成都移动企宽开始封未备案域名 SNI 了

2024-04-11 11:22:36 +08:00
 hikarikongou

今天早上起来发现公司 AnyConnect VPN 连不上了,到公司一看发现 LE 签发 SSL 证书没过期。

于是在另一条线路上抓包连接测试了一下:

11:17:40.133546 IP client.32834 > anyconnect.23333: Flags [S], seq 2506707736, win 64240, options [mss 1460,sackOK,TS val 1070019589 ecr 0,nop,wscale 7], length 0
11:17:40.149812 IP anyconnect.23333 > client.32834: Flags [S.], seq 3447629566, ack 2506707737, win 65160, options [mss 1460,sackOK,TS val 1648754051 ecr 1070019589,nop,wscale 6], length 0
11:17:40.149862 IP client.32834 > anyconnect.23333: Flags [.], ack 1, win 502, options [nop,nop,TS val 1070019605 ecr 1648754051], length 0
11:17:40.346911 IP client.32834 > anyconnect.23333: Flags [P.], seq 1:518, ack 1, win 502, options [nop,nop,TS val 1070019802 ecr 1648754051], length 517
11:17:40.356083 IP anyconnect.23333 > client.32834: Flags [R], seq 3447629567, win 65535, length 0

在 ASA 上同样看到了 connect refused 的日志记录,RST 包来源于 client 。由此可知有中间设备检测到 TLS 后向两侧发送了 RST 报文。

然后我用了几个肯定是备过案的域名作为 SNI 连接,结果是可以正常连接上。那目前就可以确定成都企宽也开始封未备案域名 SNI 了……

5562 次点击
所在节点    宽带症候群
40 条回复
MFWT
2024-04-11 20:22:57 +08:00
OpenVPN 配合自签名证书,自己写一个合适的域名(主要是它可以把 CA 证书一起打包进去,免去证书不受信任的麻烦)
nivalxer
2024-04-11 21:12:41 +08:00
域名备案。同成都移动企业专线。前段时间因为我们有一个域名没有做备案,阻断了我们的所有入站端口,关键我们有一些端口业务,最后移动客户经理排查了几天才告知我们原因。按他们说法,域名+接入备案都要做。所以我们老老实实做了备案,提交了解封申请后才解封,前后花了大概 1 个月时间。
nivalxer
2024-04-11 21:14:28 +08:00
@OLOrz 按照要求,域名做完备案了,在哪里接入,还需要接入商再新增接入备案才合法。一个域名下允许多个接入备案,即部分云商,部分运营商这样。用了几个接入按道理都要备。只不过目前云商一般只查备案,移动比较神经,要查接入。
xmumiffy
2024-04-11 21:25:23 +08:00
新质生产力这不是就来了么
txydhr
2024-04-12 09:28:35 +08:00
应该和云主机一样,拦截未备案域名
txydhr
2024-04-12 09:30:47 +08:00
@nivalxer 好像 cdn 可以不查接入,云主机、对象储存理论上都是要查的。
txydhr
2024-04-12 09:31:57 +08:00
@est 不是一回事
OLOrz
2024-04-12 10:41:19 +08:00
@nivalxer 啊这,懂了。目前感觉就移动最蛋疼,但是他真的便宜……
xwybss
2024-04-15 13:40:03 +08:00
内网代理?最近为了不加密,直接改成了 reality(xtls)...阿里有带 tls1.3 的 SNI...
linzyjx
2024-04-15 16:37:18 +08:00
同,成都移动企宽,这个 IP 未备案(但是域名是有 ICP 备案的,但没挂到移动)
今天也寄了
linzyjx
2024-04-15 16:56:38 +08:00
炸裂
刚刚找移动的技术师傅确认了,这次阻断从上个月就开始了,而且是省公司统一操作。
要放开必须备案,而且一级二级域名都得备,用了几个域名备几个
NewYear
2024-04-16 00:11:50 +08:00
@linzyjx 二级域名要备案太难了吧……家庭宽带备案,流程走得通吗
NewYear
2024-04-16 00:13:54 +08:00
@OLOrz 通过运营商备案,走得通吗,是不是还需要固定 IP 。
OLOrz
2024-04-16 12:35:12 +08:00
@NewYear 通过运营商备案应该是能走通,联系你的政企客户经理就行,之前问是说要填十多张表
linzyjx
2024-04-17 11:21:51 +08:00
Update:
HTTP 也可能被发 RST ,可能是过的明文审计
我们一个系统前端没事,后端端口被 RST 了
linzyjx
2024-04-17 11:22:33 +08:00
@NewYear 家宽别想备案。另外你们家宽也被 RST 了?
OLOrz
2024-04-17 16:20:40 +08:00
@linzyjx 我发现用第三方 ddns 域名比如飞塔和群晖的,似乎暂时还没阻断,不知道能撑多久。
不过我自用电脑方案是 chrome 开启 ECH 。
linzyjx
2024-07-02 01:18:52 +08:00
Update:
等了两个月把备案流程走完了(移动客户经理的效率是真慢),备案下来当天技术那边就有工单了。断网几分钟后(可能是切换)域名就可以访问了(包括子域名)。
都已经备案了就直接都上 443 了,后面接个最近挺火的 WAF 。
还没测其它域名接过来入站的结果是怎么样的。
pfffs
2024-08-18 10:15:12 +08:00
@linzyjx 老哥,我看你提到“一级二级域名都得备,用了几个域名备几个”,
请问这些域名可以一次性填到那个“ICP 备 案 信 息 真 实 性 核 验 单”里面吗?
还是说每个域名都要走一遍完整的流程?
linzyjx
362 天前
@pfffs 目前看起来还和以前一样,备案一级域名就可以了。二级域名应该是不用备案。备案后我这边又开了几个子域名,没有问题。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1031577

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX