IPSEC IKEv2不隐藏HTTPS

Question

我使用的是LinuU5.3.5/K4.4.0-116-Ubuntu16.04和IOS 11 strongSwan客户端。

可以在我的客户端(IOS 11)上成功地建立连接，如果我转到ip检查网页，例如myip.com，它就会显示VPN服务器的地址。

但是，我发现，如果我连接到同一台HTTPS服务器上的自定义端口，它可能会被我邪恶的nat防火墙阻塞，即使在建立IKEv2时也是如此。

我的理解是，IPSEC将通过端口500/4500创建一个隧道，并将所有流量加密。因此，我想知道我的公司或其他(国家级)防火墙将如何区分不同的流量？也就是说，将https请求放到任意端口上。

我尝试直接使用ip地址进行访问，即https://xx.xx.xx.xx:12345，但似乎没有什么区别。

我怀疑这个隧道不是端到端(我的iphone到服务器)隧道。因为我的iphone在NAT的后面，所以连接从我的IOS到我的公司网关没有加密。这就是原因吗？

以下是ipsec.conf conn：

config setup
    cachecrls=yes
    uniqueids=yes
    charondebug=""

conn %default
    keyingtries=%forever
    dpddelay=30s
    dpdtimeout=120s


conn IKEv2-EAP-TLS
    auto=add
    type=tunnel
    keyexchange=ikev2
    dpdaction=clear
    dpddelay=300s
    authby=pubkey
    left=%SERVERIP%
    leftid=%SERVERIP%
    leftsubnet=0.0.0.0/0
    leftcert=vpnSrvCert.der
    leftsendcert=always
    right=%any
    rightid=%any
    rightsourceip=10.10.10.0/24
    rightdns=8.8.8.8,8.8.4.4
    rightauth=eap-tls

更新经过一些试验和错误，我相信原因是BillThor所描述的.我发现在没有审查的WIFI环境下，当我连接到同一(IKEv2) server1上的HTTPS端口时，它是一个单独的TCP链接。

另一方面，当我从内部审查的WIFI连接到另一个L2TP server2(而不是HTTPS)时，我可以成功地连接到原来的服务器1‘S HTTPS端口。

Answer 1

VPN通信量很容易通过数据包检查来检测，或者在这种情况下仅由正在使用的端口检测。很有可能你的公司知道你在尝试或做什么。

如果您试图到达与连接到VPN的IP地址相同的IP地址，则不会将其发送到VPN。至少，VPN服务器的地址直接连接到。VPN可以路由VPN未使用的端口的目的地。

由于您的右侧位于10.0.0.0/8的私有地址空间，您的IP地址将在您的终端进行网络地址转换。如果同一个LAN上的多个设备连接到同一个远程VPN服务器，则这很容易损坏。

如果希望始终将浏览器流量路由到VPN，则需要将浏览器配置为在可通过VPN访问的地址上使用代理服务器。如果您的地址显示为本地IP地址，则它正在遍历VPN。