Tenho o OpenConnect em execução no meu escritório em casa para que eu possa acessar meu laboratório de hotéis e / ou sites de clientes. Para ajudar a encontrar o servidor, eu solicitei a ajuda de um serviço DNS dinâmico que me permite usar um subdomínio do meu nome DNS registrado.
Por exemplo, se meu nome real for John Doe , registrei johndoe.me.uk e o serviço DNS dinâmico permite que vpn.johndoe.me.uk sempre aponte para o endereço IP externo do meu roteador.
Ao se conectar (por exemplo) a um hotel WiFi (ou Ethernet com fio), ele funciona muito bem.
No entanto, se eu tentar conectar através de uma rede móvel (celular), a conexão será descartada instantaneamente. As saídas Wireshark e tcpdump mostram que o cliente envia a mensagem TLS ClientHello e um TCP RST é retornado. Eu tentei isso com duas redes do Reino Unido - Três e Vodafone - e ambos se comportam da mesma forma.
Meus pensamentos iniciais eram de que isso era baseado em protocolo - algumas inspeções profundas de pacotes que rejeitavam o protocolo AnyConnect. No entanto, se eu reconfigurar o cliente para usar o endereço IP externo atual do roteador em vez de vpn.johndoe.me.uk , ele funcionará; sugerindo inicialmente algo para fazer com a resolução de nomes, talvez?
Continuando com esse pensamento, eu já tentei um serviço DNS dinâmico diferente ( {account}.zzzz.io ) e isso também funciona - meu nome DNS ainda é o suspeito número um.
Eu tenho ido tão longe quanto usando o arquivo /etc/host em meus dispositivos clientes para ignorar a resolução de DNS. Se eu tentar o seguinte de cada vez (assumindo que 12.34.56.78 é o endereço IP atual do meu roteador), obtenho:
12.34.56.78 vpn.johndoe.me.uk # This fails
12.34.56.78 abc.johndoe.me.uk # This fails
12.34.56.78 vpn.ohndoe.me.uk # Dropped the 'j' - this works!
12.34.56.78 vpn.johndoe.me.u # Dropped the 'k' - this works!
Meus pensamentos agora é que meu DNS registrado ( johndoe.me.uk ) está na lista negra, mas eu tentei alguns dos sites de verificação da lista negra e eles só estão aparecendo para bloqueio SMTP com base em política para meu ISP (que é esperado).
Eu até desabilitei o filtro de conteúdo adulto que os ISPs são forçados a habilitar por padrão aqui no Reino Unido e isso não ajudou (não - meu nome verdadeiro não soa como uma estrela de cinema adulta!)
Embora eu possa continuar a usar o serviço DNS dinâmico alternativo (o que farei por enquanto), preciso chegar ao fundo disso.
Acabei de perceber que um site normal (não um servidor VPN) que eu uso o https://{host}.johndoe.me.uk , mas hospedado por um serviço na nuvem (ou seja, não no meu laboratório) também é bloqueado pela operadora de telefonia móvel (enquanto http:// não é).
Eu até tentei mover o serviço VPN da porta padrão de 443 para um número alto (8888), mas isso não ajudou.
O que na terra pode me bloquear pelo meu nome DNS registrado, apenas em redes móveis, e somente quando usando um protocolo baseado em HTTPS em qualquer porta (não apenas o padrão 443)?