在本文中,我们讨论绕过 VPN 封锁的方法。使用 VPN 是绕过互联网审查的好方法。在正常情况下,您所需要做的就是连接到位于不受审查的地方的 VPN 服务器,并且您可以不受审查地访问互联网。
当然,问题在于 VPN 的这一功能是众所周知的。结果,那些审查你互联网的人也会试图阻止使用 VPN 来绕过他们的审查......
互联网审查
互联网审查有多种形式和规模。常见的例子包括:
出于政治和/或社会原因的政府审查
典型的例子包括中国的防火墙和伊朗的国家审查制度。阿联酋最近还因将使用 VPN 等绕过其审查限制的行为定为犯罪而登上新闻头条。有关使用 VPN 绕过这些国家/地区审查制度的更多信息,请参阅我们的阿联酋 VPN和适用于中国的 VPN指南。
出于版权原因的政府审查
政府阻止访问被认为宣扬或助长版权盗版的网站变得越来越普遍。这种形式的审查制度在欧洲国家尤其常见,其中英国处于领先地位。俄罗斯最近还加大了阻止盗版内容访问的力度。
工作
许多工作场所试图阻止员工访问可能令其他同事不安或冒犯的内容(请参阅工作不安全)。或者这可能会分散他们的工作注意力(例如在社交媒体上聊天)。在工作环境中,此类限制通常是可以理解的。
学校和学院
教育机构阻止访问网络内容的情况很常见。当学生是未成年人时,这可以说是合理的。然而,在参加者是成年人的大学和高等教育机构中,情况就不那么明显了。事实上,高等教育机构的审查制度有点讽刺!
色情、社交媒体和与版权侵权相关的网站通常是主要目标。然而,政治内容受到审查的情况并不少见。
更令人担忧的是,年轻人无法获得与社会问题相关的重要信息,例如药物建议、性健康、种族和/或性别歧视、欺凌等。
媒体流网站阻止使用 VPN 绕过对其服务设置的地理限制的观看者的情况变得越来越普遍。典型的例子包括 Hulu、美国 Netflix 和 BBC iPlayer。
此类封锁的原因几乎总是因为版权所有者希望通过人为隔离世界市场来实现利润最大化。
法律考虑
VPN 封锁的实施是有原因的,而实施封锁的人通常对规避封锁的努力持悲观态度。
也就是说,即使在 VPN 被封锁的国家(例如中国和伊朗),它们的使用也几乎从来都不是非法的。这意味着逃避 VPN 封锁几乎永远不会让您陷入法律困境。
这一一般规则的一个显着例外是阿联酋,该国最近宣布,任何使用 VPN 的人将面临高达 200 万阿联酋迪拉姆(超过 50 万美元)的罚款和/或监禁。这在实践中执行得有多严格还有待观察,但强烈建议在尝试规避阿联酋 VPN 封锁时保持谨慎。
当然,尽管使用 VPN 和绕过 VPN 限制通常并不违法,但您在使用 VPN 时访问的内容可能是非法的。
安全考虑
使用专用 WiFi 或 LAN 网络时,该网络的所有者拥有一切合法权利来限制您在连接到其网络时可以执行的操作。这包括学校、大学、办公室和家庭网络等。
在此类网络上逃避 VPN 限制的行为被抓的几率通常很小,但可能会导致停职、解雇和其他纪律处分。
因此,值得仔细考虑的是,如果您被抓住,逃避 VPN 封锁的好处是否足以证明潜在问题的合理性。
VPN 阻止的工作原理
可以通过多种方式阻止 VPN 的使用,认真阻止 VPN 的组织通常会结合多种技术。
请注意,除了中国(所有进出中国的互联网流量仅限于 3 个政府控制的接入点)之外,政府 VPN 封锁(和审查)实际上几乎总是由 ISP 根据政府的指示执行。
VPN 封锁的常见策略包括:
阻止访问 VPN 网站
如果您无法访问 VPN 提供商的网站,则无法注册其服务或下载其软件。这种形式的审查通常会延伸到 VPN 评论网站(例如 eeshanaviation.com)和其他专门提供逃避审查方法的网站。
尽管阻止访问 VPN 网站很少是唯一的策略,但它是对其他方法的一种非常常见的补充。
阻止已知 VPN 服务器的 IP
发现 VPN 提供商使用的 VPN 服务器的 IP 地址并不太困难。然后阻止对它们的访问。
这是迄今为止阻止 VPN 使用的最常见方法,当与阻止访问 VPN 网站一起使用时,通常是大多数 VPN 阻止的范围。
鉴于 VPN 提供商数量众多,并且跟踪不断变化的服务器 IP 地址非常困难,大多数组织只能选择禁止更流行的 VPN 服务。这意味着规模较小、知名度较低的 VPN 服务的用户通常会“被忽视”。
端口阻塞
默认情况下,OpenVPN 使用港口1194(UDP,尽管这可以很容易地改为TCP)。其他 VPN 协议使用不同的端口。因此,阻止 VPN 的一种简单而有效的方法是使用防火墙来阻止这些端口。
深度数据包检测 (DPI)
深度包检测是“计算机网络数据包过滤的一种形式,它在数据包通过检查点时检查数据包的数据部分(也可能还有标头)。” DPI 使用了多种技术,其有效性水平也各不相同。
然而,即使使用相当基本的 DPI 技术,也很容易发现 VPN 协议封装的数据。数据包的内容保持安全加密,但 DPI 可以确定它已使用 VPN 协议加密。
对于执行 DPI 的组织来说,使用 DPI 检测 VPN 流量无疑是严肃性的一个进步。
简单的解决方案
使用移动连接
好吧,这对逃避政府封锁不起作用,但它适用于学校、大学、工作场所等。而且它通常是迄今为止最简单的解决方案。无需使用 VPN 来访问本地网络上阻止的内容,只需使用移动(蜂窝)连接在移动设备上访问即可。
这确实意味着您必须支付通常的移动数据费用,但它允许您轻松检查您的 Facebook 帐户,而且几乎不会因此而陷入麻烦。
尝试不同的 VPN 提供商和/或服务器
如前所述,跟踪属于所有 VPN 提供商的所有 IP 地址是一项艰巨的任务。因此,切换到低调的 VPN 服务通常足以规避全面的 IP 封锁。即使属于特定 VPN 的某些 IP 被阻止,只需更改为同一提供商运行的不同 IP 也可能有效。
一些 VPN 提供商定期回收其 IP 地址。这使得跟踪更改和阻止新 IP 成为一件令人头疼的事情。这种策略通常被称为“打地鼠”游戏。值得询问您的提供商是否这样做。
目前没有多少 VPN 提供商完全支持IPv6(穆尔瓦德是我所知道的唯一一个)。然而,随着新的 IPv4 地址变得不可用,这种情况几乎肯定会发生变化。 IPv6 极大地扩展了可用 IP 地址的数量。这意味着随着 IPv6 得到更广泛的采用,简单的 IP 块将变得越来越无效。
推出您自己的 VPN
一个更极端但更有效的选择是运行您自己的 VPN 服务器,然后从审查位置连接到它。
由于 VPN 服务器属于您,因此这不提供使用商业 VPN 服务的通常隐私优势。然而,它确实为您提供了您自己唯一的 VPN IP 地址,该地址不会被阻止。
你可以设置家用电脑充当您的个人 VPN 服务器,或租用和配置 VPS(这对于地理欺骗也很有用)。如果在 VPS 上运行自己的 VPN 看起来太困难,私人数据包.io可以为您完成繁重的工作。
专用IP地址
一些 VPN 提供专用 IP 地址。这意味着您不会与许多其他用户共享 IP,而是会被分配一个唯一的 IP(就像您推出自己的 VPN 一样)。由于该 IP 对您而言是独一无二的,因此不太可能被 Netflix 和 BBC iPlayer 等网站屏蔽。不过,与推出您自己的 VPN 一样,它不具备使用共享 IP 地址的隐私优势。看看我们的适用于 iPlayer 的 VPN页面了解有关解锁英国内容的更多信息。
做好准备
当访问中国等地时,最有效的策略之一就是做好准备!注册 VPN 服务并下载其软件前您的来访。即使 VPN 提供商网站的访问被阻止,VPN 连接本身通常也不会被阻止。
如果您没有做好准备(或从未有机会),可以使用替代的审查制度技术来访问 VPN 网站。然后您可以注册并下载他们的软件。
托尔网络
托尔提供匿名性比破坏审查制度更好。这是因为对 Tor 节点的访问很容易被阻止。Tor 桥可用于绕过 Tor 节点上的 IP 封锁,以及obs代理(见下文)可用于隐藏 Tor 流量以防止深度数据包检查。
Shadowsocks(影梭)
这是“一个开源代理应用程序,在中国大陆广泛用于规避互联网审查。”它是一个由中国开发者创建的开源反GFW工具/协议/服务器。基本上它是一个可用于大多数主要平台的 SOCKS5 代理。
涌
这与 Shadowsocks 类似,但仅适用于 iOS。
卷心菜
Lahana 源自 Tor,旨在通过使设置新节点变得“非常容易”来解决 Tor 出口节点容易被阻塞的问题。 Lahana 旨在击败土耳其的审查制度,但也应该在许多其他审查情况下发挥良好作用。
赛风
它结合使用 VPN、SSH 和混淆技术来绕过审查。例如,如果您在使用 VPN 时遇到阻塞,您可以切换到 SSH 或混淆的 SSH (SSH+)。 Psiphon 最好的事情之一是,如果您发现 Psiphon 网站被阻止,您可以请求通过电子邮件将软件发送给您。
事实上,大多数 VPN 提供商也会很乐意让您通过电子邮件注册并下载他们的软件。就问吧。
更改端口号
许多自定义 VPN 客户端允许您更改它们使用的端口。这是克服端口阻塞的好方法。两种最流行的端口选择是:
TCP端口80- 这是所有“正常”未加密互联网流量使用的端口。换句话说,它是HTTP使用的端口。阻止此端口实际上会阻止互联网,因此几乎从未完成。缺点是,即使是最原始的 DPI 技术也会发现使用此端口的 VPN 流量。
TCP端口443– 这是使用的端口HTTPS,保护所有安全网站的加密协议。如果没有 HTTPS,任何形式的在线商务(例如购物或银行业务)都是不可能的。因此,该端口被封锁的情况非常罕见。
作为额外的好处,TCP 端口 443 上的 VPN 流量在内部路由TLS 加密由 HTTPS 使用。这使得很多使用 DPI 更难发现。因此,TCP 端口 443 是逃避 VPN 封锁的首选端口。
许多 VPN 提供商提供使用其定制软件更改端口号的功能(尤其是在使用 OpenVPN 协议时)。
即使您的不支持,许多 VPN 提供商实际上也支持在服务器级别使用 TCP 端口 443 的 OpenVPN。您可以通过对 OpenVPN 配置 (.ovpn) 文件进行简单编辑来切换到它。因此,值得向您的 VPN 提供商询问此事。
另一种选择是使用SSTP协议(如果可用),默认使用 TCP 端口 443。
先进的解决方案
一些 VPN 提供商提供更先进的 VPN 阻止解决方案,旨在击败更敏感的 DPI 技术。此类技术分析数据包大小和/或时间来检测 OpenVPN 相当独特的握手,即使隐藏在 HTTPS 后面也是如此。
非常敏感(因此也非常昂贵,并且很少使用)DPI可能甚至在使用下面概述的策略时检测 VPN 使用情况。高级 VPN 隐藏有 2 种基本方法:
隧道/SSL 隧道
stunnel 是一个开源多平台程序,用于创建 TLS/SSL 隧道。 TLS/SSL 是使用的加密HTTPS,因此通过这些 TLS/SSL 隧道路由的 VPN 连接(通常是 OpenVPN)很难与常规 HTTPS 流量区分开来。
这是因为 OpenVPN 数据被封装在额外的 TLS/SSL 加密层中。由于 DPI 技术无法穿透这个“外”加密层,因此无法检测“内部”的 OpenVPN 加密。
SSL 隧道通常使用隧道软件。必须在 VPN 服务器和您的计算机上进行配置。因此,如果您想使用 SSL 隧道,则有必要与您的 VPN 提供商讨论具体情况(可以使用设置指南)这里供参考)。
是我所知道的唯一 VPN 提供商提供使用其定制的开源软件实现“开箱即用”的 stunnel 功能。我对 Anonyproz 不太熟悉,但它可以配置为 stunnel,其他提供商也可能提供此功能。
SSH 隧道
这与 SSL 隧道类似,不同之处在于 VPN 数据被封装在一层安全外壳(SSH) 加密代替。 SSH 主要用于访问 UNIX 系统上的 shell 帐户。它的使用主要限于商业领域,远不如 SSL 流行。
与 SSL 隧道一样,您需要与您的 VPN 提供商联系才能使其正常工作。
Obfsproxy(和类似技术)
Obfsproxy 是一个旨在将数据包装到混淆层中的工具。这使得检测 OpenVPN(或任何其他 VPN 协议)正在使用变得困难。
它一直被 Tor 网络采用,主要是为了回应中国封锁公共 Tor 节点的访问。然而,它独立于 Tor,并且可以针对 OpenVPN 进行配置。
要工作,obfsproxy 需要安装在客户端计算机(例如使用端口 1194)和 VPN 服务器上。但是,所需要做的就是在服务器上输入以下命令行:
obfsproxy obfs2 –dest=127.0.0.1:1194 服务器 xxxx:5573
这告诉 obfsproxy 侦听端口 1194(例如),本地连接到端口 1194 并将解封装的数据转发给它(xxxx 应替换为您的 IP 地址或 0.0.0.0 以侦听所有网络接口)。最好与 VPN 提供商一起设置静态 IP,以便服务器知道要侦听哪个端口。
与 stunnel 和 SSH 隧道相比,obfsproxy 不太安全。这是因为它没有对流量进行加密。然而,它的设置和配置稍微容易一些,并且带宽开销要低得多,因为它不带有额外的加密层。这对于叙利亚或埃塞俄比亚等地的用户尤其重要,因为带宽通常是关键资源。
一些提供商可能会使用类似于 obsfproxy 的替代技术。,例如,使用异或对其“xCloak”服务器进行混淆。
附录
关于阿联酋的说明
上述VPN封锁的先进解决方案将大概防止 DPI 技术检测到 VPN 使用(尽管阿拉伯联合酋长国已大量投资在先进的互联网监控系统中)。
然而,据信阿联酋 ISP 还可能维护一个庞大的 VPN 服务器 IP 数据库。他们可能只需通过您连接的 IP 即可轻松确定您正在使用 VPN(就像 Netflix 等网站所做的那样)。
事实上,您似乎不太可能仅仅因为在阿联酋使用 VPN 观看 Netflix 而被起诉。然而,如果您以某种方式激怒了当局,那么您使用 VPN 的事实可能会给他们提供针对您的危险武器。
我们始终建议在考虑时要格外小心在阿联酋使用 VPN。
关于阻止 VPN 用户的网站的说明
这种形式的阻塞可能很难克服。选择一家低调的 VPN 提供商或定期回收其 IP 的 VPN 提供商可能会很有效。反复试验是这里的关键。
我们强烈建议您充分利用所提供的任何免费试用和退款保证。这将使您能够亲自了解哪些 VPN 服务适用于您想要流式传输的内容。
请记住,今天有效的服务明天可能会被阻止。因此,最好一次支付一个月的订阅费用。这几乎总是比每年支付更昂贵。但是,如果服务被阻止(并非其本身的过错),您将不会留下对您毫无用处的一年订阅!
也许也值得一看智能域名解析解决方案,而不是使用 VPN。智能 DNS 服务也可以被阻止,但这比较困难,而且不太可能发生。被禁止的智能 DNS 服务比 VPN 服务少。
某些 VPN 服务(例如 AirVPN)使用奇特的 DNS 路由。这允许您连接到美国 Netflix 和 iPlayer 等服务,即使您没有连接到美国或英国(分别)的服务器!这并不总是 100% 有效,但仍然令人印象深刻。
结论
只要稍加横向思考,绝大多数 VPN 障碍就相当容易克服。即使采用复杂且高度敏感的深度数据包检测技术,stunnel 和 obfsproxy 等技术也非常有效。