我有一个运行良好的 L2TP IPSec 连接,从任何移动或桌面客户端到我的 Mikrotik RB2011UiAS-2HnD-IN(RouterOS v6.30.2)。当我通过我所在城市的任何移动或固定 ISP 连接时,它都可以正常工作。成功连接的日志大致如下:
ipsec, error key length mismatched, mine:128 peer:256.
ipsec, error authtype mismatched: my:hmac-sha1 peer:hmac-md5
l2tp, info first L2TP UDP packet received from X.X.X.X
l2tp, ppp, info, account MyUser logged in, 192.168.111.246
l2tp, ppp, info <l2tp-MyUser>: authenticated
l2tp, ppp, info <l2tp-MyUser>: connected
l2tp, ppp, info <l2tp-MyUser>: terminating... - peer is not responding
l2tp, ppp, info, account MyUser logged out, 165 157 168 26 15
l2tp, ppp, info <l2tp-MyUser>: disconnected
几天前,我尝试从其他城市连接:通过一个移动 ISP 和一个固定 ISP。连接没有成功,日志只包含一行:
l2tp, info first L2TP UDP packet received from Y.Y.Y.Y
或者这样的行:
ipsec, error key length mismatched, mine:128 peer:256.
ipsec, error authtype mismatched: my:hmac-sha1 peer:hmac-md5
l2tp, info first L2TP UDP packet received from Y.Y.Y.Y
l2tp, info first L2TP UDP packet received from Y.Y.Y.Y
l2tp, info first L2TP UDP packet received from Y.Y.Y.Y
出了什么问题?ISP 会阻止或破坏 L2TP IPSec 连接吗?
PS 还有一个有趣的细节:我曾经连接到罗马尼亚的 PPTP VPN 来绕过我家乡提供商的网络审查,它在我的家乡总是能正常工作,但当我从其他城市(L2TP IPsec 失败的地方)连接到同一个 VPN 时,我发现我感兴趣的网站仍然受到审查。我能想到的唯一解释是提供商的行为就像一个 MITM。提供商似乎使用了以下策略:窃听线路,当不可能时,然后阻止连接。