電訊茶室 » VPN 研究室 » 在大陆使用PPTP VPN的发现——墙叔在看你的内容（怎样处理？）

角色 發表於 2018-2-11 10:00

在大陆使用PPTP VPN的发现——墙叔在看你的内容（怎样处理？）

可能大家都知道PPTP VPN如果上到，墙叔都在打开你的packets，检查里面的内容，有的时候看，有的时候不看。如果他不看时（可能忙别的IP），那么你几乎能看到香港所有信息（facebook，马会），但是如果他在看时，有些网站是过不去的（如facebook），其他的网站都正常浏览。

如果你遇到这个情况，你的PPTP Tunnel里再建立另外一条tunnel，如L2TP over IPSec，就非常正常。可能系统只解开PPTP一层tunnel，而没有再往下解，所以“L2TP over IPSec” tunnel over “PPTP” tunnel。

又人会问，那么直接用L2TP over IPSec不是简单，问题就来，因为有的时候L2TP over IPSec连不上，估计墙叔在monitoring，见到就dropped。如果你遇到这种情况，可以尝试上面的方法。

vpn-learner 發表於 2018-2-12 00:33

Interesting! 有没有具体的参考方法？！是否必须用routeros 才能办到？一般的router做不到呢？
我第一个反应就如你所说 用得了L2TP， 何必要PPTP Tunnel里再建立另外一条tunnel？ 一般情况L2TP连不上时， PPTP 也都连不上的？？！

角色 發表於 2018-2-12 01:07

不是的。两边routers（RouterOS）我用PPTP连起来，然后用我的MacBook的L2TP over IPSec再连香港的VPN server（CCR1009).

L2TP over ISPec连不上，而PPTP很多时候都可以。

角色 發表於 2018-2-17 14:11

[i=s] 本帖最後由 角色 於 2018-2-17 14:12 編輯 [/i]

今天2018-2-17，又再出现我的PPTP link to HK又被监控，于是facebook上不了，其他都没有问题，于是在在PPTP link （router to router），我的notebook再拨L2TP over IPSec后就没有问题。

过一个大约半个小时，就不需要L2TP over IPSec，说明什么，就是大家的PPTP link去香港，墙叔会有时监控你的link一段时间就离开，一般都是半个小时，因为没有发现什么，于是系统有转到监控别的PPTP link了！

为什么我用PPTP？英好连，用L2TP over IPSec有的时候连不上，但是在PPTP里每次都能连上。

milanolarry 發表於 2018-2-17 18:07

facebook 已經小事，試下睇發倫公、鹿死、講毒等等，睇祥叔同祥嫂有乜反應。

角色 發表於 2018-2-17 20:13

[i=s] 本帖最後由 角色 於 2018-2-18 02:17 編輯 [/i]

我觉得自己看就可以，不要转发。不然。。。他们会找上门。（你想想如果你只看什么都不做传播，他找你干嘛？）

所以我们用VPN，只要抱着这个原则（只看不传播！！！），不要做一些危害国家的行为！

Skypeus 發表於 2018-2-17 23:53

[b]回復 [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=44344&ptid=7091]4#[/url] [i]角色[/i] [/b]


    [attach]3905[/attach]
[b][color=Red]
@# 看来 天朝对 跨境的VPN服务是严加管控了，难怪之前用的几个VPN现在都用不了了 :([/color][/b]

角色 發表於 2018-2-18 10:05

[quote]facebook 已經小事，試下睇發倫公、鹿死、講毒等等，睇祥叔同祥嫂有乜反應。 ...
[size=2][color=#999999]milanolarry 發表於 2018-2-17 18:07[/color] [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=44345&ptid=7091][img]http://www.telecom-cafe.com/forum/images/common/back.gif[/img][/url][/size][/quote]

所以遇到这个情况，那么就多加一层VPN，例如L2TP over IPSec就可以。

Skypeus 發表於 2018-2-18 11:29

iOS手机如何配置L2TP over IPSec？

角色 發表於 2018-2-18 11:35

[i=s] 本帖最後由 角色 於 2018-2-18 11:38 編輯 [/i]

iOS里选L2TP (不要选IPSec）
Server：服务器hostname or IP address
Account：L2TP login in name
Password: L2TP login in password
Secret: IPSec key

不过有的时候ISP会block出境外的connection。所以一般最好要有几手准备。

Skypeus 發表於 2018-2-18 11:53

[b]回復 [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=44355&ptid=7091]10#[/url] [i]角色[/i] [/b]


    好的，谢谢

角色 發表於 2018-2-19 12:09

[i=s] 本帖最後由 角色 於 2018-2-19 17:14 編輯 [/i]

今天又出现我描述的问题，需要用L2TP over IPSec就把问题解决。:lol

就算不用L2TP over IPSec，改用PPTP也可以。就是“PPTP VPN” over “PPTP VPN”，就是双tunnels，就畅顺了。

角色 發表於 2018-2-22 14:13

在某些地方，因为太多人VPN到香港，所以系统都检查得非常密，非常深！就是多层分析（都是估计），在VPN tunnel 里的data再第二层分析，例如用L2TP over IPSec，墙叔系统都会drop。

在远离那些地区，“L2TP over IPSec” over PPTP VPN tunnel是不断的。

如果单是L2TP over IPSec，有些时候会被block的。

milanolarry 發表於 2018-2-22 20:54

我有時會用 shadowvpn (吾係 shadowsocks)，可能因為冇乜人用，每次都非常順。最大問題係響 windows 既 support 非常之差，Android 就還可以。

角色 發表於 2018-2-22 21:35

[b]回復 [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=44435&ptid=7091]14#[/url] [i]milanolarry[/i] [/b]

CHing是否有用过vmess？

milanolarry 發表於 2018-2-23 19:05

SS 用吾到 vmess，我之前都講過我對v2ray吾多信任

角色 發表於 2018-2-23 19:34

在我来说，能用就可以。如果用Apple iOS的VPN就更加好！（如果能用的话）

tomleehk 發表於 2018-2-23 23:42

[i=s] 本帖最後由 tomleehk 於 2018-2-24 17:54 編輯 [/i]

個人認為如果要應對牆嘅監控，最可靠方案喺起一隻webserver行https，再用ss-server 加simple-obfs 行tls obfs，設定 simple-obfs 用 443 port 分流去ss-server 同 webserver

你用ss-client (行tls obfs) 有正確ss密碼就可以經server 嘅443 port分流去ss-server 作正常翻牆，其他嘅嘢會分流去https server

[url]https://zengwh.com/blog/shadowsocks-with-obfs/[/url]

所以對於牆嚟講只會見到一隻真實存在嘅https 網頁 同 加密咗嘅正常https 串流， 串流其實會先喺ss層面加密，再用https 包封同加密，無咁易被睇真實內容，老實講，每日出出入入嘅https 串流多到數唔到，唔可能對每個https串流都去作深入研究同分析，解開packet技術上亦有難度

再穩陣d, 可以令ss-server 每日自動轉ip address, 日日都走鬼

但https server需要嘅cert如果喺免費嘅暫時揾到只得90日有效，比較麻煩要每90日更新一次， 當然唔更新cert未必影響翻墙，只喺混淆效果未喺最理想

下一步研究吓有無方法可以自動更新d cert

milanolarry 發表於 2018-2-25 23:33

[i=s] 本帖最後由 milanolarry 於 2018-2-25 23:45 編輯 [/i]

我都唸過 e 樣野，我仲考慮過抄埋香港中聯辦個網頁黎做 http 個門面 (仲要聲明係黨員 log in)。祥叔查起上黎可能會以為係自已友。
多口問句，有冇可能同一個 ss server，開兩個 port，一個就有 obfsproxy 掩護，另一個就冇？

角色 發表於 2018-2-25 23:45

[b]回復 [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=44474&ptid=7091]18#[/url] [i]tomleehk[/i] [/b]

[b]回復 [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=44515&ptid=7091]19#[/url] [i]milanolarry[/i] [/b]

看来两位CHings对VPN高级用家，而我今晚只能用SSTP，而不用L2TP over IPSec，PPTP VPN clients，不知道是否又与上面开会有关？

milanolarry 發表於 2018-2-25 23:47

我連最基本既網絡運作都未搞清楚，只係一步一步咁跟人地既教學，高級用家真係講吾上。

角色 發表於 2018-2-25 23:57

不管怎样，起码这里提供一处我们交流VPN技术的地方，不像友台那里，动不动就ban，members用心血写的帖子就白写了！！！（所以我在那里说简单说说方法，具体怎样已经很少在那里说了！）

vpn-learner 發表於 2018-2-26 00:06

[quote]回復  tomleehk

回復  milanolarry

看来两位CHings对VPN高级用家，而我今晚只能用SSTP，而不用L2TP ove ...
[size=2][color=#999999]角色 發表於 2018-2-25 23:45[/color] [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=44516&ptid=7091][img]http://www.telecom-cafe.com/forum/images/common/back.gif[/img][/url][/size][/quote]


    角色兄， 现在华东是否不能用 PPTP 和 L2TP 翻墙？ 那么 SS 是否正常呢？这两天刚回了香港， 也不知道珠三角是否可以翻墙？！！过几天会去试一试！

角色 發表於 2018-2-26 00:32

应该这样说，是我香港某台服务器被墙叔订上，PPTP，L2TP over IPSec都不能过，而SSTP就没有问题，可能宇TCP 443 port有关。SS能正常上，没有问题。

tomleehk 發表於 2018-2-26 00:50

[i=s] 本帖最後由 tomleehk 於 2018-2-26 03:13 編輯 [/i]

[quote]

多口問句，有冇可能同一個 ss server，開兩個 port，一個就有 obfsproxy 掩護，另一個就冇？

[size=2][color=#999999]milanolarry 發表於 2018-2-25 23:33[/color] [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=44515&ptid=7091][img]http://www.telecom-cafe.com/forum/images/common/back.gif[/img][/url][/size][/quote]

唔記得同一個ss-server可唔可以同時用兩個 listening port, 亦無刻意研究

要做到咁嘅效果, simple-obfs 要行 standalone mode用一個 listening port, ss-server用另一個 listening port

例如 webserver 用 port 8080 去行  https,
而ss-server 用 port 8443, 當然可以用嚟收 ss-client (用 port 8443) 嘅番墙工作
simple-ofbs 行 standalone mode 用 port 443, 用嚟收 ss-client (用 port 443, tls-obfs)嘅番墙工作, ss-client密碼如果正確嘅會自動轉發去 port 8443 俾 ss-server番墙, failover 嘅轉發去 port 8080 俾 websphere

参考下面對應嘅指令
obfs-server -s server_ip -p 443 --obfs tls -r 127.0.0.1:8443 --failover 127.0.0.1:8080

但我喺openwrt/lede平台試過, ss-server同 simple-obfs無法喺boot機一齊成功自動啟動, 所以而家simple-obfs只能行plug-in mode, listening port 443, 而ss-server 嘅listening port喺random嘅

tomleehk 發表於 2018-2-26 01:00

[i=s] 本帖最後由 tomleehk 於 2018-2-26 11:23 編輯 [/i]

[quote]我仲考慮過抄埋香港中聯辦個網頁黎做 http 個門面 (仲要聲明係黨員 log in)。
[size=2][color=#999999]milanolarry 發表於 2018-2-25 23:33[/color] [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=44515&ptid=7091][img]http://www.telecom-cafe.com/forum/images/common/back.gif[/img][/url][/size][/quote]

小心呢樣嘢反而引人注意

用 https webserver 嚟做 ss-server 嘅 obfs (不過只能行plug-in mode)嘅工作基本上已經完成, 而家研究緊點樣可以令server自動更新 https webserver 嘅 免費cert, 唔喺好想吓吓要抄上去

tomleehk 發表於 2018-2-26 01:10

[i=s] 本帖最後由 tomleehk 於 2018-2-26 03:17 編輯 [/i]

[quote]回復  tomleehk

回復  milanolarry

看来两位CHings对VPN高级用家，而我今晚只能用SSTP，而不用L2TP over IPSec，PPTP VPN clients，不知道是否又与上面开会有关？

[size=2][color=#999999]角色 發表於 2018-2-25 23:45[/color] [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=44516&ptid=7091][img]http://www.telecom-cafe.com/forum/images/common/back.gif[/img][/url][/size][/quote]

大家研究同討論吓技術, 個人仍在努力研究同學習中

不過上面每次開會, 加強監控同干擾都喺指定嘅動作

角色 發表於 2018-2-26 09:12

今天PPTP和L2TP over IPSec都不能用，只有SSTP能用（估计是TCP 443 port有关），很久以前也发生过这种情况。

lookforyou 發表於 2018-2-26 10:10

要两会了，又得老实的当吃瓜群众了

tomleehk 發表於 2018-2-26 10:54

[i=s] 本帖最後由 tomleehk 於 2018-2-26 11:24 編輯 [/i]

個人只用443,80,8443,8080呢幾個port, 一般比較靠得住, 就算大時大節, 網管很少會搞呢幾個port

查看完整版本: 在大陆使用PPTP VPN的发现——墙叔在看你的内容（怎样处理？）