成都移动企宽开始封未备案域名 SNI 了

2024-04-11 11:22:36 +08:00
 hikarikongou

今天早上起来发现公司 AnyConnect VPN 连不上了,到公司一看发现 LE 签发 SSL 证书没过期。

于是在另一条线路上抓包连接测试了一下:

11:17:40.133546 IP client.32834 > anyconnect.23333: Flags [S], seq 2506707736, win 64240, options [mss 1460,sackOK,TS val 1070019589 ecr 0,nop,wscale 7], length 0
11:17:40.149812 IP anyconnect.23333 > client.32834: Flags [S.], seq 3447629566, ack 2506707737, win 65160, options [mss 1460,sackOK,TS val 1648754051 ecr 1070019589,nop,wscale 6], length 0
11:17:40.149862 IP client.32834 > anyconnect.23333: Flags [.], ack 1, win 502, options [nop,nop,TS val 1070019605 ecr 1648754051], length 0
11:17:40.346911 IP client.32834 > anyconnect.23333: Flags [P.], seq 1:518, ack 1, win 502, options [nop,nop,TS val 1070019802 ecr 1648754051], length 517
11:17:40.356083 IP anyconnect.23333 > client.32834: Flags [R], seq 3447629567, win 65535, length 0

在 ASA 上同样看到了 connect refused 的日志记录,RST 包来源于 client 。由此可知有中间设备检测到 TLS 后向两侧发送了 RST 报文。

然后我用了几个肯定是备过案的域名作为 SNI 连接,结果是可以正常连接上。那目前就可以确定成都企宽也开始封未备案域名 SNI 了……

5558 次点击
所在节点    宽带症候群
40 条回复
gentrydeng
2024-04-11 11:24:43 +08:00
你说的备案是指工信部的还是?
344457769
2024-04-11 11:25:00 +08:00
感觉大局域网推进得好慢,这得到什么时候才能全国部署呀。
hikarikongou
2024-04-11 11:30:32 +08:00
@gentrydeng 是工信部的备案。这个 VPN 也就是公司用来居家办公用的 VPN 。也不对外提供服务,甚至不用标准端口号,之前稳定运行了一年多。从今天开始就没法正常工作了。
txydhr
2024-04-11 11:38:57 +08:00
那就用备案域名吧
est
2024-04-11 11:40:22 +08:00
之前遇到 v 站有人说 tg 不敢封 anyconnect 。因为什么什么大企业在用什么的,这不。23333
hikarikongou
2024-04-11 11:44:52 +08:00
@est 封的是企宽的入站,要求一定要用备案后的域名。出站没有封。
geekvcn
2024-04-11 12:16:38 +08:00
域名备案现在这么简单的事,花时间抱怨不如去备个案,好多年前备案还要去线下指定有幕布的地方拍服刑照。现在随便买个便宜的云主机,然后在线备案就行了。你再抱怨也没用,政策又不会因你改变。

还有你说的场景不备案不也行,换 wireguard 这类 VPN 。
geekvcn
2024-04-11 12:19:22 +08:00
如果非要用 AnyConnect ,换自签证书
LGA1150
2024-04-11 12:47:33 +08:00
可以尝试规避,把 SYN+ACK 报文的 window 改小,强制客户端把 Client hello 分成两段发送
hikarikongou
2024-04-11 13:30:03 +08:00
@geekvcn 自签证书封的可就更刺激了,只能说现在远程办公得换协议咯。
bclerdx
2024-04-11 14:26:01 +08:00
@geekvcn 备案的目的是?
simplove
2024-04-11 14:26:40 +08:00
企宽是固定 IP 吧,直接用 ip 呀
bclerdx
2024-04-11 14:27:18 +08:00
@LGA1150 具体如何实现?
OLOrz
2024-04-11 14:54:29 +08:00
@geekvcn 实测云服务商的在线备案也不行。备案通过之后用了几天,之后又被封了……还得通过运营商去备案才行
lambdaq
2024-04-11 14:55:48 +08:00
@LGA1150 怎么改?
Smallsun1231
2024-04-11 15:04:54 +08:00
上海电信两月底的时候就遇到这个问题了,主要我前面还挂着 MFA ,排查了半天,检查了 SAML 的证书,检查了微软的域名是不是被墙了,最后发现更换.com.cn 的域名就可以了......无语国内拨国内也搞这种东西
pagxir
2024-04-11 15:33:29 +08:00
那就直接用自签名的 www.gov.cn 的证书
geekvcn
2024-04-11 15:35:46 +08:00
@pagxir 直接自签名 fuck.10086.cn
LiYanHong
2024-04-11 15:38:44 +08:00
直接 ip 呀,pptp l2tp 用了几年了没出过问题
LGA1150
2024-04-11 16:09:03 +08:00
@bclerdx @lambdaq
https://wiki.nftables.org/wiki-nftables/index.php/Mangling_packet_headers

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1031577

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX