V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
jdjingdian
V2EX  ›  宽带症候群

我的家宽域名被 SNI 阻断了

  •  
  •   jdjingdian · 236 天前 · 5220 次点击
    这是一个创建于 236 天前的主题,其中的信息可能已经有所发展或是发生改变。

    坐标广东,电信宽带,有公网 IP

    家里暴露 8443 端口,用 nginx 反向代理指向 emby 、gitea 等服务,证书用 acme.sh 签名并更新

    昨天突然国内的设备无法访问,但是位于韩国的甲骨文服务器却可以访问到。

    电脑连手机热点抓了个包,TCP 三次握手正常,然后本机发送 client Hello 后,就一直在重传了,不太清楚是 client hello 直接被防火墙 drop ,还是服务器返回的被 drop

    Imgur

    其实也知道家宽建站并不合法,之前就是偷懒,一来是觉得买云服务器转发的话,带宽受限,而如果用 vpn 连回家的话,又有点麻烦(懒

    目前来看,可以降回 HTTP 明文访问,自签名 https 证书可能也行

    有没有什么能保证直连速度和安全性,又便捷的方法呢,求大佬们建议

    实在不行以后就用 vpn 连回去再看片算了

    第 1 条附言  ·  236 天前
    试了一下,目前大概是这样的情况
    1. 保持 8443 端口不变,HTTP 能正常访问
    2. 改用自签名证书,端口变不变都无法访问
    3. 本地修改 HOST ,www.baidu.com 指向我的服务器 IP ,带端口访问,仍然被阻断丢包
    4. 纯 IP HTTPS 端口访问,被阻断丢包

    另外,昨天出现问题后,我就把 8443 端口关了,今天重新拨号有了新的 IP ,把 8443 端口打开后,HTTPS 访问还是秒被阻断

    以后不瞎几把玩了,我是不是已经被盯上了啊😭
    38 条回复    2024-03-21 10:27:33 +08:00
    HAWCat
        1
    HAWCat  
       236 天前
    VPN 吧,也不麻烦
    JamesR
        2
    JamesR  
       236 天前   ❤️ 1
    你域名是国内的还是国外的?
    我国外的域名,电信家宽,走 HTTPS 用 7 年了,稳定,现在换了移动,也很稳。

    “降回 HTTP 明文访问”,那不是找事吗?还不如不用域名用 IP 。
    可以 GitHub 找个变 IP 发邮件的程序后台跑着,过渡一下。
    cheng6563
        3
    cheng6563  
       236 天前
    我觉得 VPN 最烦的是会和翻墙之类的东西冲突
    所以我直接用的 SSH 转发端口
    jdjingdian
        4
    jdjingdian  
    OP
       236 天前
    @JamesR 国内的域名,dnspod 注册的

    刚刚试了,纯 IP 访问,端口改 18543 ,也不行,http 就能成功返回
    JamesR
        5
    JamesR  
       236 天前
    @jdjingdian #4 国内域名,解析到家宽 IP 上,然后域名商通报给电信,电信它都不用扫你,就知晓了。
    jdjingdian
        6
    jdjingdian  
    OP
       236 天前
    试了一下,目前大概是这样的情况
    1. 保持 8443 端口不变,HTTP 能正常访问
    2. 改用自签名证书,端口变不变都无法访问
    3. 本地修改 HOST ,www.baidu.com 指向我的服务器 IP ,带端口访问,仍然被阻断丢包
    4. 纯 IP HTTPS 端口访问,被阻断丢包
    deorth
        7
    deorth  
       236 天前 via Android
    用 h3
    jdjingdian
        8
    jdjingdian  
    OP
       236 天前 via iPhone
    无语了,好像有点乌龙

    换自签名证书后,用移动数据能访问

    是公司网络访问不了,不知道是不是公司的网络把我的域名给墙了😅😅😅
    chengyecc
        9
    chengyecc  
       236 天前 via Android
    用 vpn
    而且也可以用梯子的常用协议搭,clash 也支持 wireguard ,终端写个分流就好了
    jiangzm
        10
    jiangzm  
       236 天前
    @jdjingdian #8 墙毛,破域名加入规则都多余。 别自签名了换个签名证书试下。
    marcuccilli
        11
    marcuccilli  
       236 天前 via Android
    回家里还是开个代理回家吧
    cndns
        12
    cndns  
       236 天前 via Android
    可能开了代理
    killgxlin
        13
    killgxlin  
       236 天前 via Android
    为啥用 8443 呢?不是也要带上端口号吗
    ccxuy
        14
    ccxuy  
       236 天前
    我也碰到同样的问题,之前用了几年好好的。
    ccxuy
        15
    ccxuy  
       236 天前
    但是我连 HTTP 都不行,感觉所有端口都被防火墙挡住了,所以 openVPN 也接入不了。
    jdjingdian
        16
    jdjingdian  
    OP
       236 天前
    @ccxuy 目前看起来就是昨天临时出现,重新拨号换 ip 又好了,换回 acme.sh 申请的证书也能正常访问,不知道还能坚持多久
    ccxuy
        17
    ccxuy  
       236 天前
    @jdjingdian 好主意,我也是前两三天出现的,重启过其他几个设备,但是还没重启过路由器换 IP ,我回头试试。
    ccxuy
        18
    ccxuy  
       236 天前
    @jdjingdian 实在不行就走 FRP 了,不过如果真要搞家宽用户,这么大流量定向发送的特征也是十分明显。
    yanjieee
        19
    yanjieee  
       236 天前
    你是不是用了 esni ,极端情况下可以改一下 win=4 (这个可能要改内核)
    losoft
        20
    losoft  
       236 天前
    frp 是明文,特征很明显,最好是 frp+stunnel ,外面套一层加密隧道
    giffgaffman
        21
    giffgaffman  
       236 天前
    公网 IP 搭建 web 本身就很敏感,要是搁别的省份直接给你掐网线了;
    有公网 IP 的话,openVPN 目前最稳;
    jdjingdian
        22
    jdjingdian  
    OP
       236 天前
    @yanjieee 没有呢,我 sni 明文发送的,之前都不知道什么是 esni😭
    xixiv5
        23
    xixiv5  
       236 天前
    楼主广东哪里?我也有点担心
    Jacksu
        24
    Jacksu  
       235 天前 via iPad
    @losoft frp 新版默认 tls 加密了
    AlphaTauriHonda
        25
    AlphaTauriHonda  
       235 天前 via iPhone
    @jdjingdian 墙内互联是不经过墙的(除了用来调试墙的上海电信 IP ),所以没有 SNI 审查。
    yyysuo
        26
    yyysuo  
       235 天前 via iPhone
    你但凡用个 8444 呢?怎么跟 43 杠上了
    wm5d8b
        27
    wm5d8b  
       235 天前 via Android
    试试 ipv6
    momooc
        28
    momooc  
       235 天前 via Android
    换个 5 位数以上的端口好吗?
    serafin
        29
    serafin  
       235 天前 via iPhone
    甲骨文过墙可以访问,众所周知国内流量不过墙。不可能是墙的锅。 流量特征?
    LGA1150
        30
    LGA1150  
       235 天前 via Android
    PMTU 黑洞?
    vibbow
        31
    vibbow  
       235 天前
    @AlphaTauriHonda 国内互联现在也有墙了,已知浙江是有的,只要在黑名单内,哪怕是国内的 IP ,也直接 SNI 阻断。
    vibbow
        32
    vibbow  
       235 天前
    @AlphaTauriHonda 国内互联的墙,叫做 反诈系统
    vibbow
        33
    vibbow  
       235 天前
    liuxyon
        34
    liuxyon  
       233 天前
    大陆不允许家宽自建网站. 根据很久之前规定要进行备案. 后来限制更紧,索性不用了.
    AlphaTauriHonda
        35
    AlphaTauriHonda  
       233 天前 via iPhone
    @vibbow 有道理,这个浙江的墙屏蔽列表应该和🧱不一样。
    ddczl
        36
    ddczl  
       233 天前
    你怎么敢用 8443 的?工信部明文写着 80 、443 、8080 、8443 不允许,你换个 36443 不成?
    lovelylain
        37
    lovelylain  
       233 天前
    @ddczl 哪里?我搜了一下联通入网协议,不允许 80/8080/443 ,我一直用 8443
    ddczl
        38
    ddczl  
       233 天前
    @lovelylain 早些年我还有电信 IPv4 的时候查到的,所以从那个时候一直走的是高端口,一直到现在都没问题,现在是联通
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1449 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 17:27 · PVG 01:27 · LAX 09:27 · JFK 12:27
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.