这是一个创建于 552 天前的主题,其中的信息可能已经有所发展或是发生改变。
今天早上起来发现公司 AnyConnect VPN 连不上了,到公司一看发现 LE 签发 SSL 证书没过期。
于是在另一条线路上抓包连接测试了一下:
11:17:40.133546 IP client.32834 > anyconnect.23333: Flags [S], seq 2506707736, win 64240, options [mss 1460,ackOK,TS val 1070019589 ecr 0,nop,wscale 7], length 0 11:17:40.149812 IP anyconnect.23333 > client.32834: Flags [S.], seq 3447629566, ack 2506707737, win 65160, options [mss 1460,sackOK,TS val 1648754051 ecr 1070019589,nop,wscale 6], length 0 11:17:40.149862 IP client.32834 > anyconnect.23333: Flags [.], ack 1, win 502, options [nop,nop,TS val 1070019605 ecr 1648754051], length 0 11:17:40.346911 IP client.32834 > anyconnect.23333: Flags [P.], seq 1:518, ack 1, win 502, options [nop,nop,TS val 1070019802 ecr 1648754051], length 517 11:17:40.356083 IP anyconnect.23333 > client.32834: Flags [R], seq 3447629567, win 65535, length 0 在 ASA 上同样看到了 connect refused 的日志记录,RST 包来源于 client 。由此可知有中间设备检测到 TLS 后向两侧发送了 RST 报文。
然后我用了几个肯定是备过案的域名作为 SNI 连接,结果是可以正常连接上。那目前就可以确定成都企宽也开始封未备案域名 SNI 了……
 | 1 gentrydeng 2024-04-11 11:24:43 +08:00 via Android 你说的备案是指工信部的还是? |
 | 2 344457769 2024-04-11 11:25:00 +08:00 感觉大局域网推进得好慢,这得到什么时候才能全国部署呀。 |
 | 3 hikarikongou OP @gentrydeng 是工信部的备案。这个 VPN 也就是公司用来居家办公用的 VPN 。也不对外提供服务,甚至不用标准端口号,之前稳定运行了一年多。从今天开始就没法正常工作了。 |
 | 4 txydhr 2024-04-11 11:38:57 +08:00 via iPhone 那就用备案域名吧 |
 | 5 est 2024-04-11 11:40:22 +08:00 之前遇到 v 站有人说 tg 不敢封 anyconnect 。因为什么什么大企业在用什么的,这不。23333 |
| 6 hikarikongou OP @est 封的是企宽的入站,要求一定要用备案后的域名。出站没有封。 |
 | 7 geekvcn 2024-04-11 12:16:38 +08:00 域名备案现在这么简单的事,花时间抱怨不如去备个案,好多年前备案还要去线下指定有幕布的地方拍服刑照。现在随便买个便宜的云主机,然后在线备案就行了。你再抱怨也没用,政策又不会因你改变。 还有你说的场景不备案不也行,换 wireguard 这类 VPN 。 |
| 8 geekvcn 2024-04-11 12:19:22 +08:00 如果非要用 AnyConnect ,换自签证书 |
 | 9 LGA1150 2024-04-11 12:47:33 +08:00 via Android 可以尝试规避,把 SYN+ACK 报文的 window 改小,强制客户端把 Client hello 分成两段发送 |
| 10 hikarikongou OP @geekvcn 自签证书封的可就更刺激了,只能说现在远程办公得换协议咯。 |
 | 12 simplove 2024-04-11 14:26:40 +08:00 企宽是固定 IP 吧,直接用 ip 呀 |
 | 16 Smallsun1231 2024-04-11 15:04:54 +08:00 上海电信两月底的时候就遇到这个问题了,主要我前面还挂着 MFA ,排查了半天,检查了 SAML 的证书,检查了微软的域名是不是被墙了,最后发现更换.com.cn 的域名就可以了......无语国内拨国内也搞这种东西 |
 | 17 pagxir 2024-04-11 15:33:29 +08:00 via Android 那就直接用自签名的 www.gov.cn 的证书 |
| 18 geekvcn 2024-04-11 15:35:46 +08:00 @pagxir 直接自签名 fuck.10086.cn |
 | 19 LiYanHong 2024-04-11 15:38:44 +08:00 直接 ip 呀,pptp l2tp 用了几年了没出过问题 |
| 20 LGA1150 2024-04-11 16:09:03 +08:00 via Android |
 | 21 MFWT 2024-04-11 20:22:57 +08:00 OpenVPN 配合自签名证书,自己写一个合适的域名(主要是它可以把 CA 证书一起打包进去,免去证书不受信任的麻烦) |
 | 22 nivalxer 2024-04-11 21:12:41 +08:00 域名备案。同成都移动企业专线。前段时间因为我们有一个域名没有做备案,阻断了我们的所有入站端口,关键我们有一些端口业务,最后移动客户经理排查了几天才告知我们原因。按他们说法,域名+接入备案都要做。所以我们老老实实做了备案,提交了解封申请后才解封,前后花了大概 1 个月时间。 |
| 23 nivalxer 2024-04-11 21:14:28 +08:00 @OLOrz 按照要求,域名做完备案了,在哪里接入,还需要接入商再新增接入备案才合法。一个域名下允许多个接入备案,即部分云商,部分运营商这样。用了几个接入按道理都要备。只不过目前云商一般只查备案,移动比较神经,要查接入。 |
 | 24 106npo 2024-04-11 21:25:23 +08:00 新质生产力这不是就来了么 |
| 25 txydhr 2024-04-12 09:28:35 +08:00 via iPhone 应该和云主机一样,拦截未备案域名 |
 | 29 xwybss 2024-04-15 13:40:03 +08:00 内网代理?最近为了不加密,直接改成了 reality(xtls)...阿里有带 tls1.3 的 SNI... |
 | 30 linzyjx 2024-04-15 16:37:18 +08:00 同,成都移动企宽,这个 IP 未备案(但是域名是有 ICP 备案的,但没挂到移动) 今天也寄了 |
| 31 linzyjx 2024-04-15 16:56:38 +08:00 炸裂 刚刚找移动的技术师傅确认了,这次阻断从上个月就开始了,而且是省公司统一操作。 要放开必须备案,而且一级二级域名都得备,用了几个域名备几个 |
| 35 linzyjx 2024-04-17 11:21:51 +08:00 Update: HTTP 也可能被发 RST ,可能是过的明文审计 我们一个系统前端没事,后端端口被 RST 了 |
 | 37 OLOrz 2024-04-17 16:20:40 +08:00 @linzyjx 我发现用第三方 ddns 域名比如飞塔和群晖的,似乎暂时还没阻断,不知道能撑多久。 不过我自用电脑方案是 chrome 开启 ECH 。 |
| 38 linzyjx 2024-07-02 01:18:52 +08:00 Update: 等了两个月把备案流程走完了(移动客户经理的效率是真慢),备案下来当天技术那边就有工单了。断网几分钟后(可能是切换)域名就可以访问了(包括子域名)。 都已经备案了就直接都上 443 了,后面接个最近挺火的 WAF 。 还没测其它域名接过来入站的结果是怎么样的。 |
1
Select Language