HE Tunnelbroker 现在能正常用吗？

大约 1 周之前，稳定运行 9 个月的到 LAX1 的 6in4 隧道开始无法连接了。
ping 隧道 LAX1 的 IPv4 地址是通的，但是 ping 6in4 的隧道服务器地址就不可达。
本地环境为固定 IPv4 地址的电信企业专线。

qdsearoc

2018-10-02 11:37:07 +08:00

2,3 个月前就不能用了，上周又牺牲了一台搬瓦工服务器，感觉 gfw 又升级了

zro

2018-10-02 11:47:15 +08:00

就算连上了，也会连接被重置啊~

skyeycirno

2018-10-02 12:07:56 +08:00

能啊。环境是本地家宽，用的 openwrt

965380535

2018-10-02 12:08:58 +08:00

湖北联通稳定使用

vibbow

2018-10-02 12:23:44 +08:00

可以用，但是实际访问的内容已收到防火墙关照，触发关键字整个隧道就会断开几分钟。

cwbsw

2018-10-02 13:12:05 +08:00

5 楼正解。

Cipool

2018-10-02 13:25:20 +08:00

6in4 那个 anycast 的 IP 最近被墙了

LGA1150

2018-10-02 19:46:56 +08:00

@zro 我写了一个 ip6tables 模块发送伪造 TCP 包，就不会被 RST 了

jm92

2018-10-02 22:01:04 +08:00

@LGA1150 可以分享吗？

qoooop

2018-10-03 07:48:21 +08:00

@LGA1150 怎么做啊能分享吗

zro

2018-10-04 00:06:21 +08:00

@LGA1150 #8 请问地址在哪呀，大神~
恩山、Github 都没搜到。。。

nbsn

2018-10-04 01:03:04 +08:00

看来是稳定升级到 GFWv6 了

pk000

2018-10-04 12:16:54 +08:00

隧道自动恢复了……
完全不明白什么原因。

LGA1150

2018-10-04 15:40:07 +08:00

@zro 暂时不想公开
另外整个隧道断开几分钟的问题是 SSL 证书是 Google 的就出现，与 SNI 过滤是独立的，而且发送伪造包也似乎不能避免

linkupmylife

2018-10-06 13:28:31 +08:00

自己制造黑洞把谷歌封了就能用了呵呵

LGA1150

2018-10-11 01:48:17 +08:00

@vibbow @linkupmylife 经测试，GFW 的证书过滤是按包匹配（无状态）的，解决方法是强行把 TCP MSS 设为较小值，让证书的域名不出现在第一个 Server Hello 包即可。可能会影响加载速度：
ip6tables -t mangle -I POSTROUTING -d 2404:6800::/32,2607:f8b0::/32,2a00:1450::/32 -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 376

linuxyz

2018-10-15 10:38:32 +08:00

👍👍 @LGA1150 #16 楼的办法很不错～确实降低了点性能，但是比完全不能要好太多了

目前 GFW 好像是针对 IPv 地址的误差比阻断；

LGA1150

2018-10-15 15:33:41 +08:00

@linuxyz 有 QUIC 会好一点

marsteel

2018-10-21 00:05:50 +08:00

@LGA1150 mark

s82kd92l

2018-12-02 00:29:04 +08:00

@LGA1150 @linuxyz 这个#16 我试了一下没有效果，还是只要 curl 一下就直接阻断几分钟。你们现在是这种状态吗？

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/494549

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.