原文地址:http://insight-labs.org/?p=990
警惕IPSec/L2TP ***被GFW干扰后变明文
昨天拿服务器搭了个ipsec/l2tp的***给朋友***,朋友说连上之后只要一上国外网站,facebook,youtube之类的就会断线,我觉得很不可思议,明明都是加密了的,这不科学。
后来把debug打开,tail -f /var/log/secure,tail -f /var/log/message,一般情况下,连ipsec l2tp ***,secure log会显出现IKEv2握手的日志,最后会出现transport xxx established,说明ipsec通道建立完成,然后message log才开始出现ppp登录记录,但是每次我朋友拨***的时候,根本看不到secure log里有任何动静,上来就是ppp登录。
后来用nc发udp包做测试,正常情况下,用nc发送任意内容的udp包到udp 500端口,可以看到secure日志里提示数据包畸形(malformed xxxx),但是朋友用nc测试,也没有任何提示,说明udp包在500端口被drop了。
最诡异的一点是windows这时候居然还能建立成功***,即使打开了 需要加密(如果服务器拒绝将断开连接) 这个选项,还是可以建立成功***通道,只不过这个时候是明文的,而且gfw可以重建通道内的数据包进行审查。
如果打开强制使用最大程度加密的选项,***则会建立失败。但是在没有被封锁的地区是可以连上的。
GFW以前是不管ipsec ***的……
鉴于***对大家有着比***更重要的用途,使用l2tp ***的时候记得打开强制使用最大程度加密的选项,否则很容易在被gfw干扰的情况下变成明文***。