终于摆脱中国长城防火墙GFW的困扰了 -stanley(又见枫叶) @SF湾区华人论坛:SF湾区枫下论坛 The Rolia Forum of San Francisco

终于摆脱中国长城防火墙GFW的困扰了

stanley(又见枫叶)

本文发表在 rolia.net 枫下论坛国内好几个朋友要翻墙，我在自己的路由器上配置了几种VPN(PPTP/L2TP/MS-SSTP/OpenVPN/SoftEtherVPN)。以前一直用得不错，近半年来中国GFW干扰越来越严重。在沿海地区稍微好点，总有一个我提供的VPN可以用。有一个朋友住在一个内地小城市，使用的是中国移动提供的DSL互联网，竟然我所有的VPN都被封了。对中央的方针执行得太到位了。真应了那句话，庙小妖风大，池浅王八多。具体表现是，VPN握手刚完成，两边就立刻收到一个reset包，导致连接断开，这点是用抓包软件看到的。方滨兴教授搞的GFW害死人啊，活该他生病时中国网民发出无数的“祝贺病魔早日战胜方校长！”

不得已，刚好得到一个二手的Cisco ASA5505防火墙。这两天配置好EzVPN(全命令行配置，主要是工作中只用过命令行，没用过思科后来推出的ASDM图形方式)，本地测试成功后，远程给朋友安装了Cisco VPN Client软件，教会朋友怎么用。经过2天的使用，朋友反馈用得非常好，连接稳定，速度快。

其实要封思科的VPN太容易了，把UDP500/4500端口封了就行了。据说是因为思科在网络的超然地位，中国政府不敢封。如果真的封了的话，在中国境内的大公司如Cisco/IBM/Dell/Intel/Apple等都会和境外的总部失去网络连接而无法正常工作了。只可惜那些想翻墙看youtube/google/facebook等东西的小P民，大多数都被那堵墙挡的死死的。

希望中国的GFW早日垮塌，希望中国人民可以自由的访问互联网。更多精彩文章及讨论，请光临枫下论坛 rolia.net

(#9966607@0)
Last Updated: 2016-2-28

方滨新死了吗？ -spitfireto(很有意思); 2016-2-28 (#9966657@0)

2013年6月27日，方滨兴在北京邮电大学本科毕业生典礼上讲话，宣布自己因身体健康原因不再连任北邮校长职务。[17]报道指出方滨兴所患为晚期结肠癌。[4] -firetrain(火车头); 2016-2-28 (#9967270@0) +1
他永远死在了人民心中。 -henryji(henry); 2016-2-28 (#9967321@0) +7

这句猛，顶一下 -lier(骑牛旅行者); 2016-2-28 (#9967762@0) +1
我还是希望物理地死了。:-) 不过这个说法真棒！ -spitfireto(很有意思); 2016-2-28 (#9967779@0)
他永远活在死人心中。 -tiaokuan(vanc); 2016-3-11 (#9989553@0)

在2011年2月《环球时报》的一篇英文报道中，方滨兴确认自己是长城防火墙(GreatFirewall，简称GFW)的首要设计者。方滨兴在报道中说，他家里电脑有6个VPN，“但我只用它们测试GFW与VPN谁更厉害。” 正是因为GFW，内地的网络用户无法正常访问一些全球知名网站。 -stanley(又见枫叶); 2016-2-28 (#9967519@0) +1

我就不明白方校长有什么可恨的。如果没有方校长，肯定会有赵校长，钱校长，孙校长，李校长。这个是必然的。 -bennyxyz(Ben); 2016-2-28 (#9967332@0) +1

虽然该恨的是主子，但甘心做奴才做到这份上的奴才也是该恨的。 -tiaokuan(vanc); 2016-2-28 (#9967547@0) +8
打死了这个鬼子，还会再派一个鬼子来的。再说鬼子也是奉命来的。 -spitfireto(很有意思); 2016-2-28 (#9967827@0) +2
要这么说，二战后把那么多纳粹判了刑，都是冤枉的 -grainsw(两只小猪之神勇小白鼠); 2016-2-28 (#9967838@0) +1
没有斯大林，也会有斯小林; 没有毛泽东，也会有毛泽西，没有习近平，也会有习远平，能说这些当主子的都不可恨吗? -myoldguns(老枪); 2016-3-1 (#9969810@0)

楼上的三位说得有一定道理，您这把领袖们都拉出来了，这是要捧方校长呢吧？ -bennyxyz(Ben); 2016-3-1 (#9969926@0)

我的意思不过是说，每个人都该为自己的所作所为负责，不论地位高低，不可用这样或那样的理由为其开脱，如果方滨兴可以开脱责任，那些当主子的也都可以开脱责任，这类五花八门，荒唐透顶的理由多了，最著明最荒唐的莫过于把毛泽东的罪行都归到四人帮身上，拿四人帮作替罪羊。 -myoldguns(老枪); 2016-3-1 (#9970094@0)

Cisco的ezVPN 也是IPSEC VPN吧。那随便搞个linux server，装个什么天鹅不也一样。 -holdon(again); 2016-2-28 (#9967631@0)

大不相同。中国政府有能力封锁任何VPN，目前只是不敢(而不是不能)封Cisco的VPN而已，对于其他VPN，只要发现你在用(根据特征码)，根本不用进行解密去了解具体内容，直接断你线。目前对于SoftEtherVPN就是这样处理的。 -stanley(又见枫叶); 2016-2-29 (#9969527@0)

借题问下几位专家：办公室里访问 Rolia，以及银行付账，是否会被公司网管看到隐私？银行密码他们也能看到？ -zsgxtk(zsgxtk); 2016-2-29 (#9968236@0)

想要看，肯定能看到。。。 -ding_ding(丁_丁); 2016-2-29 (#9968240@0)

既然肯定能看到，那么银行事物可以不在办公室干，但为了广大 Rolia 粉，请专家支招如何尽量避免被看到，或者让网购折腾十天半月才能看到的方法。 -zsgxtk(zsgxtk); 2016-2-29 (#9968258@0)

不要胡思乱想了，在公司不要上网，或者少上网就好了。 -ding_ding(丁_丁); 2016-2-29 (#9968267@0) +1

有闲下来的时候。 -zsgxtk(zsgxtk); 2016-2-29 (#9968277@0)

改不了了，是网管不是网购。 -zsgxtk(zsgxtk); 2016-2-29 (#9968275@0)
用手机的data plan上网 -isup(isup); 2016-2-29 (#9968404@0)

银行密码他们也能看到？那 HTTP..S 还有什么用, -chenmoon(); 2016-2-29 (#9968488@0)

嗯？可不可以用各位专家说的 VPN ？在家里设个 VPN 供自己在公司偷偷上网用？ -zsgxtk(zsgxtk); 2016-2-29 (#9968280@0)

经理用人眼一查不就查出来，还用网管 -w4b(w4b); 2016-2-29 (#9968390@0)

绝大多数公司只管你去了哪，而不管你去哪干嘛，因为资源有限。不用担心https连接。即使http连接的内容公司也不会有兴趣。不过一旦变成出头鸟，就～～～ -akoei(停车**枫林晚); 2016-2-29 (#9969235@0)
我给你一个专业回答：如果你用IPSecVPN，公司是不可能知道你在干什么，只知道你连到了VPN上，因为所有数据是多重加密的，目前世界上还没有人能破解AES128+SH1的VPN二阶段隧道。你如果用的是老式的PPTP-VPN，皇家警察有可能破解，一般公司的安全人员绝对做不到。 -stanley(又见枫叶); 2016-2-29 (#9969522@0) +1

得看是什么公司了，管理严格的公司，你在你自己电脑上的任何动作，超级管理员都可以看到或者查到，包括即时屏幕截屏。而且根本不是什么新技术，10多年前就可以轻松做到的事情。 -coolrock(coolrock); 2016-2-29 (#9969639@0)

这个与VPN技术无关了。所有在自己电脑网卡与远程VPN服务器之间的数据才是加密的，而经过网卡后到达自己电脑的数据都是解密后的（否则自己看到的都是一堆乱码）。如果用公司电脑，公司当然有权并且可以远程截屏或直接远程进入电脑查看访问过的内容。 -stanley(又见枫叶); 2016-2-29 (#9969684@0)

给你一个事实反例: 最近有美国公司的两位华人经理级华人被控贪污, 那位也很小心, 在公司上网都用VPN. 不过魔高一尺, 道高一丈. 公司电脑装有截屏软件, 被截屏到通过VPN上银行账户有不明大额到帐. -calgarycat(POCO大猫); 2016-3-1 {67} (#9969832@0)
这事就这几天的, 哪位还记得? 两位都是经理, 在新加坡采购橡胶, 吃回扣.

大猫，如果你想用这个例子来证明Cisco的IPSecVPN是可破解的话，只能说明你不太懂网络。实际上，FBI目前都破解不了IPSecVPN，即使VPN用到的所有encrytion，hash等算法都是公开的。正是因为IPSecVPN不可破解，我们做网络的才有其他手段（你说的截屏 -stanley(又见枫叶); 2016-3-1 {868} (#9969911@0) +1
就是其中之一）来维护网络安全以及配合司法机关的工作（当然要有法庭授权）。因为公司配发的电脑都是域用户，整个域里管理员有权限进入任何域用户的电脑，也可以静默安装后台截屏软件。在这种情况下，你屏幕上显示的任何东西理论上管理员也可以看到。但是，管理员是不允许随便使用这个权利的，就像警察不能随便搜查你家，否则我岂不是可以每天时不时看看市长或议员的机密档案了:)

如果你使用的是iphone/iPad等不能加入域的东西，再配合内置的Cisco IPSecVPN，就算使用公司的网络来上网，你的信息是很安全的，因为公司没法通过域的组策略来下发那些截屏软件等东东。

我们在工作中，有时候收到某个经理发过来的request，要求查询手下某几个员工的近一个月的上网记录，这时候我们只能在sophos或McAfee Webgateway等代理网关的后台数据库中来查找员工的上网记录并交个经理。如果员工用VPN的话，记录中只会显示员工连接到的某个VPN服务器。至于又通过VPN干了什么，我们是不知道的。如果员工是被警察监视，那才有进一步的截屏等措施。

非常感谢。准备用3G网络了。 -bennyxyz(Ben); 2016-3-1 (#9970013@0)
公司要看员工电脑的截屏，不需要警察监视。只要是有必要，相关经理可以让超级管理员截屏。毕竟你的电脑是公司的财产，公司有全部的权限。不过一般公司不用而已！ -coolrock(coolrock); 2016-3-1 (#9970926@0)
稍微补充一下，这些加密协议目前都是可以使用穷举破解的，但是不具时效性，即等你破解出来了，加密隧道早就不存在了 -akoei(停车**枫林晚); 2016-3-11 (#9989455@0)

请问大侠，在图书馆，咖啡馆等地方上网，有必要连自己的vpn吗？不连，被侵害的风险到底高不高？ -maotai(esolc); 2016-3-3 (#9974264@0)

如果你进行的只是普通网站浏览，如看看新闻，没必要用VPN。如果你要进行银行业务的操作，如信用卡付账，先连上自己的VPN再说是个很好的习惯。风险嘛，如果你能确认自己连的是图书馆等正规WiFi而不是取同样名称的钓鱼WiFi，风险应该不大。 -stanley(又见枫叶); 2016-3-3 (#9975848@0)

银行都是https，如果证书没有问题，自己客户端电脑没有问题，尽管放心使，不需要vpn -akoei(停车**枫林晚); 2016-3-11 (#9989444@0)

不大相信大公司和总部联系使用的VPN是走internet的，user to site的VPN可能是这样，政府不想管，但是总部和分支之间，比如我们公司的MPLS，是verizon租用的中国电信的专线，GFW有能力封，但是应该会有租用协议不能监听之类的 -akoei(停车**枫林晚); 2016-3-11 (#9989439@0)

据我所知，Canadian Tire Corp驻中国内地唯一的办公室（上海）就是通过VPN连过来的。每年大量的采购单全依赖VPN。 -stanley(又见枫叶); 2016-3-12 (#9989954@0)

自己写一个应该很容易的，想用啥口啥加密都行 -mangosteen(MG); 2016-3-11 (#9989588@0)

看别人做事总觉得简单，你来试试写一个就知道容不容易了。OpenVPN可以采用任何TCP或UDP端口，也可以选择使用证书或使用密码验证，照样被共产党封得死死的。 -stanley(又见枫叶); 2016-3-12 (#9989953@0)

@San Francisco

终于摆脱中国长城防火墙GFW的困扰了

Replies, comments and Discussions:

More Topics