ruch z chin

[piter1789]

Witam,

mam pewien problem z Chinami:D

Klient pojechał do Chin, ma VPN RA IPSec z całym ruchem tunelowanym a okazuje się że nie działa:D
VPN się zestawia, ruch wychodzi z lokalizacji firmy, a jednak jakby nie do końca...ten VPN był bezpieczny...

"Podczas łączenia z serwerem facebook.com wystąpił błąd. Serwer używa przypinania kluczy (HPKP) jednak nie udało się utworzyć pasującego zaufanego łańcucha certyfikatów. Naruszenia przypinania certyfikatów nie mogą zostać nadpisane. Kod błędu: MOZILLA_PKIX_ERROR_KEY_PINNING_FAILURE

Żądana strona nie może zostać wyświetlona, ponieważ nie udało się potwierdzić autentyczności otrzymanych danych.
Prosimy poinformować właścicieli witryny o tym problemie."

Kod: Zaznacz cały

crypto ipsec transform-set VPN-IKEv1-AES256-SHA-IPsec-Transform-Set esp-aes 256 esp-sha-hmac
 mode tunnel
 
 interface Virtual-Template1 type tunnel
 ip unnumbered GigabitEthernet0/0
 ip nat inside
 ip virtual-reassembly in
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile VPN-RA-IPsec-Profile
 

pomoże ktos?

[piter1789]

a co ciekawe:

icrosoft Windows [Version 10.0.14393]

(c) 2016 Microsoft Corporation. Wszelkie prawa zastrzeżone.

Kod: Zaznacz cały

ping facebook.com

 

Pinging facebook.com [198.98.108.64] with 32 bytes of data:

Reply from 198.98.108.64: bytes=32 time=596ms TTL=45

Reply from 198.98.108.64: bytes=32 time=582ms TTL=45

Reply from 198.98.108.64: bytes=32 time=583ms TTL=45

Reply from 198.98.108.64: bytes=32 time=581ms TTL=45

 

Ping statistics for 198.98.108.64:

    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

    Minimum = 581ms, Maximum = 596ms, Average = 585ms

 
tracert facebook.com

 

Tracing route to facebook.com [198.98.108.64]

over a maximum of 30 hops:

 

  1   399 ms   400 ms   386 ms  81-18-219-187.static.chello.pl [81.18.219.187]

  2   400 ms   387 ms   385 ms  ElteS-do-KroCORE1.net.aster.pl [77.236.20.129]

  3   400 ms   385 ms   385 ms  89-75-18-201.infra.chello.pl [89.75.18.201]

  4   401 ms   392 ms   389 ms  84.116.192.110

  5   400 ms   392 ms   391 ms  pl-krk01a-rd4-ae26-1456.aorta.net [84.116.192.106]

  6   422 ms   394 ms   388 ms  84.116.193.29

  7   399 ms   404 ms   390 ms  pl-waw02a-ri1-ae1-0.aorta.net [84.116.138.90]

  8   431 ms   392 ms   396 ms  213.46.178.54

  9   585 ms   592 ms   583 ms  et-8-1-0.cr2-lax2.ip4.gtt.net [89.149.130.9]

10   601 ms   580 ms   582 ms  69.31.114.2

11   600 ms   594 ms   581 ms  dc03r01cr01.scalabledns.com [172.246.0.233]

12   595 ms   580 ms   581 ms  dc03r02ds30.scalabledns.com [199.193.248.7]

13   599 ms   580 ms   587 ms  prop5.telyy23.in [198.98.108.64]

 

Trace complete.

a strona się nie wczyta;))

[mihu]

z tego co słyszałem Chiny blokują FB i Google, ale nie wiem jak to wygląda z VPNami. Zobacz czy inne strony działają, np ta

[piter1789]

testowałem po VPN...
własnie nic z googla nie działa ani z FB a inne tak... onet.pl czy wp.pl działało..

bardzo dziwne.. mam ochotę spróbować na Opera i ich kliencie VPN..

[mihu]

testowałem po VPN...
własnie nic z googla nie działa ani z FB a inne tak... onet.pl czy wp.pl działało..

bardzo dziwne.. mam ochotę spróbować na Opera i ich kliencie VPN..

Authorities are rolling out a 14-month crackdown targeting China-based providers of virtual private networks (VPNs), which help people access popular sites such as Facebook, Twitter and Youtube. The websites are blocked on the Chinese mainland.

nie wiem czy to Ci pomoze ale ciut wiecej info http://www.scmp.com/news/china/policies ... t-firewall

http://www.telegraph.co.uk/news/2017/01 ... ng-called/

[psles]

@mihu +1

[piter1789]

Co ciekawe na operze przy ich VPN działa, a przy moim IPSec czy SSL nie działla ;/

[PatrykW]

Jak to sie odbywa, robia DPI na styku sieci ?

[piter1789]

Powiem Ci że nie wiem,, ale mega dziwne.. bo cały ruch tuneluje, DNS mam firmowe i wszystko wychodzi mi adresem firmowym, a to co blokują chiny się nie wczytuje..

[mihu]

ciekawe jak to działa - ok, chwila szperania : to trochę przybliża temat: https://www.howtogeek.com/162092/htg-ex ... ina-works/

co rozumiesz przez:

(...) na operze przy ich VPN działa (...)

off-top: z tego co pamiętam także na Bliskich Wchodzie był nielegalny VPN i szyfrowanie, co poniekąd było przyczyną początkim końca RIM (BlackBerry), bo zostali zmuszeni do deszyfracji rozmów, przez co stracili zaufanie klientów.

[piter1789]

Co rozumiem przez to..
zainstalowałem opere i ona ma wbudowanego swojego VPN, po użyciu ich VPN np. Facebook czy gmail działa;)

[mihu]

z opery nie korzystam, ale pierwsze słyszę zeby klient www mial wbudowanego klienta rvpn.

co do działania - ciekawe jak długo i czy jest to legalne, zeby user/firma potem nie miała problemów, chyba ze fb jest potrzebny do pracy.

[Kyniu]

z opery nie korzystam, ale pierwsze słyszę zeby klient www mial wbudowanego klienta rvpn

Opera nazwała to VPN ale w praktyce to proxy. Po prostu wychodzisz w świat przez serwery Opery.

[mihu]

z opery nie korzystam, ale pierwsze słyszę zeby klient www mial wbudowanego klienta rvpn

Opera nazwała to VPN ale w praktyce to proxy. Po prostu wychodzisz w świat przez serwery Opery.

dzięki Kyniu, nie zawsze jest czas (i chęć) wszystko samemu sprawdzać. Opery nigdy nie lubiłem.

Ciekawe, że taki myk przechodzi przez Great FW of China...

[Kyniu]

Pogmerałem i:

Once the user enables the feature in settings, Opera VPN sends API requests to https://api.surfeasy.com to obtain credentials and proxy IPs. The browser then talks to a proxy like de0.opera-proxy.net, and its IP address can only be resolved from within Opera when the VPN feature is turned on. It’s an HTTP/S proxy that requires authentication.

When the Opera browser with enabled VPN loads a page, it sends many requests to de0.opera-proxy.net with a Proxy-Authorization request header.

The Proxy-Authorization header decoded:
CC68FE24C34B5B2414FB1DC116342EADA7D5C46B:9B9BE3FAE67
4A33D1820315F4CC94372926C8210B6AEC0B662EC7CAD611D86A3

Since we’re talking about a proxy, these credentials can be used with de0.opera-proxy.net even when connecting from a different machine. This means that if you use the proxy on a computer with no Opera installed, you’ll get the same IP as when using Opera’s VPN.