HQY 一个和谐有爱的空间

本来手里有着五六个 Shadowsocks 帐号，但体验都不佳，一直也没怎么用，是因为一直使用公司搭建的 Cisco Anyconnect，科学上网后百兆带宽可以满速使用，速度虽快，但是客户端软件默认是全局代理的，虽然可以走IP route list达到和Shadowsocks 的PAC同样的作用，但效果慎微，而且IP要自己去填，所以公司IT直接没搞这个route list，因为我们大部分电脑和手机APP都在墙内，这就导致在使用了Cisco Anyconn

在当今的企业环境中，出于安全和管理的考虑，很多公司的IT部门对内网进行了严格的限制。这些限制通常包括禁止直接从公司网络访问外部的SSH连接、封锁常用的远程桌面协议如RDP和VNC流量，以及禁用了如TeamViewer、AnyDesk、ToDesk等流行的远程控制软件。这种做法虽然能有效防止潜在的安全威胁，但同时也给需要远程访问工作资源的员工带来了不便。本文将介绍几种绕过这些限制的方法，以便在不影响公司网络安全的前提下，提高工作效率和灵活性。方案一：使用Ocserv或AnyLink部署远程网关方案

选择 ocserv 原因以下是市面上常见的几种VPN协议的简单对比：PPTP（点对点隧道协议）：这是最早的VPN协议之一，大部分操作系统都内置了对它的支持。但它的安全性较差，很容易被封锁，因此现在已经不推荐使用。L2TP/IPSec（第二层隧道协议/安全IP）：L2TP/IPSec相较于PPTP来说更为安全，但其流量特征明显，容易被防火长城检测并封锁。OpenVPN：OpenVPN是目前最常用、最安全的VPN协议之一。它使用SSL/TLS进行密钥交换，可以提供非常高的安全性。但是，OpenVPN

当下的实际情况是：两地均有且只有ipv4的公网地址公网地址不可靠，CN的地址会定期由于pppoe的拨号而变化，HK的地址较长一段时间不改变，但如果路由器重启则会发生变化简单的拓扑结构如头图，CN内网有一台小主机可以部署vm机器，HK内网只有一台NAS，操作相对受限方案一：Wireguard组网想到site to site的组网，最简单的方式是使用Wireguard，同时加上对应的Allowed IPs，以下是CN侧的wg0.conf文件示例，对侧的配置只需要反过来写即可：wg0.conf[Int

众所周知1：在国内访问直接访问部分外部网站存在一定的困难，通过”代理协议“可以部分解决这个痛点。为了能尽量打造无缝访问的氛围，使用者通常习惯在客户端长期持有这个”代理协议“客户端，且客户端逐步进化得更加”智能“，自动选择访问国内国外线路：此网站识别终端IP地址使用的iframe迁入网站，访问不会泄露个人信息。众所周知2：蜜罐的溯源方式通常为使用常见的社交网站的jsonp接口，从而拿到攻击者的社交网站个人信息进一步进行溯源：配图：无（我没有）猜想：结合上述两个已知条件，尝试识别终端用户是否使用了“

申请的主机（DigitalOcean）部署的shadowsocks-libev服务端使用ahead加密协议都是秒开之后就被阻拦了（SSH连接是正常的）。虽然这家vps服务商支持销毁主机再创建的模式新建一个IP，但是这也侧面说明了ss的协议不那么稳定。搜索了下，有个17年就创建的项目，20年各大软件都逐步开始支持的Trojan协议，尝试部署测试下。 GitHubtrojan-gfw/trojanAn unidentifiable mechanism that helps you bypa

nftables+clash打造透明代理时的dns处理问题在ubuntu上启用一个透明代理，这样局域网设备或者基于ocserv的VPN拨入进来可以无缝的访问需要代理才能访问的网站，同时VPN拨入进来后只有需要代理的流量走VPN，从而避免本地的访问速度变慢。考虑到对iptables实在不太熟悉，且觉得很多的配置过于繁琐也反人类，最终选择通过nftables劫持流量给到服务器上部署的clash端口。关于详细的配置或者需要配置UDP的透明代理，可以参考如下文章https://koswu.github.

本教程将向您展示如何通过在 CentOS 8/RHEL 8 上安装 OpenConnect VPN 服务器来运行您自己的 VPN 服务器。OpenConnect VPN 服务器又名 ocserv，是 Cisco AnyConnnect 的开源实现VPN协议，广泛应用于企业和大学。 AnyConnect 是一种基于 SSL 的 VPN 协议，允许个人用户连接到远程网络。为什么要建立自己的 VPN 服务器？也许您是VPN服务提供商或系统管理员，实现在家办公，您有必要建立自己的VPN服务器。

本教程将向您展示如何使用 HAProxy 在同一台机器上运行 OpenConnect VPN 服务器 (ocserv) 和 Apache/Nginx。 OpenConnect (ocserv) 是 Cisco AnyConnect VPN 协议的开源实现。 先决条件 为了学习本教程，假设您已经使用 Let’s Encrypt TLS 服务器证书设置了 OpenConnect VPN 服务器。如果没有，请按照以下教程之一进行操作。

本教程将向您展示如何像专业人士一样使用 OpenConnect VPN (ocserv)。你将学习：禁用不安全的 TLS 协议每用户/每组配置分配静态私有IP地址分割隧道启用 IPv6虚拟主机如何运行 ocserv 的多个实例要求为了学习本教程，假设您已经使用 Let’s Encrypt TLS 服务器证书设置了 OpenConnect VPN 服务器。如果没有，请按照以下教程之一进行操作。使用 Let’s Encrypt 在 Ubuntu 20.04 上设置 OpenConnect VPN 服

测试拓扑更新测试拓扑更新在 strongSwan测试环境的基础上，增加了一个“移动办公”的区域，使用一台win10虚拟机，模拟windows客户端连接到strongSwan VPN网关。拓扑中增加的配置增加的R-1路由器配置# 接口和路由配置 interface GigabitEthernet0/0   ip address 192.168.40.254 255.255.255.0   ip

测试目的使用strongsSwan软件，模拟阿里云和华为云，在aliyun与huaweicloud建立IPSec通道。保护两朵云上的服务器同步的数据流量。2. 通过该测试，熟悉strongswan软件的使用及排错。GNS3-StrongSwan测试拓扑测试环境描述三台模拟服务器使用debian12操作系统4台路由器使用CSR1000v分别模拟3个网关及互联网。GNS3配置CSR1000VUpdate用来更新debian12操作系统及软件安装strongswan软件版本--5.9.8-5测试环境配

strongSwan是一个完整的IPSec解决方案，为服务器和客户端提供加密和身份验证。用于保护与远程网络的通信安全。使用strongSwan需要掌握一些必要的知识：了解网络原理，从配置IP地址和DNS服务器到防火墙掌握基于公钥加密和公钥基础设施public-key infrastructure(PKI)的身份验证概念知道如何安装二进制软件包或按照说明编译源代码精通控制台console（linux）如果没有此类知识储备，请选择提供远程IPSec访问的即用型设备。配置文件配置strongSwan的

https://wiki.strongswan.org/projects/strongswan/wiki/IKEv1CipherSuites https://docs.strongswan.org/docs/5.9/config/IKEv2CipherSuites.html Diffie Hellman GroupsKeywordDH GroupModulusSubgroupIKEDeprecatedRegular Groupsmodp7681768 bitsm o glmodp10242102

https://wiki.strongswan.org/projects/strongswan/wiki/UserDocumentation   用户文档 https://wiki.strongswan.org/projects/strongswan/wiki/UsableExamples  可用例子https://www.strongswan.org/testing/testresults/  可用例子测试结果   http

使用IPsec-VPN实现本地数据中心IDC和阿里云VPC之间的网络互通时，在阿里云侧完成VPN网关的配置后，您还需在本地数据中心的网关设备中添加VPN配置。本文以华三（H3C）防火墙设备为例，分别介绍在双隧道模式和单隧道模式下，如何在H3C设备中添加VPN配置。https://help.aliyun.com/zh/vpn/sub-product-ipsec-vpn/user-guide/configure-an-h3c-firewall-device 说明建议您优先使用双隧道模式。关于什么是双

我们前面免费领取了天翼云的VPN连接，相关发文已经被删除了，但还是有不少同学领到了免费资源。有人问我这东西有什么用，那我们今天就跳过一些官方介绍的简单场景，以Windows 10系统为例，介绍一下如何配置Windows系统和天翼云VPN网关对接IPsec。经过我多日测试，发现配置方式跟之前介绍的Windows系统一样（Windows和H3C VSR对接隧道模式的IPsec隧道），初步测试支持Windows Server 2008 R2及以上版本的系统，需要支持配置Windows管理工具“本地安全

IPsec的RFC协议规范提到（IPsec：RFC2401-互联网协议的安全架构），IPsec定义了两种类型的SA：传输模式和隧道模式。传输模式SA是两个主机之间的安全联盟，也是我们前面使用Windows系统测试的场景（Windows和H3C VSR对接IPsec VPN）；隧道模式SA是两个安全网关之间的安全联盟，我们之前测试的设备对接大多是安全网关之间隧道模式的IPsec（使用IKE建立保护IPv6报文的IPsec隧道）。那Windows系统是否可以支持隧道模式呢？我们今天配置Windows

我们前面使用图形化界面的本地安全策略配置了Windows和VSR对接传输模式（Windows和H3C VSR对接IPsec VPN），还有隧道模式（Windows和H3C VSR对接隧道模式的IPsec隧道）；同时，我们也知道了使用netsh配置IPsec的命令（还能这么玩？Windows通过netsh命令配置IPsec），并且操作了通过命令行创建传输模式的IPsec策略（使用6条命令完成Windows和H3C VSR的IPsec对接），确实很简单，只要6条命令即可。如果换成隧道模式呢？通过图形

如何在Windows Server之间配置IPsec VPN（使用MMC和netsh两种方式配置Windows Server传输模式IPsec），分别使用netsh（Network shell）和MMC（Microsoft Management Console）两种方式配置了两台主机，并且协商成功。IPsec的RFC协议规范提到（IPsec：RFC2401-互联网协议的安全架构），IPsec定义了两种类型的SA：传输模式和隧道模式。传输模式SA是两个主机之间的安全联盟；隧道模式SA是两个安全网关