不能說近期,準確來說應該是這兩年起,政策更注重網絡安全,直接表現是運營商線路開始檢測并封殺標準的VPN協議:IPSEC、PPTP和L2TP。一般情況下是如何檢測和封殺的?如下:
- 偵測UDP 500和4500端口,過濾掉對應的UDP流讓SA無法建立
- 偵測TCP 1723端口并封殺。端口用于 PPTP 控制消息的傳輸,像連接的建立、維護和終止等操作都通過該端口進行通信
- 偵測UDP 1701端口并封殺。此端口用于建立L2TP的控制鏈路
總部和A、B、C三個分支之間兩兩做IPSEC VPN隧道即:
問題描述:總部與A之間有SA(安全聯盟)但是內網無法正常通信。而總部與B、C通信完全正常。
從直接的現象來看SA能正常建立,說明主模式/野蠻模式和快速模式的階段握手全部走完了的,UDP 500和UDP 4500大概率沒有被封,數據通信已經走了ESP隧道加密封裝了
而總部和分支之間無法互訪,說明ESP封裝的數據報文大概是過不去的,所以基于這點抓取兩邊出口路由的WAN口報文比對即可;
在路由器的頁面中,可以看到IPSEC VPN的安全聯盟是已經正常建立的,所以基本可以驗證上述猜想:UDP 500和4500端口是允許放行的。
下一步直接抓WAN口報文,確認ESP封裝的數據包是否有正常發出并被對方的WAN口接收。
第二步:對比手機和筆記本同時http拉取文件的情況監控的接口分別為總部的出口路由器和A分支的出口路由WAN口:
?A分支發出的MSS=800字節(最大數據長度)的報文經過ESP封裝后得到的864字節包從A路由發出去了,但是總部的WAN口沒收到。說明中間鏈路丟包了。這邊分別測試了MSS=1000、1200的都是如此。
【問題總結和解決方案】
問題總結:
運營商線路封殺VPN相關的數據流
解決方案:
公眾文在此我不提供任何解決方案,僅提供你處理問題的排查思路。
閱讀原文:原文鏈接
該文章在 2025/5/7 17:58:21 編輯過
400 186 1886
