MINXIN-T于2024-3-11进行ISP割接至CM+CT多IP出口

2024-3-11下午变回HKBN单IP出口

吐槽：十分甚至九分的复杂啊！

DNS

测试过程中，不同DNS的情况下，网络出口均有区别，故特别增加DNS章节

默认DNS

自动获取DNS会返回IPv4与IPv6的内网IP

DNS出口如图：

在使用默认DNS时，出境流量会统一返回一个电信IPv6地址，无论服务器是否IPv4Only，这IPv6起到隧道的作用，出口包含v4。如图：CNAME真实结果为LAX的IPv4地址

境内流量则正常返回响应值

自选DNS

自选DNS在访问境外网站时不会返回劫持IPv6地址

在使用自选DNS进行境外互联时，IPv4会通过CMIN2进行互联，IPv6会通过CTG互联

CDN命中节点

多出口IP

• 默认DNS

AS4809的IPv4仅为隧道的出口IP（目标IPv4ONLY）

• 自选DNS

• 劫持IPv6

由此IP可以看出来确实是专线业务分配的v6地址，这个v6地址会变。

但是最终通过这个IPv6出境的流量会被汇总到一个隧道出口，即使是IPv4ONLY的服务器也会通过隧道出口的AS4809进行互联

路由追踪

妈的，忘了Trace多一下v6的路由，但是看CF的结果应该是走电信直连出口

出境隧道劫持

Cloudflare

Cloudflare通过CTG在HKIX进行互联

TG

目标包含AAAA记录，通过CTG互联

8.8.8.8

仅使用v4地址进行nxtrace，网络出口为CMIN2

1.1.1.1

原谅我没用nxtrace

很明显，连v4地址走CMI.

境外特殊网站访问

民心学校有访问Youtube,Twitter等在中国被"墙"的网站的权利

为区分使用权利，学生网与访客网均接入CM的网络，教师网才可接入HKBN的网络

其中，访客网与教师网均需进行账号密码二次登录；学生网限速7-10M，屏蔽加密DNS，URL黑名单过滤

这里，讨论2024-3-11的CM+CTG混合的教师网

访问Youtube，Twitter，Wiki等需要使用自动DNS

DNS在收到特殊网站请求后会返回IPv6劫持入口，隧道通过汇聚至CTG出口，实现绕过GFW

隧道出口为v4+v6

如请求域名为普通网站会返回真实结果并通过CM普通互联

但使用自选DNS时不会返回劫持入口的IPv6，会返回真实IP

此时，v4流量会通过普通CM路由并经过GFW(下图1)，特殊网站通通TCPReset

v6流量应该是过CTG路由(下图2)

下图：自选DNS返回真实IP被GFW阻断

下图：v6流量过CTG

运用穷乏的知识写出来的分析，民心独家（乐