v*********e
发帖数: 1 | 1 兵马未动,粮草先行。一个良好的工程习惯就是,在设计开发产品之前,就要想到如何
测试。
人在美国,如何测试产品呢?同样也许有人会问,“你在美国,如何知道做黑匣子测试
?前面说的‘公有IP重复利用’问题怎么发现?”
为了远程测试,我临时设置了4个Raspberry Pi板子,寄给国内的同学,朋友(深圳,
上海,北京,西安)。每个板子同时跑几种VPN协议--IPsec, OpenVPN TCP, OpenVPN
UDP, SSH。为了让这些协议不互相干扰,每个协议只建立通道,不做路由。
每个Raspberry Pi开机就自动建立通道到美国的服务器。再从服务器反向远程登录到各
个板子上。这样就当是人在国内测试了。当然整个测试就是黑匣子测试,自己根据结果
推断,验证。
我说我很幸运,因为,就这四个板子,我居然有一天发现,深圳的那个朋友家里的路由
器“公有IP”跟西安朋友家里一样,92.xx.xx.xx,但是跑whatismyip.com,路由器IP就
不一样,而且不是92.xx.x.xx。
除了了解到国内IP重复利用问题,还了解一些防火长城的特性。
• 联通的网络似乎对VPN松一点,IPsec, OpenVPN大部分时间能连上,还可以
流畅看netflix。电信网络就掐得死死的,根本连不上。(这是我2016年在中国自己家
里测试的,不是远程测试。不知道现在联通是不是还vpn友好?)
• IPsec 和OpenVPN 现在基本没戏。其协议包特征非常明显,防火长城一下
就掐死。
• SSH可以通过防火墙,也许是因为网络设备一般都有SSH远程调试吧?防火
长城网开一面。就是通过反向SSH,我可以从美国连回这些板子见识一下防火长城的厉
害。
• SSH 可以连,但是防火长城好像还是在模糊猜测/预测里面内容。比如,一
旦跑速度测试,它就给你掐断。想想也是,正常SSH远程终端一般连接的包都很小,一
旦防火长城发现大量大包,就认为你这肯定不是正常远程终端。掐死。但是呢,它也就
掐死你几分钟,然后给你恢复。应该是它不确定你里面跑什么,就这样让你也不爽。有
问题吗?那你去政府网管部门登记呀?我们这种只想看看国内视频什么的,估计都没法
等级。算是吃哑巴亏吧?
• 后来的几种不同VPN协议(包括自己写的)的测试,都看到同样的规律:只
要防火长城不知道你里面跑什么,它就随机给你断一会儿,然后恢复。为什么不把我的
IP封死呢?我猜,可能就是它也想立牌坊呀。记得以前某官员说过,大意是,“中国互
联网很自由畅通呀。。。”也许可以翻译成“我们从来都不直接封IP的。。”
• 从RaspberryPi板子上看,我一跑OpenVPN/TCP防火长城就给你发TCP reset
包,掐断TCP连接。跑OpenVPN/UDP, 就是泥牛入海,包直接被防火墙丢掉,这边服务器
就没收到。IPsec 也是这样,协议包都到不了美国。
• 针对目前掌握的规律:
1. 标准的VPN协议已经被识别
2. 用TCP,很容易被用TCP reset包掐断
3. 加密包,只要流量一大,就被掐,
4. 没有直接封IP, 几分钟后恢复。
我就当练练手,自己写个简单的通道协议:自己定义加密包,用UDP, stateless。服
务器/客户端两端的端口每隔(随机5~30)秒换一个(随机2049~60000)端口,简单的
说就是打一枪换一个地方。这样把流量分散到各个不同的连接(src-ip:port ~ dst-ip
:port)上。这个协议在美国稳定的网络环境下测试好了,再放到Raspberry Pi上试试。
结果如何?(待续) |
|
