 下載速度，只有 0.2~0.3M 而已。

因此，對於我們這一幫常駐在國内居住和工作的港燦，香港老家的 ISP 速度是沒意義的，因爲 Bottle Neck 是在共慘黨的 Filtering 和 Throttling （與香港沒有任何的關係）

雯雯

回復 13# homeinns

我不完全算是吃IT這行飯, 我兩條PPTP VPN Tunnel是兩個不同地點connect的. 而且我不光是VPN用, 有時候我也會connect回去用slingbox或Magic TV 7000D睇電視.

homeinns

親愛的廣大網友，（尤其是那些常駐在國内工作的香港同胞，你們在香港都還有一個溫馨的家，可以很容易的設定一台 24 x 365 運行的 VPN Server 以供國内的朋友使用）

SSL VPN 又是一個很不錯的選擇，很適合 Lu-Lu （但 要比較 “有米“ 才能夠購買高檔的 SSL VPN Router）。

請看我在 1樓 到 4樓，很詳細地介紹 SSL VPN （是一個沒有受到任何商業利益干預的報道）

更加要鳴謝提供 SSL VPN Test Account 的 香港熱心網友 （Homeinns 只不過是動一動筆杆子而已）


最後在此 向 Telecom Cafe 的高手提出一些比較實質的SSL VPN 問題：-
（1）在市場上，最便宜的 SSL VPN Router 是 什麽型號，  How Much $$$$

(2) 在市場上，最便宜的 DrayTek SSL VPN Router 是 什麽型號，  How Much $$$$
(不需要哪些 Dual Wan 的功能，只要有 SSL VPN + SmartVPN client 軟件就符合我最基本的功能上的要求

（3）如果是窮人一名，沒有能力去購買那麽昂貴的 商業用的 SSL VPN Router。
     請介可以在舊石器年代的退役的 Window 電腦上運行的  軟體 SSL VPN Router，最好是 FreeWare.

（4） 由香港熱心網友提供的臨時 SSL VPN Account 不需要任何的 Certificate，（是不是忘記設定 certificate 呢 ？？）
沒有 Certificate 認證的 SSL VPN Connection,   有沒有任何的  Security Encryption 呢　？？？
沒有　Security Encryption 的　SSL VPN traffic, 國内的網絡警察能否看到其内容呢　？？？