这是一个创建于 1022 天前的主题,其中的信息可能已经有所发展或是发生改变。
最近看到有人在讨论境外卡的漫游,我也算是个用了好几年漫游的用户了,在此说一下我自己的看法:
首先要说明几个误区,很多人说漫游回传是 iplc ,其实回传走啥有好几种方案的,给你哪种根本不知道。其次是很多人认为漫游数据直接加密后发回归属地处理,这个似乎也不太正确,因为有些地方可以给你 dns 污染,那证明一定过了墙,后面再细说。
以下摘自 华为 LTE 国际漫游白皮书:
3. 漫游组网的选择方式
为了保证用户漫游切换情况下业务的连续性,需要运营商网络之间建立组网连接,并达成漫游协议;遵照相互之间达成的漫游协议,配置漫游控制策略,对漫游用户的网络接入进行准入控制,并对漫游业务进行相应的运营管理。
移动运营商网络之间互联有两种方案:直连,或者通过 GRX/IPX 网络建立连接。
在此解释一下,直连这个方案既可以走公网也可以走专线。
接下来就是重点了,漫游回传走的协议是 GPRS Tunneling Protocol ( GTP ),这玩意你可以看成类似是两个运营商的国际漫游网关间建立一个 VPN ,可以用公网也可以用专线,反正就是跑在 IP 网络的协议,底层承载网是啥只有运营商知道。最重要的是大概看了一下这个协议安全性太差,比裸奔好不了多少,被常用的 proxy 协议吊打,但因为它是漫游回传协议,一般不给你掐了。就跟某些国外大学的 anyconnect ,就算很多人在用,特殊时期基本也不会被掐的,只会掐你自建的那些东西。而且基于 dns 能被污染,我个人认为这个隧道上的最起码有部分数据是明文的,或者说如果跑公网上被墙识别是没问题的。
根据我使用漫游卡的延迟和速率表现,个人认为这个回传跑在公网上的概率还是蛮大的,国内卡挂 iplc 节点抖动延迟要好很多,甚至这个漫游还不如 CN2 公网稳,如果是 iplc 回传的话个人觉得不应该这么差。对于大部分地区公网质量没啥问题的,确实公网回传就是性价比最高的方案。为什么我觉得跑在公网,举几个例子,台湾卡漫游到广州,speedtest 选台湾本地服务器,ping 300 起跳,专线你觉得可能吗?还有 cmhk 之前漫游也有段时间不太稳。所以说个人觉得这个东西最主要还是应急+规避法律风险,质量和安全性方面,落后了,回传不是 iplc 的话没太大意思
如果对 GTP 这个协议有了解的朋友,欢迎讨论并指出错误
首先要说明几个误区,很多人说漫游回传是 iplc ,其实回传走啥有好几种方案的,给你哪种根本不知道。其次是很多人认为漫游数据直接加密后发回归属地处理,这个似乎也不太正确,因为有些地方可以给你 dns 污染,那证明一定过了墙,后面再细说。
以下摘自 华为 LTE 国际漫游白皮书:
3. 漫游组网的选择方式
为了保证用户漫游切换情况下业务的连续性,需要运营商网络之间建立组网连接,并达成漫游协议;遵照相互之间达成的漫游协议,配置漫游控制策略,对漫游用户的网络接入进行准入控制,并对漫游业务进行相应的运营管理。
移动运营商网络之间互联有两种方案:直连,或者通过 GRX/IPX 网络建立连接。
在此解释一下,直连这个方案既可以走公网也可以走专线。
接下来就是重点了,漫游回传走的协议是 GPRS Tunneling Protocol ( GTP ),这玩意你可以看成类似是两个运营商的国际漫游网关间建立一个 VPN ,可以用公网也可以用专线,反正就是跑在 IP 网络的协议,底层承载网是啥只有运营商知道。最重要的是大概看了一下这个协议安全性太差,比裸奔好不了多少,被常用的 proxy 协议吊打,但因为它是漫游回传协议,一般不给你掐了。就跟某些国外大学的 anyconnect ,就算很多人在用,特殊时期基本也不会被掐的,只会掐你自建的那些东西。而且基于 dns 能被污染,我个人认为这个隧道上的最起码有部分数据是明文的,或者说如果跑公网上被墙识别是没问题的。
根据我使用漫游卡的延迟和速率表现,个人认为这个回传跑在公网上的概率还是蛮大的,国内卡挂 iplc 节点抖动延迟要好很多,甚至这个漫游还不如 CN2 公网稳,如果是 iplc 回传的话个人觉得不应该这么差。对于大部分地区公网质量没啥问题的,确实公网回传就是性价比最高的方案。为什么我觉得跑在公网,举几个例子,台湾卡漫游到广州,speedtest 选台湾本地服务器,ping 300 起跳,专线你觉得可能吗?还有 cmhk 之前漫游也有段时间不太稳。所以说个人觉得这个东西最主要还是应急+规避法律风险,质量和安全性方面,落后了,回传不是 iplc 的话没太大意思
如果对 GTP 这个协议有了解的朋友,欢迎讨论并指出错误
 |
1
lzh000307 2022-02-06 23:53:42 +08:00
传输的安全性和隐蔽性是两码事,anyconnect 这类 VPN 协议都是经得起时间考验的,而且那么多企业在用,安全性是有保证的,绝对是比那些个梯子强的多。特征明显是明显,不干扰不就没问题,这些通道有名单的,要屏蔽可比满世界找梯子 ip 来屏蔽容易
|
 |
2
my2492 OP @lzh000307 数据隐蔽性还不如 anyconnect ,跟 anyconnect 一样属于故意放的白名单,确实就是精准屏蔽漫游比屏蔽常见的 proxy 工具简单多了,而且干扰其实是有的。现在问题就是运营商到底选择的是公网承载回传还是专线承载,专线理论上应该是不太可能出现 google.com 被解析到 fb 的,并且响应 dns 就是境外运营商 dns
|
 |
3
a8Fy37XzWf70G0yW 2022-02-07 00:05:48 +08:00 via Android
@my2492 估計是歸屬地到漫遊地是既定線路,然後漫遊地到使用者是明文吧。然後問題可能就是漫遊地到使用者這段出現的。
|
|
4
a8Fy37XzWf70G0yW 2022-02-07 00:06:56 +08:00 via Android  1
使用者-----明文---->歸屬地----線路----->漫遊地----------出口
|
|
5
my2492 OP @viberconnection 漫游地到使用者全程都在墙内,而 dns 污染的过程是通过墙的阶段完成的,所以我个人怀疑有明文数据跑在公网上回传
|
 |
6
AlphaTauriHonda 2022-02-07 00:55:51 +08:00
漫游卡的延迟比公网 CN2 差远了,也没有优秀的线路稳。有 DNS 污染或者各种其他的干扰就证明了会过墙,而且你观察到的是墙的行为。
不是明文数据在公网上回传,如果是的话你在任何地区时间观察到的 DNS 污染都应该是持续的。 我认为应该是在从手机明文发送到基站与运营商用任何协议回传到归属地之间有专门设置独立于墙的其他审查。建议用漫游卡再搭配代理,可以用已经被墙掐掉的协议。 Anyconnect 的速度比常用的 Proxy 差很多。只有常用的 Proxy 才有可用的速度。 |
|
7
AlphaTauriHonda 2022-02-07 01:00:33 +08:00
@my2492 网络质量上来说,不太可能是专线承载。
|
|
8
my2492 OP @AlphaTauriHonda 我觉得没必要为了一个小众的东西专门弄个墙啊,又不要阻断什么东西,大概率就是协议有漏洞,部分数据露出了关键字被墙识别到了,毕竟现在墙嗅探能力很强。因为也就是部分地区少数域名得到了国内 dns 解析结果。我比较感兴趣的是回传的底层承载网到底是啥
|
|
9
my2492 OP @AlphaTauriHonda 回传都是 GTP+s8 接口
|
 |
10
fastcache 2022-02-07 01:19:51 +08:00 via iPhone
基站到漫游地核心网是 GTP ,一般没有拥塞。回归属地的物理网络可能是融合的,例如 cn2, 既有公网也有 vpn, 但 vpn 业务不过墙(专业细节不解释)。网络质量不稳定个人判断可能有多个因素,最后几百米基站空口质量(低频优先保障语音)、跨运营商链路拥塞( QoS 也是信令和媒体流优先)…
|
 |
11
whileFalse 2022-02-07 02:11:15 +08:00 via iPhone
这什么逻辑。
你从境外连接到国内的自建 vpn ,出口在国内,dns 请求从国内发出的,也是要被污染的呀。 |
|
12
whileFalse 2022-02-07 02:12:15 +08:00 via iPhone
不好意思看错了,原来是在国内使用境外卡
|
 |
13
Rocketer 2022-02-07 08:21:47 +08:00 via iPhone
多数人就是为了能访问 YouTube 啥的,又不是真去干什么“坏事”,所以流畅就好,是否能被监听并没有那么重要
|
 |
14
huoshen 2022-02-07 09:54:36 +08:00
国外大学的 anyconnect, 怎么白名单的? 基于 ip 或者 AS 的吗?
|
 |
15
ericbize 2022-02-07 10:12:44 +08:00
我一直都是觉得,这玩意 不是内层还要套 ssr 之类的东西吗。 反正不会阻断, 套 ssr 特别爽吧。
其次是 楼主说的不稳定,楼主有没有 考虑 4G 网络不稳定的情况 所以就会有 掉包的情况。 另外,据我所知,以前 国际漫游 的 qos 巨高 (高中的时候,妹子用联通 3G + SoftBank ) 漫游, 据说晚上宿舍大家都一卡一卡的, 她各种流畅。 现在 qos 我就不知道了。 |
|
16
AlphaTauriHonda 2022-02-07 10:16:32 +08:00 via iPhone
@Rocketer 被监听是绝对的。数据一路上经过那么多境内的基础设施,监听是毋庸置疑的。然而 my2492 关注的是监听带来的审查,比如 DNS 污染。以及这样的现象 对于背后运营商如何传输漫游流量这个问题的启示。
|
|
17
AlphaTauriHonda 2022-02-07 10:17:47 +08:00 via iPhone
@ericbize 这种延迟高,不稳定可以用一张漫游在联通上的卡和联通卡对比出来。不是 4G 不稳定的问题
|
 |
18
Marionic0723 2022-02-07 10:22:49 +08:00
那开了漫游再套一层 VPN ,比如 warp ,既然能过墙,问题就不大,就算是明文的,加密就好了,warp 速度非常可以了。
或者国外免费 VPN 也不少。 还有,谁推荐个流量卡,长期在国内漫游,电话短信不需要,有的话更好(最好收短信免费),流量一个月 1G 就够(实在不行 500M 也行),月租 5 美元以下,能随用随充更好。 |
|
20
my2492 OP @ericbize 我当然是找信号好的地方和本地卡一起对比过的,QCI 是归属地下发的,你国内开了 5G 优享之类出去漫游也有效,香港联通漫游进来就是 QCI 6
|
|
21
my2492 OP @fastcache 回归属地 vpn 不过墙可以认为是专线回传吗?还是指的跑在公网但是墙给了白名单?我是同一地点国内卡挂代理和境外卡直连测试,境外卡网络品质感觉和低峰期的 163 差不多。如果全部专线回传,所有合作运营商间都要开专线,这成本想想也不太可能
|
 |
22
ex898 2022-02-07 11:18:09 +08:00 via iPhone
能搞张台湾卡最好,综合隐私和延迟等等方面。港澳卡个人信息都监管的到只是查不查的问题
|
|
25
my2492 OP @ex898 为什么不能查呢,你这个 IMEI 有没有用过其他国内卡,一查就知道,你还得找个不是国内的版本,还从来没在国内用过的手机,那可能还不如用代理加密的安全性高,至少代理加密查不到你访问了什么
|
|
26
ex898 2022-02-07 11:40:18 +08:00 via iPhone
@my2492 但是你再加密它也知道你在漫游啊,要绝对安全肯定要像你说的那样搞个和内地完全隔绝的外版手机来漫游
|
 |
28
Chism 2022-02-07 11:58:34 +08:00 via Android
漫游卡都是养着,预防白名单后所有工具失效
|
 |
29
CKR 2022-02-07 12:01:26 +08:00 via Android
说起 dns 污染,去年有一段时间 CMHK 的卡在深圳漫游都打不开 google 其他的一些网站又可以
|
|
30
my2492 OP @Chism 你有没有想过,有那么一天的话,先干掉漫游卡简单多了,毕竟是个明文协议。朝鲜有 3G 网,但是不接受漫游,你有没有想过也有这么一天。有没有想过本来不准备动漫游,结果有几个人为了所谓的立功,自告奋勇开发一套漫游专属 gfw 上供,这套系统可以通过登记 IMEI 来管控你这张卡是否有漫游权限,必须是外国护照才能登记
|
|
31
my2492 OP @Chism cmhk 现在在 xj 和 xz 的数据漫游基本就是中断的,貌似 2G 能用,所以技术上选择性屏蔽完全没问题
|
 |
33
leonme 2022-02-07 12:38:11 +08:00 via iPhone
建了个境外卡的讨论群,大家可以在这儿讨论~ https://t.me/+33F4ZEGnE0tjMDg1
|
|
34
leonme 2022-02-07 12:40:53 +08:00 via iPhone
@Marionic0723 可以在 33 楼讨论
|
 |
37
0ZXYDDu796nVCFxq 2022-02-07 13:15:22 +08:00 via Android
@Chism 大部分地区应该没问题,漫游在中国的境外卡肯定有百万级别
但别去某两个省份,估计有人时刻关注着你 |
 |
39
Archeb 2022-02-07 13:35:05 +08:00
感谢楼主的分享,之前一直有关于这个问题的疑惑,但是没有深入去挖掘了解。
|
|
40
huoshen 2022-02-07 13:47:45 +08:00
@my2492 确实哦, 我查了一下我学校也是自有 AS, 用的也是 anyconnect. 虽然没屏蔽但是真的在国内那段时间卡的要死, 最后还是我自己路由网关透明代理先爬墙, 再 anyconnect 才勉强能用. 不知道这种有没有办法借用一下做成能翻墙的, 能的话我也建个 anyconnect 备用
|
|
41
ericbize 2022-02-07 13:58:04 +08:00
|
|
44
my2492 OP @ericbize 没啥延迟敏感场景,只是觉得如果公网回传的话就不值这个价格了,现在 iplc 流量才多少钱?
|
|
46
my2492 OP @huoshen 应该是你们学校线路差,我司 anyconnect 走的 pccw 大陆优化线路,速度很快
|
|
47
my2492 OP @Chism 我 cmhk ctmo cuniq 3hk 4 张卡到处逛都没人找我,不过我平时大部分时间在南京,老家安徽用也没问题
|
|
48
ericbize 2022-02-07 14:21:08 +08:00
|
|
49
ericbize 2022-02-07 14:23:19 +08:00
@my2492 突然想到了, 你说的这个, 和用 云厂的 cdn 翻墙 一样感觉,哈哈哈哈哈哈哈 , 虽然不知道他出境用 iplc 还是 公网
|
|
50
my2492 OP @ericbize cdn 没必要公网出境吧,公网资源一定程度上比专线还值钱,因为资源有限,专线不受到出口汇聚层带宽限制,而且企业就可以拉。回传可能是因为对接运营商太多,很多地区的漫游流量又极低,一个个去开专线不划算,所以才有用公网的。其实基站也可以公网回传,只是大型运营商一般不用而已,都是专网回传,某些皮基站就是公网回传,ipsec 协议的,不过这个部分公网回传是不会被墙的,主要看漫游地核心网至归属地核心网的回传是用的什么
|
|
51
my2492 OP @ericbize 其实吧,东南亚的专线回传成本是不高的,漫游流量的成本大头反而就是本地流量本身,回传都是到指定城市核心网出去,在南京联通的漫游大概率走北京联通回传,延迟很高,上海貌似就不绕路比较低延迟
|
|
54
ericbize 2022-02-07 16:51:22 +08:00
@my2492 emmm , 马来那张卡是给我开了 特别套餐 大概 8rmb 1G ,有效期一个月,然后就是每个月扣 8 块。
上次 pccw 的人给我说,某厂 找他们 买了 400G 中港, 我只是觉得, 这个 和 cdn 有点像, 因为也是 全国落地落地加速 , 也是 后端加速到 目的地。 |
 |
58
Laitinlok 2022-02-07 20:21:50 +08:00 via Android
看了下 GTP 本身沒帶加密和認證, GTP 本來就只會用在安全的內網上美無需要加密
|
 |
59
testver 2022-02-07 20:58:51 +08:00
漫游卡就根本没想过它的安全问题。
主要是个备用,万一紧急时要上 gmail 收个邮件或者查点资料,这也是合法的使用信道,每月花点钱就当买了个保险吧。 |
 |
60
idrawer 2022-02-07 23:02:59 +08:00
@my2492 这种查证理论上的风险存在,但是要协调的部门调查成本太高,除非你是斯诺登那种级别,要不然如果只是鸿茅药酒那种级别应该都够不上这种调查
|
|
61
my2492 OP @idrawer 之前 tg 群里有人说插着 ctmo 的卡在 xj 逛街就被查手机问为什么要办外卡的,也不一定的,小心点总是好的。当然这个事情当事人是否说谎就不知道了
|
 |
62
kyor0 2022-02-08 05:47:59 +08:00 via iPad
恩,安全方面的确没想象的高。不过作为备用防止失联还是可以的
|
|
63
Marionic0723 2022-02-08 08:19:56 +08:00 via Android
群加了。其实说起来,外卡也没什么特殊之处,主要就是个应急手段,上上 Gmail 啦,Google 啦,因为是直通外网,老外在华的也不少,被一刀切的概率小一些。现有的魔法技术,无论如何加密伪装混淆,也是基于一个条件:GFW 不认识或不敢阻断的 IP ,一旦墙换允许列表,就等同于和自由世界失联了,流量卡最少明面上不好下手,怕监听再开一个 VPN 加密就好了,就当是买保险了,一个月几美元,能免费接电话收短信就更赚了,也许有朝一日出国了还能激活外国本地套餐用。
|
 |
64
brMu 2022-02-08 10:25:37 +08:00
看了大佬们的讨论,个人理解
1.GTP 不加密,可以审查,所以是查不查和污不污染的问题 2.因为不加密,所以你访问了哪个网站都能知道,比普遍使用的过墙方式更不安全 3.回程方式不可能都是专线,因为不可能和所有国家都来个专线吧?所以一定有走公网的 4.就算走专线,估计运营商也只要保障基本速度就可以,不会扩容到非常快的速度,就是要让长期在中国的外国人觉得慢,办国内卡,更好监管 5.因为是手机卡,所以漫游到国内哪个省都会很容易查到,又增加了不安全性 综上,个人认为备用玩玩可以,长时间用不合适,更不安全 |
 |
65
roundweek 2022-02-08 10:43:26 +08:00
GTP 如果墙不会下手的话我在想如果写一个软件使用 GTP 来翻墙。。。?
|
|
68
my2492 OP @brMu 还有一种省钱的专线,GRX ( GPRS roaming exchange )所有运营商专线连接到指定的几个点交换流量,就是不知道国内是否采用这种方式
|
|
69
my2492 OP @brMu 其实走专线回程的普遍质量会比公网好的,因为没几个人会把这个当主力上网手段,公网口子再大肯定是不如专线稳定
|
 |
70
datocp 2022-02-09 07:54:39 +08:00 via Android
看不懂优点在哪,平时联通 4G 长时间 l2tp 在线都没问题,而且是点对点加密,运营商只能看到访问端口看不到具体访问 url 。这种所谓的境外卡要经过那么多网关设备,真比自架 vpn 有优势。
说起来这个搬瓦工 ip 换了有两年了,这两年真太平,长时间借助移动线路根本没以前的电信线路问题,电信这种破烂连个下载测试 url 都要丢 tcp reset,很多东西根本上升不到墙的问题,而是线路太烂,网管工作太认真。 |
 |
71
chenxuhua 2022-03-01 14:32:05 +08:00
搜索到一个网页 https://www.zctac.com/ntop_nDPI.html
「我们正在不断扩展 nDPI ,到目前为止支持的协议有很多,包括:GTP 」 网页内 Ctrl + F 搜索关键字 GTP |
Select Language