2
Jamy 267 天前 1
如果是国内连国外的话,请加上能穿墙的代理
|
3
wws2023 267 天前 1
楼上正解,你没一个能转发的 怎么直连
|
4
fever OP |
6
mightybruce 267 天前 2
改用 ssl-vpn 吧,openvpn 有一定阻挡概率的。
建议 softetether vpn , 这个比较稳定。 |
7
totoro52 267 天前 1
GFW 能百分之 99 识别出 openvpn 并且阻断握手,你最好别在尝试链接了, 秒封 IP 的,不要用 openvpn 这种古老的东西去翻墙了,如果不是翻墙就不要用国外机器
|
9
JensenQian 267 天前 via Android 1
@fever 在大墙眼里,这和爬墙没区别,谁知道你干啥
|
10
totoro52 267 天前
@fever #8 那也不要用 openvpn 替代 openvpn 的东西很多的, 这东西已经被 GFW 分析得彻彻底底的了,如果你还是想要用它,就像楼上所说的, 你可以套一个加密的代理去作为前置
|
11
shuimugan 267 天前 1
最近刚好在折腾这个,直连外面 2 周没啥问题,用 https://github.com/dockovpn/dockovpn 这个搭建的,如果是 docker compose 运行结合 https://github.com/dockovpn/dockovpn/issues/221 这个就搞定了,客户端也是 tls 。
有一说一 openvpn 真的老旧又落后,也就是为了直接在华硕的路由器上使用才选的,平时我都用 wireguard 。 |
12
shakeit 267 天前 1
这个问题好像遇到过,后来应该是改的配置
route-nopull route 192.168.255.0 255.255.255.0 vpn_gateway 当时是为了访问某些不具备外网 IP 的机器,不过后来像楼上老哥一样改用 docker 部署了 |
13
Remember 267 天前 1
openvpn 没有任何价值了,无论是不是为了翻墙,都会被墙识别出来秒封。
|
14
busier 267 天前 via iPhone 1
在我们地区,手机联通卡,出门在外通过 OpenVPN 连接回家里电信宽带,连几次后,就会被阻断。阻断时,换联通卡+wg 就没问题,或者立马切回电信手机卡+openvpn 也没问题
可见即使在大陆内网,openvpn 也可能被阻断。 |
15
newlifeinsc 267 天前 1
把你 server 和 client 的版本列出来下呢。 我遇到过一个类似情况,用 linux 的 client 连上去后马上又 Connection reset, restarting 。 但 windows 的 client 就是 ok 的。后来最终排查到是 linux 的 client 版本过高,server 版本过低。client 已经不支持 server 用的加密方式了。
|
18
ik 267 天前 via iPhone 1
没记错的话 openvpn 可以前置代理。 或者研究一下 xray 的"任意门"做端口转发, 可以实现的方式就很多了。
参考这个 https://www.40huo.cn/blog/wireguard-over-vless.html |
19
YaD2x 267 天前 1
借楼问一个 openvpn 问题,困扰我多天了。服务端部署在阿里云,有个客户端在 aws , 现在 aws ping 阿里云服务端可通, 从阿里云 ping aws 的私网 ip 不通。尝试添加了各种路由都不通。aws 的 ip 是 172.31.38.233/20 vpn 服务端 ip 是 172.24.135.95/20 vip 是 net 10.8.0.1 peer 10.8.0.2/32 scope global tun0 我之前发过一条帖子,但是没人理我哈哈哈。https://www.v2ex.com/t/1025209#reply0
|
22
fever OP @newlifeinsc #15 都是 Linux 来着 2.5.5
|
23
chronos 267 天前 1
要不你尝试一下 tinc ,我用这个连接国内外很稳定,用了好多年了。
|
30
newlifeinsc 267 天前
@fever #22 那应该是和我的状况不一样, 我用的 openvpn3 的 client 去连的。相同的 client 配置,你有用其他平台的 client 去试吗
|
31
fever OP @newlifeinsc #30 并没有 我是两边都是 linux 不同区域的
|
34
ExplodingFKL 267 天前 1
openvpn 太复杂了,加上大量的协议协商,这玩意的握手特征特别明显,阻断是常有的事情 ,如果是组网的话可以用 nebula 、n2n 、wireguard 啥的,虽然出国 UDP 日常拉胯 ...
|
36
fever OP @nkloveni #35 说的预共享是我 append 里面的 static 共享密钥方式吗 ?意思是下面的 static 方式是没问题 ,但是用 tls 不行,就是因为 tls 有特征被阻断吗
|
37
pagxir 267 天前 via Android 1
组网用 fou ipsec ipip 都可以吧。用 VPN 是为了安全。
|
38
ranaanna 266 天前 1
可能有一个错误:客户端的 cert 和 key ,不应该和服务端的是一样的,但是这里从文件名字来看,可能是一样的。简单的 static key 已经过时了。tls-auth hangshake 很多年前也被封了,但是 OP 只需要额外配置一个 tls-crypt ,给 tls-auth 加个密,就能顺利用到当下
|
39
ranaanna 266 天前
抱歉前面写错了,tls-auth 和 tls-crypt 是相似的东西,被封的是 tls handshake ,所以需要额外配置 tls-auth 或 tls-crypt
|
40
ranaanna 266 天前 1
再次抱歉看 OP 配置是有 tls-auth 的(但是不需要 0 1 ,因为不是点对点),所以可能的问题是两端用了相同的 cert 和 key
|
41
nkloveni 266 天前
@fever static 点对点肯定没问题的,fq 也没特征,不会被封,放 80 或 443 还能享受 QoS 的优势。但你那个日志比较奇怪,server 压根没收到请求。但换成 static 是可以的对吧,网络连通性也没问题,我也搞不懂
|
43
defunct9 266 天前 1
搞定,结案
|
44
fever OP |
45
ranaanna 266 天前 1
@nkloveni 当前版本( 2.6 )还有这个选项,但是会有警告提示。2.7 版本是错误提示,但是可用--allow-deprecated-insecure-static-crypto 跳过。将来的 2.8 版本没有这个选项。pki ca 是有些复杂,但是好在有 easy-rsa ,跨墙有问题,但是这么多年用下来,似乎只要配置 tls-auth ,就没有问题。
|
47
xdzhang 266 天前
我用 softether ,比 openvpn 配置方便。
|
49
ranaanna 266 天前 1
@fever PKI 可以说是建立 openvpn 配置的第一步。PKI public key infrastructure 公钥基础设施是指服务器和各个客户端都有各自的证书 cert 和私钥 key ,用来证明各自的身份; CA certificate authority 是指主颁发机构,本质上是一组证书和私钥,用来签署服务器和客户端的证书,保证所有的身份都是真实、唯一和可靠的。通常使用外部 PKI 需要付出一定的代价,所以 openvpn 提供了 easy-rsa ,用来部署自签的 CA ,给所有服务器和客户端颁发证书。所以 OP 认为 easy-ras 是生成证书的工具,理解也并没有错
|
52
150530 266 天前
@fever 异地组网解决方案一般是 WireGuard 吧,或者 zerotier 和 tailscale 带 p2p 穿透的,用 openvpn 不太合适,建议了解一下 WireGuard
|
53
ranaanna 266 天前
@ranaanna 实际上无非是身份验证方法而已。static keys 是用双方都预先知道的密钥来证明双方的身份是真实可靠的,这种方法在当今已经不再认为是足够好和安全了。所以一般用的是基于证书的身份验证,openvpn 的通常方法是用 easy-rsa ,生成自签 CA ,并在此基础上创建和管理所需的证书,从而产生一个 PKI ,形成一个相互信任的网络。这个小小的 PKI 仅仅是一个私有 PKI ,只在一个很小的范围内提供身份验证。当然,也可以使用公共 PKI (比如 Let's Encrypt )提供的证书,但是这需要提供包括 common name 等信息,需要每个终端都要有独立域名,大多数公共 PKI 都是收费的等等,实际上完全没有必要。关于其他的“架构”,openvpn 还提供了用户名/密码的验证方式,但是一般是用在证书+用户名/密码的双重验证,单独的用户名/密码验证可以用--client-cert-not-required 强制,但是还是需要服务器的 ca
|
54
huihuilang 266 天前 via Android
我司现在用 cisco 的 anyconnect ,连接国外总部服务器稳如狗
|
57
erfesq 265 天前 via Android
openvpn 国内用还好,可以家里软路由,用 op 回去
|