避免 ISP 阻止 VPN 连接

Question

我租了一个虚拟专用服务器，并按照这个简单的教程设置了一个 VPN（PPTP 类型）。

看来VPN服务器设置正确，VPS管理员告诉我他们这边一切正常，其他客户设置VPN也没有问题......

但是我无法从我的 Windows 7 PC 连接到 VPN。我收到一个错误：800: Unable to establish the VPN connection. The VPN server may be unreachable, or security parameters may not be configured properly for this connection.

似乎我的 ISP (Sky UK) 阻止了连接或类似的东西，尽管我在路由器的端口 1723 上添加了防火墙例外...实际上我问过我的 ISP，他们说他们不支持 VPN 并且可以'不提供任何帮助...

有没有办法避免这种阻塞，如果有的话？

---

如果它有用，我已经在我的 PC 上运行Ms PortQuery：portquery -n my.vpn.ip.address -p tcp -o 1723并且结果是端口是FILTERED.

另外，如果我使用YouGetSignal 在线端口检查器检查我的端口，它会说端口 1723closed在我的 IP 上...

Answer 1

PPTP 可以被 ISP 阻止，因为它 (1) 仅在端口 1723 上运行，并且 (2) 使用易于识别的非标准 GRE 数据包。请参阅维基百科上的 PPTP。

解决方案是使用OpenVPN协议而不是 PPTP。这是BestVPN的教程，涵盖了在 Linux VPS 上设置 OpenVPN。

越来越多的混淆可以使 OpenVPN 流量在您的 ISP 的雷达下通过。从最简单的实现/检测（它们相关）到最难排序：

1. 默认配置- 只需安装开放 VPN。默认情况下，它在 TCP 端口 80 上运行，与常规 Web 流量相同。许多运营商在此端口上阻止加密数据包，因此这可能是 ISP 的 VPN 阻止策略中涵盖的第一步。
2. 使用 TCP 端口 443 - 通过 TCP 443 运行 OpenVPN（与浏览器中的 HTTPS/SSL 流量相同）是下一步。这会将您加密的 VPN 流量与您与银行等安全站点交换的数据放在同一个存储桶中。某些深度数据包检测方法可以过滤掉此端口上的 VPN 流量，因此您的 ISP 可能也涵盖了这一点。
3. Obfsproxy - 比听起来容易。这是 Tor 开发的一个项目，允许访问被阻止的中继，但也适用于 VPN 流量。需要安装在 VPN 服务器和客户端机器上。
4. 通过 SSL 隧道- 现在是更大的枪。使用stunnel one 可以通过第二层 SSL 加密发送自己的 VPN 流量，有效地将 VPN 流量屏蔽为标准 SSL 流量。这种方法对于已知的深度包检测方法是察觉不到的。
5. 通过 SSH 隧道- Stealth Bomber。即使在高度审查的环境中，SSH 几乎总是会通过，因为它是现代服务器架构的核心功能，而且审查策略本身就涉及 SSH。

这些方法在BestVPN 的另一个教程中有介绍。

您可以从普通的 OpenVPN 设置开始。如果它适用于您的 ISP，一切都完成了。否则，请按顺序尝试每个步骤，并在每次配置更改后检查是否可以通过。请注意，SSL/SSH 隧道方法比 Obfsproxy 更安全，但确实会因双重加密而导致性能下降。