Re: [翻墙论坛] 讨论OpenVPN打破GFW的限制

[Net XX]

​GFW 对任何端口，甚至是多个端口，都会监测流量，只要这个流量多了，都会进行干扰。


所以上国外网站虽然比较慢，但还能忍，可是你想从国外下载点什么大东西，都是非常痛苦。
GFW最根本有效的识别方法就是ipv4，这是稀缺资源，谁都无法大量搞到ipv4了。

目前XX-NET的策略是利用大量的GAE ip来通信，然后通过x-tunnel的算法来合并流量，实现
稳定的大流量通信。

目前x-tunnel是实现socks4/5协议，改成VPN的话，最好是通过RedSocks的策略，才能有效
提高性能，如果直接进行IP包层次传输的话，tcp的速度会很低。

[Gary12]

net xx兄，本人近来一直在修炼docker openstack hadoop，无暇再搞翻墙大业。以后有可能会往程序员开发转，如果有TCP/IP编程的问题届时再来交流。

在 2017年7月20日星期四 UTC+8下午6:46:04，Net XX写道：

[Net XX]

​Gary 兄，SA和Coding并不矛盾，牛逼的SA是要自己写代码的，而牛逼的Coding也是自己做SA系统的，祝好！

--------------------------
@gyjys43043

GFW对所有通信都进行无差别的干扰，只要流量大了，都不能豁免，如有例外，请告知。
试过的443端口的https、包括UDP、多端口，在传输几百K之后，都出现卡顿、丢包干扰。

如有更多思路，大家探讨。

[brit...@gmail.com]

hi.
我看了此文https://a.iwshare.me/?p=48 ，不过我在本地机器（mac)上运行sudo route add -host my-vps-ip gw 192.168.1.1遇到错误：
yudeMacBook-Air:~ brite$ sudo route add -host 104.223.21.28 gw 192.168.1.1
Password:
route: bad address: gw
yudeMacBook-Air:~ brite$

该如何写这条命令呢？？

在 2017年7月19日星期三 UTC+8上午11:09:36，K.G.写道：

今年年初新网规的出现，加上近年GFW的升级，导致VPN软件全面沦陷。特别是OpenVPN，这种极难拦截的技术都已经能被GFW正确识别。

本贴想讨论下，如果通过其他方法，让OpenVPN打破GFW的限制

根据网上的分析，GFW已经能识别OpenVPN 证书方式的TLS握手信息，所以如果改成静态密钥认证，应该没问题了吧？可以增大识别难度，但也不一定没问题。

假如我的服务器是1.1.1.1，Openvpn的端口是11111的话。GFW会发现长期有流量发送到1.1.1.1:11111，而且这些流量还不能识别，如果流量过大的话，系统会针对这个IP随机丢包，甚至封掉这个IP。(有论坛讨论过GFW的“捣乱策略”，如果某IP长时间发同类型看不懂的包，发包越多丢包就越厉害。)

那么如果把流量伪装成标准端口的标准流量，应该可以防止捣乱策略了吧？理论上抗封锁能力会强很多，但还是有被发现的可能。

目前收集到的伪装方法有以下几种：

1. 使用OpenVPN+Stunnel来伪装成HTTPS流量

2. 使用OpenVPN+SSH来伪装成SSH流量

先写这么多，如果大家有兴趣讨论，再更新