请问这个 openvpn 是什么认证 method？为什么丝毫没有被干扰

默认的TLS认证啊。可能被白名单了。
不过443端口本来就是传输HTTPS的，也有可能是GFW当成正常流量了(这个证书应该是可信CA签发的，而且非廉价/免费证书)

@jerryjhou 为什么我自己在bandwagon上搭建的open VPN走TLS有一大堆证书，还经常1分钟被墙？

@jerryjhou 还有他还要配合账号密码验证。这个能设置openvpn实现？

client
dev tun
proto udp6
remote ********* 8080
ca ca.crt
cert client.crt
key client.key
ns-cert-type server
cipher AES-128-CBC


一直在用，从未和谐，不过是走的教育网IPV6

@dajiangyou 我搭的和你差不多，不过是ipv4，也是教育网。最多一天有用，第二天就握手干扰，连上一分钟无网络。只能换secret key方式

@jerryjhou 现在的墙才没那么弱智，能够清晰的分辨出各种流量，跟端口无关的。

@gissimo 能不能把完整的配置贴出来瞧瞧？另外你的OpenVPN客户端是官方的还是奸商提供的？

我觉得有两个可能性，一是提供服务的是蜜罐，墙有根证书解密流量，所以对这台服务器放在白名单上，二是使用了某些技术手段欺骗或躲过了墙。

我最近就有试验一个网上没公开过的办法，目前在不影响效率的情况下解决了被干扰的问题，奸商们的技术能力肯定不会比我弱，没有几把刷子怎么出来赚钱。

@YonionY 我目前试验了三个网络环境：
联通3G，连接成功率95%，速度还OK；
校园网IPV4，链接成功率60%，速度75k左右，配合iKEV2双层VPN可以飙升到我的带宽；
上海电信，链接成功率25%，速度极慢，基本打不开，配合iKEV2双层VPN可以飙升。

不是奸商，是免费的，但不是公开的，某个非营利组织，主做网络安全，主要是邮箱，VPN是辅助的。注册需要多个不同好友直接发邀请码

@YonionY https://securityinabox.org/zh/riseup
@jerryjhou

@gissimo 你用的证书是可信CA签发的吗？
@YonionY 第一种纯属胡说八道，同意交出LOG就可以上白名单，怎么可能给根证书。
第二种有可能，不过标准OVPN客户端应该做不到。我还是认为可能骗过了墙（TCP443的干扰本来就相对弱，识别HTTPS和OVPN还是有一定难度的，尤其在OVPN承载HTTP流量的情况下）

@jerryjhou
@YonionY
居然可以上白名单么……

@gissimo 一定程度上骗过了GFW，昂贵且少见的可信CA不容易被照顾，你发的那个网站的就是（直接访问似乎是DNS被和谐了）。你提供的情况明显是被干扰的，但是强度较小，大部分OVPN都这个情况

@jerryjhou 我不明白什么叫做可信CA。这家肯定不会向政府交出ca

@jerryjhou 我提供的是一个介绍这家的网，这家官网是www.riseup.net

@gissimo 你试试IPV6的断不断，反正我是连一次N天不断，除非国内IPV6网络出问题

对了，教育网直接用IPV6就好了啊，反正我这里是免费百M不断网，不打游戏都可以不用其他宽带了，就是偶尔慢点

@gissimo 用“奸商”这词只是调侃一下，纯粹指服务提供商，并无鄙视收费服务商之意。

双层VPN都能骗过墙且不被限速，这样看来，或者墙在使用VPN+HTTP识别术对付VPN+非HTTP(VPN+HTTP)时就失效了？这应该也是一个办法。

@lsylsy2 @jerryjhou 白名单这事就当我胡说八道吧。

openvpn首次被全体干翻的时候墙已经证明了他们的这种能力，以前一直认为openvpn难以识别。以我的理解来看，现在墙发展到今天应该没有哪个技术不需要骗墙的，就看用什么办法/技术骗而已。

用商业CA证书或者也是一个办法，以往的openvpn的教程都是自建CA发证书，有时间试试看这招能不能骗过墙。

@dajiangyou 我们好像没IPV6

@YonionY 其实我单层的Cisco IPSec IKEV2也没限速没干扰，现在是pptp l2tp openvps的tls握手干扰最厉害，我静态密钥的openvpn也没限速

@YonionY openvpn也没这么脆弱吧？我用最古老的static key方式，畅通无比，没一点干扰

@gissimo 用路由了没，有可能是被路由干掉了

@gissimo https://www.symantec.com/zh/cn/ssl-certificates?inid=vrsn_symc_ssl_index
赛门铁克就是可信CA之一，他签发的SSL证书被各大操作系统信任。
服务商根本就没有CA可以交出，不过解密流量只要有私钥就够了，当然我也相信这种性质的网站不可能向TG交出私钥。
所以还是可信CA骗了GFW（他们用的不是赛门铁克，我只是举个例子）
BTW，OVPN用TLS验证，HTTPS也用TLS(TLS是SSL的演进)验证，所以证书完全通用

如果用的是 Geo trust global CA 这种知名的机构颁发的证书的话，干扰的确少很多。