请问这个 openvpn 是什么认证 method？为什么丝毫没有被干扰

pem

Remote

cert

22 条回复 • 2017-06-02 07:37:42 +08:00

1

jerryjhou

2014-10-27 19:44:43 +08:00 via Android

默认的TLS认证啊。可能被白名单了。
不过443端口本来就是传输HTTPS的，也有可能是GFW当成正常流量了(这个证书应该是可信CA签发的，而且非廉价/免费证书)

2

gissimo

OP

2014-10-27 19:52:19 +08:00 via iPhone

@jerryjhou 为什么我自己在bandwagon上搭建的open VPN走TLS有一大堆证书，还经常1分钟被墙？

3

gissimo

OP

2014-10-27 19:54:09 +08:00 via iPhone

@jerryjhou 还有他还要配合账号密码验证。这个能设置openvpn实现？

4

dajiangyou

2014-10-27 20:13:35 +08:00

client
dev tun
proto udp6
remote ********* 8080
ca ca.crt
cert client.crt
key client.key
ns-cert-type server
cipher AES-128-CBC

一直在用，从未和谐，不过是走的教育网IPV6

5

gissimo

OP

2014-10-27 20:19:56 +08:00 via iPhone

@dajiangyou 我搭的和你差不多，不过是ipv4，也是教育网。最多一天有用，第二天就握手干扰，连上一分钟无网络。只能换secret key方式

6

YonionY

2014-10-27 21:13:02 +08:00

@jerryjhou 现在的墙才没那么弱智，能够清晰的分辨出各种流量，跟端口无关的。

@gissimo 能不能把完整的配置贴出来瞧瞧？另外你的OpenVPN客户端是官方的还是奸商提供的？

我觉得有两个可能性，一是提供服务的是蜜罐，墙有根证书解密流量，所以对这台服务器放在白名单上，二是使用了某些技术手段欺骗或躲过了墙。

我最近就有试验一个网上没公开过的办法，目前在不影响效率的情况下解决了被干扰的问题，奸商们的技术能力肯定不会比我弱，没有几把刷子怎么出来赚钱。

7

gissimo

OP

2014-10-27 21:56:49 +08:00

@YonionY 我目前试验了三个网络环境：
联通3G，连接成功率95%，速度还OK；
校园网IPV4，链接成功率60%，速度75k左右，配合iKEV2双层VPN可以飙升到我的带宽；
上海电信，链接成功率25%，速度极慢，基本打不开，配合iKEV2双层VPN可以飙升。

不是奸商，是免费的，但不是公开的，某个非营利组织，主做网络安全，主要是邮箱，VPN是辅助的。注册需要多个不同好友直接发邀请码

8

gissimo

OP

2014-10-27 21:57:34 +08:00

@YonionY https://securityinabox.org/zh/riseup
@jerryjhou

9

jerryjhou

2014-10-27 21:59:36 +08:00 via Android

@gissimo 你用的证书是可信CA签发的吗？
@YonionY 第一种纯属胡说八道，同意交出LOG就可以上白名单，怎么可能给根证书。
第二种有可能，不过标准OVPN客户端应该做不到。我还是认为可能骗过了墙（TCP443的干扰本来就相对弱，识别HTTPS和OVPN还是有一定难度的，尤其在OVPN承载HTTP流量的情况下）

10

lsylsy2

2014-10-27 22:06:08 +08:00

@jerryjhou
@YonionY
居然可以上白名单么……

11

jerryjhou

2014-10-27 22:10:10 +08:00 via Android

@gissimo 一定程度上骗过了GFW，昂贵且少见的可信CA不容易被照顾，你发的那个网站的就是（直接访问似乎是DNS被和谐了）。你提供的情况明显是被干扰的，但是强度较小，大部分OVPN都这个情况

12

gissimo

OP

2014-10-27 23:10:53 +08:00

@jerryjhou 我不明白什么叫做可信CA。这家肯定不会向政府交出ca

13

gissimo

OP

2014-10-27 23:13:42 +08:00

@jerryjhou 我提供的是一个介绍这家的网，这家官网是www.riseup.net

14

dajiangyou

2014-10-27 23:22:35 +08:00

@gissimo 你试试IPV6的断不断，反正我是连一次N天不断，除非国内IPV6网络出问题

15

dajiangyou

2014-10-27 23:24:15 +08:00

对了，教育网直接用IPV6就好了啊，反正我这里是免费百M不断网，不打游戏都可以不用其他宽带了，就是偶尔慢点

16

YonionY

2014-10-27 23:28:58 +08:00

@gissimo 用“奸商”这词只是调侃一下，纯粹指服务提供商，并无鄙视收费服务商之意。

双层VPN都能骗过墙且不被限速，这样看来，或者墙在使用VPN+HTTP识别术对付VPN+非HTTP(VPN+HTTP)时就失效了？这应该也是一个办法。

@lsylsy2 @jerryjhou 白名单这事就当我胡说八道吧。

openvpn首次被全体干翻的时候墙已经证明了他们的这种能力，以前一直认为openvpn难以识别。以我的理解来看，现在墙发展到今天应该没有哪个技术不需要骗墙的，就看用什么办法/技术骗而已。

用商业CA证书或者也是一个办法，以往的openvpn的教程都是自建CA发证书，有时间试试看这招能不能骗过墙。

17

gissimo

OP

2014-10-27 23:42:53 +08:00

@dajiangyou 我们好像没IPV6

18

gissimo

OP

2014-10-27 23:44:32 +08:00

@YonionY 其实我单层的Cisco IPSec IKEV2也没限速没干扰，现在是pptp l2tp openvps的tls握手干扰最厉害，我静态密钥的openvpn也没限速

19

gissimo

OP

2014-10-27 23:47:28 +08:00

@YonionY openvpn也没这么脆弱吧？我用最古老的static key方式，畅通无比，没一点干扰

20

dajiangyou

2014-10-27 23:47:46 +08:00

@gissimo 用路由了没，有可能是被路由干掉了

21

jerryjhou

2014-10-28 00:03:21 +08:00 via Android

@gissimo https://www.symantec.com/zh/cn/ssl-certificates?inid=vrsn_symc_ssl_index
赛门铁克就是可信CA之一，他签发的SSL证书被各大操作系统信任。
服务商根本就没有CA可以交出，不过解密流量只要有私钥就够了，当然我也相信这种性质的网站不可能向TG交出私钥。
所以还是可信CA骗了GFW（他们用的不是赛门铁克，我只是举个例子）
BTW，OVPN用TLS验证，HTTPS也用TLS(TLS是SSL的演进)验证，所以证书完全通用

22

Devmingwang

2017-06-02 07:37:42 +08:00 via Android

如果用的是 Geo trust global CA 这种知名的机构颁发的证书的话，干扰的确少很多。