moses

回復 2# 角色


    其实各位如果都是RB用户又有自己的VPS，其实完全没必要使用应用层（类似于SS/V2Ray）的解决方案，毕竟应用层的方案不是你自己写的，需要不停的升级维护。使用VPS在外部跑CHR与内6RB在第三层做通，6流量在本地RB做NAT，外部不通畅或者慢的数据通过维护特殊路由表路由至外部CHR做NAT，配合搭建纯净DNS系统可以很好的解决全局连通性问题。且此方案内所有用户零感知零维护，全局可访问的同时保留了CDN的最高利用。

moses

我在华中，pptp 已不能用了，L2tp 有时可以，有时不可以。open vpn, 以前花了不小时间学习，最后都失守了。 ...
vpn-learner 發表於 2019-2-3 11:34

    PPTP/L2TP没加密，偶尔能用猜测是因为想看看你到底传输了什么数据，然后可以做个记录需要的时候可以给你算个小账。而IPSEC完全不能用是因为虽然短时间内无法知道封装内传输了什么内容，但是人家现在根本不关心，直接阻碍你完成IKE就完事了，毕竟阻碍IPSEC成本很低，这个东西很容易识别，跑在UDP500/4500你还改不了。

moses

回復 6# 角色


    tunnel用SSTP + AES 跑在非标端口OK, 6这边不允许用户使用包含但不仅仅是80,443,3389等端口对外服务, 而SSTP默认跑443所以需要避让开. 而设备选用硬件支持AES运算的, 就不会拖慢CPU.

moses

回復 8# 角色


    6这边不允许未备案的443通信, 所以你那个block很正常.
    可丢到一些已知安全的公共服务port上去, 例如NTP的123, 相对会安全一些. 但不要是一些已知的用于传输信息的端口, 如21,23,25之类, 这样只会增加被关照的几率.

moses

我的PPTP，L2TP over IPSec，SSTP早就不能用了！

你早点上来茶室嘛！那么你早点学会新的东西，不然就与香 ...
角色 發表於 2019-2-3 11:56

    如果有可能的话应尽快敦促茶舍站长将站点升级到TLS/SSL, 并且做好安全审核策略. 在当前状态下所有6用户与此茶舍站点通信都不安全, 谁, 什么时间, 在什么地方, 发送/访问了这个站点的什么内容都是透明的, 为了保护这些用户安全应尽快完成升级部署.

moses

Port:designated
ALLow:mschap2
mschap2非明文的, 必须用这个, 如果你之前也选过pap, 那么得改密码.
如果不停断线, 关注下设备的CPU占用率, 内网高流量高CPU占用率且CPU不支持AES硬件加速的情况下会断线. 不是所有设备CPU都支持AES硬件加速

moses

Port:designated
上面怎样set？
角色 發表於 2019-2-4 11:22

    我是指port你随意指定一个即可