什么是回国VPN

what is vpn

什么是回国加速器?

回国加速器,我们可以把它理解成建立在中国境内与境外之间的虚拟专线。它可以通过特殊加密的通讯协议在连接在Internet上的位于不同地方的两个或多个节点之间建立一条专有的通讯线路。可通过服务器、硬件、软件等多种方式实现。

目录

基本信息

回国加速器同时也是回国VPN,即“从境外连接到中国大陆的虚拟专用网络”,是一种在公用网络上建立专用网络,进行加密通讯的远程访问技术。

在传统的跨国网络配置中,要进行远程访问,传统的方法是租用DDN(数字数据网)专线或Frame Relay(帧中继),这样的通讯方案必然导致高昂的网络通讯和维护费用。对于海外用户而言,一般会通过拨号线路进入国内网络,但这样必然带来安全上的隐患。

让海外用户访问到国内网络资源,利用回国加速器的解决方法就是在互联网中架设回国加速器服务器。海外用户在当地连上互联网后,通过互联网连接回国加速器服务器,然后通过回国加速器服务器进入国内网络。为了保证数据安全,回国加速器服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密,就可以认为数据是在一条专用的数据链路上进行安全传输,就如同专门架设了一个专用网络一样,但实际上回国VPN使用的是互联网上的公用链路,因此也被称为虚拟专用网络,其实质上就是利用加密技术在公网上封装出一个数据通讯隧道。有了回国加速器技术,用户无论是在海外何处,只要能上互联网就能利用回国VPN访问国内网络资源。

工作原理

通常情况下,回国VPN网关采取双网卡结构,外网卡使用公网IP接入Internet,然后由回国VPN网关进行封装传输。

 

  1. 网络一(假定为海外网络)的终端A访问网络二(假定国内网络)的终端B,其发出的访问数据包的目标地址为终端B的内部IP地址。
  2. 网络一的回国VPN网关在接收到终端A发出的访问数据包时对其目标地址进行检查,如果目标地址属于网络二的地址,则将该数据包进行加密封装,同时回国VPN网关会构造一个新VPN数据包,并将封装后的原数据包作为VPN数据包的负载,VPN数据包的目标地址为网络二的回国VPN网关的外部地址。
  3. 网络一的回国VPN网关将VPN数据包发送到Internet,由于VPN数据包的目标地址是网络二的回国VPN网关的外部地址,所以该数据包将被Internet中的路由正确地发送到网络二的回国VPN网关。
  4. 网络二的回国VPN网关对接收到的数据包进行检查,如果发现该数据包是从网络一的回国VPN网关发出的,即可判定该数据包为VPN数据包,并对该数据包进行解包处理。解包的过程主要是先将VPN数据包的包头剥离,再将数据包反向处理还原成原始的数据包。
  5. 网络二的回国VPN网关将还原后的原始数据包发送至目标终端B,由于原始数据包的目标地址是终端B的IP,所以该数据包能够被正确地发送到终端B。在终端B看来,它收到的数据包就和从终端A直接发过来的一样。

 

从终端B返回终端A的数据包处理过程和上述过程一样,这样两个网络内的终端就可以相互通讯了。

工作过程

VPN的基本处理过程如下:

  1. 要保护主机发送明文信息到其他回国VPN设备。
  2. 回国VPN设备根据网络管理员设置的规则,确定是对数据进行加密还是直接传输。
  3. 对需要加密的数据,回国VPN设备将其整个数据包(包括要传输的数据、源IP地址和目的lP地址)进行加密并附上数据签名,加上新的数据包头(包括目的地回国VPN设备需要的安全信息和一些初始化参数)重新封装。
  4. 将封装后的数据包通过隧道在公共网络上传输。
  5. 数据包到达目的回国VPN设备后,将其解封,核对数字签名无误后,对数据包解密。

实现方式

回国VPN的实现有很多种方法,常用的有以下四种:

 

  • 回国VPN服务器:在大型局域网中,可以通过在网络中心搭建回国VPN服务器的方法实现从境外连接到中国大陆的安全隧道。
  • 软件回国VPN:可以通过专用的软件实现从境外连接到中国大陆的虚拟专用网络。
  • 硬件回国VPN:可以通过专用的硬件实现从境外连接到中国大陆的虚拟专用网络。
  • 集成回国VPN:某些硬件设备,如路由器,都含有回国VPN功能,但是一般拥有回国VPN功能的硬件设备通常都比没有这一功能的要贵。

回国加速器技术

回国VPN的实现技术主要有:隧道技术,加密解密技术,密匙管理技术,使用者与设备身份认证技术。

 

  1. 隧道技术

实现回国加速器,最关键部分是在公网上建立虚信道,而建立虚信道是利用隧道技术实现的,IP隧道的建立可以是在链路层网络层。第二层隧道主要是PPP(点对点协议)连接,如PPTP,L2TP,其特点是协议简单,易于加密,适合远程拨号用户;第三层隧道是IPinIP,如IPSec,其可靠性及扩展性优于第二层隧道,但没有前者简单直接。

 

隧道是利用一种协议传输另一种协议的技术,即用隧道协议来实现回国VPN的功能。为创建隧道,隧道的客户机和服务器必须使用同样的隧道协议。我们常见的回国VPN协议有一下七种:

  • OpenVPN:OpenVPN是使用最广泛的回国 VPN 协议之一。它是一种开源协议,使用基于OpenSSL和SSLv3/TLSv1协议的加密。大多数回国VPN服务都支持OpenVPN,它适用于许多不同的系统(例如 Windows、Android、Linux、路由器)。
  • PPTP:PPTP(点对点隧道协议)也是最早广泛使用的回国 VPN协议之一。该协议存在一些(潜在的)泄漏。因此,仅当速度对比安全更重要时,才建议使用它。
  • L2TP:L2TP是PPTP与L2F(第二层转发)的一种综合,他是由思科公司所推出的一种技术
  • IPSec:是一个标准的第三层安全协议,它是在隧道外面再封装,保证了在传输过程中的安全。IPSec的主要特征在于它可以对所有IP级的通信进行加密。
  • IKEv2:IKEv2是基于IPSec的协议。该协议可以快速连接和切换网络。这使其成为智能手机的理想选择,因为这些设备往往会定期在 Wi-Fi 网络和公共 Wi-Fi 网络之间切换。
  • Softether:Softether与目前提到的其他回国VPN协议不同,它不是一个独立的协议,而是一个开源应用程序,可以跨不同平台运行,并提供对SSL VPN、L2TP/IPsec、OpenVPN和Microsoft等回国 VPN 协议的支持。
  • WireGuard:WireGuard 是一种相对较新的协议,目前也越来越受欢迎。它是在Linux内核上运行,旨在实现比OpenVPN和IPsec更好的性能,不过它仍在开发中。
  1. 加密解密技术。

加密解密技术是最常用的安全保密手段,利用技术手段把重要的数据变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原(解密),确保除了拥有正确加密密钥的人之外,任何人都无法读取里面的内容。

 

在回国VPN中,有两种主要的加密方法:对称加密和非对称加密。

 

对称加密

对称加密采用了对称密码编码技术,它的特点是文件加密和解密使用相同的密钥,即加密密钥也可以用作解密密钥,这种方法在密码学中叫做对称加密算法,对称加密算法使用起来简单快捷,密钥较短,且破译困难。

 

非对称加密

非对称加密算法需要两个密钥:公开密钥(publickey)和私有密 (privatekey)。公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。

 

  1. 密匙管理技术

密匙管理技术的主要任务是如何在公用数据网上安全地传递密匙而不被窃取。通过公开密钥加密技术实现对称密钥管理的技术,可以使相应的管理变得简单和更加安全,同时还解决了纯对称密钥模式中存在的可靠性问题和鉴别问题。

 

  1. 使用者与设备身份认证技术。

必须先对隧道端点进行身份验证,然后才能建立安全的回国VPN隧道。而身份认证技术是在计算机网络中确认操作者身份的过程而产生的有效解决方法。使用者与设备身份认证最常用的是使用者名称与密码或卡片式认证等方式。

回国VPN功能

  1. 在线匿名

如果没有回国VPN,那么海外的设备在访问国内网络时,由于设备的IP地址会被追踪,它就像一个在线邮政编码,告诉人们你是谁以及你在哪里,容易造成信息泄露、病毒风险以及资源限制。

 

而回国VPN可以隐藏真实的设备IP地址和位置。当设备连接上回国VPN 时,设备的互联网流量会通过外部服务器(回国VPN服务器)重新路由,其在线活动只能追溯到回国VPN服务器的IP地址,而不再是设备原本的IP地址和。

 

通过使用回国VPN,网站、营销人员、流媒体服务和网络犯罪分子等,将无法再通过的IP地址识别到用户的真实位置以及行为。因为他们只能看到设备连接的回国VPN服务器的IP地址,从而达到匿名浏览互联网。

 

  1. 数据加密

使用互联网时,用户的设备会不断地与网络上的其他方交换数据。回国VPN可以通过加密协议,在设备和互联网之间创建安全隧道,将数据封装发送到外部服务器(回国VPN服务器),并通过安全隧道将用户的数据发送到互联网上的目的地。以此来保护其通信不易被黑客和其他恶意方拦截、分析数据,获取用户的帐户凭据和财务信息等重要数据。特别是在使用公共 Wi-Fi时存在很多风险,如果没有回国VPN的保护,同一网络上的其他用户(例如黑客)酒可以轻松获取用户的数据和个人信息。

 

因此,使用回国VPN是提高用户的在线安全、隐私和自由的一种简单有效的方式。

 

  1. 网络加速

造成网络延迟的一个主要原因是数据访问位置和交付位置之间的物理距离。当用户发出网络请求时,请求和随后响应必须传输的距离越远,用户遇到的延迟就越长,这也是为什么跨国网络总是延迟很多的原因。而回国VPN可以在两个节点服务器间建立直链的虚拟专用网络,将原本可能绕弯的链接改成直线链接,缩短传输距离,避开拥挤通道。优秀的回国VPN可以有效减少网络丢包和网络延迟。

 

在特定情况下,回国VPN还可以提高某些服务的速度。例如ISP有时会限流或人为减慢特定类型的流量,而回国VPN由于IP隐匿和数据加密的功能,使得ISP无法知道用户正在与哪些服务进行通信,从而规避这种限制。

 

  1. 完全控制数据流

在网络中,服务质量(QoS)是指所能提供的带宽级别。将QoS融入一个回国VPN,使得管理员可以在网络中完全控制数据流。一般有以下几种方法实现控制:

 

信息包分类

信息包分类按重要性将数据分组。数据越重要,它的级别越高,那么它的操作也就会优先于同网络中相对次要的数据。

 

带宽管理

通过带宽管理,一个回国VPN管理员可以监控网络中所有输入输出的数据流,可以允许不同的数据包类别获得不同的带宽。

 

通信量管理

通信量管理方法的形成是一个服务提供商在Internet通信拥塞中发现的。大量的输入输出数据流排队通过,不过,这使得带宽没有得到合理使用。

 

公平带宽

公平带宽允许网络中所有用户机会均等地利用带宽访问Internet。通过公平带宽,当应用程序需要用更大的数据流,例如MP3时,它将减少所用带宽以便给其他人访问的机会。

 

传输保证

传输保证为网络中特殊的服务预留出一部分带宽,例如视频会议,IP电话和现金交易。它判断哪个服务有更高的优先权并分配相应带宽。

 

需要注意的是,在使用回国VPN是需要详细阅读服务协议,了解清楚回国VPN的服务商是否有限制数据流的操作。

回国VPN特点

 

当用户通过回国VPN连接到互联网时,其所有数据流量都通过加密的虚拟隧道发送。这有多个优点:

 

绕过地域限制

对互联网施加限制的不仅仅是国家。一些在线服务还会限制在某些地区才能访问其内容。这种情况多数发生在仅在某些国家/地区拥有广播权而在其他国家/地区没有广播权的流媒体服务上,例如中国的:腾讯视频、Bilibili、爱奇异、优酷、芒果TV、直播姬、抖音、虎牙直播等平台。如果用户的设备是在海外访问这些平台将会被限制。回国VPN可以让设备通过回国VPN的服务器获取中国IP,绕过限制,连接到国内网络,这样就可以正常访问被屏蔽的网站。

保护上网安全

回国VPN使用高级的加密和身份识别技术保护数据避免受到窥探,阻止数据窃贼和其他非授权用户接触并收集利用这些数据,或出售给第三方。更好的规避信息泄露带来的病毒入侵、广告跳出、营销电话接入等风险,保护上网的安全。

 

降低成本

使用回国VPN可降低成本——通过公用网来建立回国VPN,可以节省大量的通信费用,而不必投入大量的人力和物力去安装和维护WAN(广域网)设备和远程访问设备。

 

连接方便灵活

回国VPN能够让使用者通过配置安全连接信息,便能让用户迅速和轻松地添加到这个网络。这种能力意味着用户不用增加额外的基础设施就可以获得大量的容量和应用。

 

常见问题

错误691的提示是“由于域上的用户名和/或密码无效而拒绝访问”  

  • 一般是因为回国VPN拨号时的帐户和密码不正确,或没有使用回国VPN服务的权限。
  • 回国VPN一个帐号默认只限制一台电脑使用,检查您的用户名有无登陆重复。
  • 若您是在使用的途中掉线了,不要急着连代理,请耐心等待2分钟。

若还是提示错误,及时把您的用户名提供给在线客服,给您解决。

 

错误619的提示是“端口已断开连接”

  • 619错误是因为你连接回国VPN的电脑处于内网通过路由器上网。

市面上有一小部份的路由器对回国VPN支持不好,从而引起错误619,只能连接几台机,经常掉线等多种问题。有时候还会出现错误800,这些问题并不是贵的路由器就不会出现。这是因为路由器采用的NAT方式问题,不能让回国VPN协议穿透。

  • 如果计算机中开启了系统防火墙,可以先关闭后再重试。
  • 如果偶尔出现,重拨几次,或者重新启动计算机及路由器后再重试。
  • 如果是通过局域网或者通过路由器上网的用户,请网管在服务器或者路由器上打开UDP端口1701~1704。
  • 如果路由器中不能设置,可以尝试将计算机直接连到外网,用单机拨号方式连接互联网,再重试回国VPN拨号。
  • 部分网络如校园网、广电网、长城宽带、宽带通,也容易出现619错误,需要与网络接入部门联系。
  • 安装了简化版的操作系统 (WINXP/ⅥSTA)缺少相关组件,下载安装错误619注册表文件。

 

错误721的提示是“远程计算机没反应”

这种情况有可能网络延迟造成的,可以多连几次试试,如果还是不行,可以尝试以下解决方法。

  • 单击“开始”,然后单击“运行”。
  • 在“打开”框中,键入 regedit,然后单击“确定”。
  • 在注册表编辑器中,找到以下子项

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Class{4D36E972-E325-11CE-BFC1-08002bE10318}/<000x>

其中 <000x> 是 WAN 微型端口 (PPTP) 驱动程序的网络适配器。

  • 在“编辑”菜单上,指向“新建”,然后单击“DWORD 值”。
  • 键入 ValidateAddress,然后按 Enter。该值的默认设置为“1”(打开);因此,您可以通过将其设置为“0”将其关闭。
  • 退出注册表编辑器。

 

  • 重新启动计算机。

 

错误742/741的提示是“远程服务器不支持加密”

  • 点击网上邻居→选择回国VPN连接用鼠标点击右键属性→点击安全
  • 在 数据加密(D): 选择 没有加密也可以连接
  • W7下点击网络共享中心—更改适配器—点击VPN链接图标—查看属性安全数据加密—选择没有加密也可以连接

 

错误800的提示是“不能建立回国VPN连接,回国VPN服务器不能到达”

  • 如果计算机中开启了系统防火墙,可以先关闭后再重试。
  • 如果有安装路由器的用户,也建议重启一下路由器。
  • 部分网络如校园网、广电网、长城宽带、宽带通,也容易出现800错误,需要与网络接入部门联系。
  • 桌面右键单击“我的电脑”或“计算机”选择打开管理,在服务和应用程序中,点击“服务”,找到 IPsec Policy Agent服务,检查有没有禁用该服务。改为自动,服务状态已启动。