成都移动企宽开始封未备案域名 SNI 了

35 天前
 hikarikongou

今天早上起来发现公司 AnyConnect VPN 连不上了,到公司一看发现 LE 签发 SSL 证书没过期。

于是在另一条线路上抓包连接测试了一下:

11:17:40.133546 IP client.32834 > anyconnect.23333: Flags [S], seq 2506707736, win 64240, options [mss 1460,sackOK,TS val 1070019589 ecr 0,nop,wscale 7], length 0
11:17:40.149812 IP anyconnect.23333 > client.32834: Flags [S.], seq 3447629566, ack 2506707737, win 65160, options [mss 1460,sackOK,TS val 1648754051 ecr 1070019589,nop,wscale 6], length 0
11:17:40.149862 IP client.32834 > anyconnect.23333: Flags [.], ack 1, win 502, options [nop,nop,TS val 1070019605 ecr 1648754051], length 0
11:17:40.346911 IP client.32834 > anyconnect.23333: Flags [P.], seq 1:518, ack 1, win 502, options [nop,nop,TS val 1070019802 ecr 1648754051], length 517
11:17:40.356083 IP anyconnect.23333 > client.32834: Flags [R], seq 3447629567, win 65535, length 0

在 ASA 上同样看到了 connect refused 的日志记录,RST 包来源于 client 。由此可知有中间设备检测到 TLS 后向两侧发送了 RST 报文。

然后我用了几个肯定是备过案的域名作为 SNI 连接,结果是可以正常连接上。那目前就可以确定成都企宽也开始封未备案域名 SNI 了……

4094 次点击
所在节点    宽带症候群
37 条回复
gentrydeng
35 天前
你说的备案是指工信部的还是?
344457769
35 天前
感觉大局域网推进得好慢,这得到什么时候才能全国部署呀。
hikarikongou
35 天前
@gentrydeng 是工信部的备案。这个 VPN 也就是公司用来居家办公用的 VPN 。也不对外提供服务,甚至不用标准端口号,之前稳定运行了一年多。从今天开始就没法正常工作了。
txydhr
35 天前
那就用备案域名吧
est
35 天前
之前遇到 v 站有人说 tg 不敢封 anyconnect 。因为什么什么大企业在用什么的,这不。23333
hikarikongou
35 天前
@est 封的是企宽的入站,要求一定要用备案后的域名。出站没有封。
geekvcn
35 天前
域名备案现在这么简单的事,花时间抱怨不如去备个案,好多年前备案还要去线下指定有幕布的地方拍服刑照。现在随便买个便宜的云主机,然后在线备案就行了。你再抱怨也没用,政策又不会因你改变。

还有你说的场景不备案不也行,换 wireguard 这类 VPN 。
geekvcn
35 天前
如果非要用 AnyConnect ,换自签证书
LGA1150
35 天前
可以尝试规避,把 SYN+ACK 报文的 window 改小,强制客户端把 Client hello 分成两段发送
hikarikongou
35 天前
@geekvcn 自签证书封的可就更刺激了,只能说现在远程办公得换协议咯。
bclerdx
35 天前
@geekvcn 备案的目的是?
simplove
35 天前
企宽是固定 IP 吧,直接用 ip 呀
bclerdx
35 天前
@LGA1150 具体如何实现?
OLOrz
35 天前
@geekvcn 实测云服务商的在线备案也不行。备案通过之后用了几天,之后又被封了……还得通过运营商去备案才行
lambdaq
35 天前
@LGA1150 怎么改?
Smallsun1231
35 天前
上海电信两月底的时候就遇到这个问题了,主要我前面还挂着 MFA ,排查了半天,检查了 SAML 的证书,检查了微软的域名是不是被墙了,最后发现更换.com.cn 的域名就可以了......无语国内拨国内也搞这种东西
pagxir
35 天前
那就直接用自签名的 www.gov.cn 的证书
geekvcn
35 天前
@pagxir 直接自签名 fuck.10086.cn
LiYanHong
35 天前
直接 ip 呀,pptp l2tp 用了几年了没出过问题
LGA1150
35 天前
@bclerdx @lambdaq
https://wiki.nftables.org/wiki-nftables/index.php/Mangling_packet_headers

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1031577

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX