|
本帖最后由 Matrix 于 2017-12-12 15:18 编辑
1.运营商路由表较陈旧,很多IP走到了外网路由上。(刘工已确认)
2.PPTP客户端无法连接到无加密的PPTP的服务端上或者MPPE-40bit
几种情况:1.老毛子的PPTP服务器协商类型设为AUTO,安卓手机设置为无加密,连接成功。
2.老毛子的PPTP服务器协商类型设为MPPE-40bit,安卓手机设置为加密,连接成功。
3.老毛子的PPTP服务器协商类型设置MPPE-128bit,安卓手机设置为加密,连接成功。
4.老毛子的PPTP服务器协商类型设置为无,安卓设置无加密,连接成功。
以上说明老毛子的PPTP服务器和安卓手机客户端都是没有问题的。
A.高恪加密,老毛子MPPE-40bit,连接失败。
B.高恪加密,老毛子MPPE-128bit,连接成功。
C.高恪加密,老毛子AUTO,连接成功,并且老毛子日志看到协商到128bit MPPE。
D.高恪不加密,老毛子AUTO,连接失败。
E.高恪不加密,老毛子无加密,连接失败。
最终结论:高恪的PPTP连接只支持128bit,不支持40bit,无加密。因为有时候只是为了建立通道而已,不需要加密,并且加密消耗资源(特别是大流量)。建议修复BUG。
3.VPN走线问题。
高恪连接到PPTP的服务器(PPTP服务器IP:台湾省)之后,发现内置的DNS解析经过了PPTP线路,解析到了国外的IP地址(例如淘宝解析到了新加坡的阿里云机房)。
然后NSLOOKUP 手动查询www.taobao.com 设置的DNS IP(DNS服务器在上海市,并且该DNS上游为119.29.29.29),解析返回的IP为杭州市 电信机房。正常解析
策略路由规则:源IP:内网 目的IP:其他运营商 协议ALL 源端口ALL 目的端口:443 80,
就是说策略路由未设置DNS的UDP53走到PPTP上,包括外网的DNS IP也不会走PPTP线路上。
但是位于上海机房的DNS解析的IP返回了新加坡的阿里云,说明NSLOOKUP 路由器IP已经经过了VPN线路。
不专业的原因分析:
1.该DNS可能路由表认为是外网的IP,然后向外网请求解析,但是策略路由并没有这个策略,所以应该不是这个原因。
2.手动更改WAN口获取到IP地址为119.29.29.29,刷新PC上的DNS缓存(路由器没开DNS强制代理,不存在缓存问题),依旧解析的IP为新加坡的阿里云。
PC手动向119.29.29.29 NSLOOKUP 请求淘宝网的解析,解析IP为杭州的电信IP。说明排除路由表的问题,因为不至于换了多个DNS都认为是外网的IP。(换4个国内DNS全部解析到国外IP)
3.可能是路由的DNS请求逻辑问题,走到了PPTP远端上,并且不能设置不经过PPTP。这里建议加入选项,DNS请求端口,例如5353 53 等端口经过或者不经过PPTP的远端,本地WAN直接出去。
第三个问题讲人话:简单的说,连接上VPN服务端以后,路由本身的DNS请求直接走VPN上去了,不管这个DNS是不是在国内还是国外。
|
|