警惕IPSec/L2TP VPN被GFW干擾后變明文
責編:admin |2015-02-08 15:45:46昨天拿服務器搭了個ipsec/l2tp的vpn給朋友翻墻,朋友說連上之后只要一上國外網站,facebook,youtube之類的就會斷線,我覺得很不可思議,明明都是加密了的,這不科學。
后來把debug打開,tail -f /var/log/secure,tail -f /var/log/message,一般情況下,連ipsec l2tp vpn,secure log會顯出現IKEv2握手的日志,最后會出現transport xxx established,說明ipsec通道建立完成,然后message log才開始出現ppp登錄記錄,但是每次我朋友撥vpn的時候,根本看不到secure log里有任何動靜,上來就是ppp登錄。
后來用nc發udp包做測試,正常情況下,用nc發送任意內容的udp包到udp 500端口,可以看到secure日志里提示數據包畸形(malformed xxxx),但是朋友用nc測試,也沒有任何提示,說明udp包在500端口被drop了。
最詭異的一點是windows這時候居然還能建立成功vpn,即使打開了 需要加密(如果服務器拒絕將斷開連接) 這個選項,還是可以建立成功vpn通道,只不過這個時候是明文的,而且gfw可以重建通道內的數據包進行審查。
如果打開強制使用最大程度加密的選項,vpn則會建立失敗。但是在沒有被封鎖的地區是可以連上的。
GFW以前是不管ipsec vpn的……
鑒于vpn對大家有著比翻墻更重要的用途,使用l2tp vpn的時候記得打開強制使用最大程度加密的選項,否則很容易在被gfw干擾的情況下變成明文vpn。
下一篇:深信服設備SNMP的配置