中國全面封鎖美國視訊會議工具 Zoom

在2019.09.08 中國全面封鎖 Zoom.us

從2019.09.08開始,不管是Zoom.us網站、還是Zoom視訊會議室的連接,只要你在中國,全都被封鎖!

也就是中國就連一般商業會議的應用,也扯進了中美貿易戰。然後中國方面又沒有可以令國際商業人士信服可用的商業會議應用工具。

中國政府長期監控通訊軟體是有中國法律允許的背景下執行的,因此商業機密也有可能會被竊取或盜聽,而且在中國合法。

並且在中國,如果要申請任何帳號,都須先從手機號碼開始登錄資料! 可是對於國際商業來說,用手機來做登陸是件非常荒唐的事!
在國際上,用e-mail申請已經是個人資料安全的上限了!

如果連與中國工廠做個生產報告視訊會議都不行的話,而且還要租用中國高昂費用且低效能的專用線路,以及使用隨時會被中國政府竊聽的通訊軟體的話,那國際企業真的應該要盡快撤資離開中國才是! 搞這些額外成本太累人了! 到其他國家都沒有這個問題!

國際的市場是全球,沒有人一定要用專為中國政府設計的軟體!

現在好了,我還要停掉三個Zoom PRO帳號…而且這些錢還是我個人先代付的。然後還要找其他的相關視訊會議方案。(就連我中國同事也不願意找中國的視訊會議工具是怎樣啦!)

zoom被中國封鎖-無法連接
zoom被中國封鎖-無法連接
中國從2019.09.09開始全面封鎖 zoom
中國從2019.09.09開始單方面的封鎖 zoom

中國封鎖Zoom的方式為汙染中國路由器跟DNS

Zoom的網站,主要是租用Amazon的AWS方案來架設主機,租用的主機跟IP非常多,如果單純的利用IP封鎖Zoom是不太可能的,這樣會濫殺一堆同樣是租用AWS的無辜主機。然後中國出去的路線,有從香港到美國、台灣到美國、日本到美國,所以只要從中國出去之後,中國就管不到了。

那中國是如何封鎖Zoom的?

如果利用在中國解析Zoom.us或Zoom.com的DNS查詢,就可以看到DNS跟Router 亂給網域名稱跟IP,以及路由到錯誤主機,但就是沒有連線到正確的 Zoom.us或Zoom.com ,也因此造成無法連線。

如果有能力解決中國段的DNS汙染跟路由設定,其實是可以恢復連線回 Zoom.us或Zoom.com 。

另外Zoom 的延遲時間需要在200ms以下,延遲時間過長者,視訊品質會很差。然後中國網路資料出去時,在快出中國國土時,總是會透過某個看不到的節點大幅延遲,而造成視訊品質明顯低落,所以柬埔寨4M 4G上網網路視訊品質,都一直比中國企業級 6兆 專線網路的還好。

2019-09-11 在中國解析zoom.us都是錯誤的IP
2019-09-11 Zoom只剩深圳可以連線,但延遲過重,基本上也是無法正常視訊

其他的代替方案

有中國同事提出是否可以改用微信開視訊會議,問題是微信是綁手機號碼的,台北也才我一個IT人員,申請四個公司帳號的手機號碼有多麼麻煩先不談! 我一個人要拿著四支手機幫忙登入wechat? 瘋了? 中國那邊的同事最多才兩個IT管兩個帳號,其他的都是一個主管負責一個帳號而已。要我一個人負責四個要用手機登入的帳號? 手機月租費一年要多少啊? 這成本有多浪費啊?

SKYPE測試了! 的確可以用,但受限於一天最高10小時,一個月最高100小時。但Skype要開啟會議,必須先記入好友,並且call out對方同意加入才能開會。跟zoom只需『得知Zoom Meeting Room ID即可加入,而且有很多平台可以免帳號登入視訊會議』差很多!
另外Skype在網路品質不好時,會優先降低視訊的流量,甚至關閉視訊,以保持通話品質。Zoom則是兩者兼顧,但不會讓整個視訊畫面關閉。

商務用Skype還要另外安裝商務版的Skype軟體,然後要訂閱Office 365. 有夠麻煩!

當然你也可以用企業名義申請的B2B VPN專線,讓中國分公司透過企業名義申請企業專用VPN連回台灣,然後讓中國分公司透過台灣上網,這樣Zoom也可以正常連線。 而且也完全符合中國法令,所以不會像私人架設的VPN被封鎖。

至於 VPN專線 費用嘛…我公司小,只有申請4M+中國1個點,每一個月要繳NT$ 32,000(未稅)的VPN專線使用費,而且常常會因為中國當地的施工工程而挖斷光纖,然後斷線半天以上。這費用是我公司金額最高的通訊費用…所以8M專線更是無法申請核准。

然後Zoom每個點所需最低順暢頻寬約在384Kb~2Mb,然後我公司專線還要應付資料傳輸、VoIP、ERP系統連線。所以基本上,4Mb專線非安全容許範圍最多可應付兩個Zoom點透過VPN專線(如果要在安全允許範圍只能1個),再透過台北來連接Zoom。而且這也會影響到台北的上網際網路的頻寬跟防火牆效能。


網路上相關的討論跟網頁

China blocks US video-conferencing tool Zoom https://technode.com/2019/09/09/china-blocks-us-video-conferencing-tool-zoom/

Zoom blocked in China
https://www.reddit.com/r/networking/comments/d1x1g0/zoom_blocked_in_china/

Issues starting/joining meetings and visiting the Zoom website in China
https://status.zoom.us/incidents/xbmxyfpnv4jq

廣告

2018.01~02 Windows桌面版Skype 無法登入的解決方法

前由

2018年, Windows 桌面版SKYPE又再度改版 8.13 跟 8.14,結果我公司出現一些奇怪的問題,就是有些電腦的桌面版Skype可以登入,有的不可以。

無法登入的,雖然是一些舊電腦,但Windows 桌面版SKYPE已經更新到最新版,但還是無法登入。於是就請她暫時用web版的Skype,於是對方也屈就一下繼續用。

結果呢,2018年2月1日,就連Web 版 Skype也掛了! 但還是有一堆人可以正常使用Windows 桌面版SKYPE,所以問題是出在哪呢?

SKYPE web版掛掉
WEB SKYPE 2018-1月30號掛到2月1號


內文跟解決方法

由於我公司小姐很多都是透過Skype在聊天以及跟廠商客戶聯絡,不過在正式場合還是只能透過郵件來做正式文件,但Skype不能用或不能用其他方法取代的話,做事就是卡卡的。
於是我就真的要認真來解決這個問題了。不然會被一堆人追殺。

首先,沒問題的大都有使用並用網路(公司網路加私人網路,例如我本身),有問題的都是只用公司網路。然後公司網路因為安全防護的關係,在防火牆的設定中只有開放特定的網路服務埠(TCP/UDP Port),所以問題有可能就是卡在防火牆的設定。(我是公司唯一可以操作防火牆的,又加上常常做一些新測試,所以我個人的公司網路設定幾乎是全開放,所以如果發生別人有問題我都沒問題時,那一定是防火牆的設定問題。)

於是上官網找資料,結果SKYPE 防火牆的設定要求如下:

哪些埠需要打開用於 Windows desktop Skype?

Skype 能夠正常運行,以下埠需要在防火牆中打開︰

  • 443/TCP
  • 3478-3481/UDP
  • 49152-65535/UDP + TCP

可是即使依照官方要求這樣做還是無法登入~! 所以Skype官方一定有隱藏甚麼通信埠的新變更!

結果呢? 從這兩個資料中發現,還要開放多一個port  TCP 33033
https://kb.smoothwall.net/Content/applications/allow-Skype.htm

https://answers.microsoft.com/zh-hant/skype/forum/skype_windesk-skype_startms-skype_signms/skype/1c0b6ce8-375f-479a-8bbe-1351df5109b4

於是我就去公司的防火牆進行TCP 33033的開放設定。

SKYPE TCP 33033
設定 TCP 33033,並設定為開放

SKYPE跟防火牆
將TCP 33033加入開放的服務群組,作為開放的動作

SKYPE開放服務策略
或者是將整個SKYPE要求開放的埠跟TCP 33033一起組成SKYPE專用的開放服務策略(TCP 443 port是https通信埠,如果該電腦允許上網,其預設是一定會開放的)

在防火牆策略或規則中,設定該電腦開放TCP 33033 埠後,該電腦的Windows 桌面版SKYPE即可正常登入。

補充: 2018/02/05  如果無法完成登入SKYPE,登出SKYPE再登入SKYPE試試看。

 

說明

如果是一般家庭應該是不會設定防火牆或設定開放管制服務埠,所以應該不會遇到這樣的問題。只有公司或企業會因為要防止不當連線而做管制服務埠的開啟或關閉,此時才會遇到此問題。

SKYPE只要一改版就是會出事,版本更新太過頻繁,有時不是太吃資源造成電腦卡住,不然就是無法連線登入,這真的會搞死網管人員,我是建議企業可以漸漸地不要用了!
軟體是拿來用的,不是反過來使用者被軟體廠商拿來玩的。

參考資料:
https://support.skype.com/zh-Hant/faq/FA10038/wei-shi-mo-wo-wu-fa-deng-ru-skype

https://kb.smoothwall.net/Content/applications/allow-Skype.htm

https://support.skype.com/zh-Hant/faq/FA148/na-xie-bu-xu-yao-da-kai-yong-yu-windows-desktop-skype

https://support.skype.com/zh-Hant/faq/FA34533/wu-fa-lian-jie-dao-skype

https://answers.microsoft.com/zh-hant/skype/forum/skype_windesk-skype_startms-skype_signms/skype/1c0b6ce8-375f-479a-8bbe-1351df5109b4

 


 

作者:

184px im5481

歡迎連結文章,並請註明資料來源

Zoom視訊會議品質突然過差的發生原因跟解決方法

前言

Zoom的視訊方式是我公司已經實行三年有餘的視訊軟體系統,你只要有一台電腦安裝Zoom並且有喇叭麥克風、視訊鏡頭等設備,就可以進行視訊或多點談話。而且即使在免費版本也是可以一對一無限制時間會議,群組會議則是有40分鐘的限制(但可以立即重新連線即可)。

我們是有購買兩個Pro的帳號,並且都固定了會議ID,與中國、柬埔寨、日本、韓國開視訊會議。

明明三年內絕大部分都開得順順的,聲音品質也不錯。但不知道為何有時就是會出現聲音延遲、影像畫質低落,而且非常嚴重,甚至對方已經講完話了,我們卻完全沒有聽到聲音; 也就是連聲音的封包都已經是掉包了,這樣就視訊會議就開不下去,用專線電話開會還比較清晰咧。

檢查Zoom視訊所佔的網路流量紀錄也才最大上下1~2Mb,以公司都是用雙向30M FTTB級網路來說,不應該有問題才是。即使是中國東莞封鎖封包嚴重,我們也是透過昂貴的企業VPN來讓中國東莞透過台北上網,讓東莞工廠通信完全不掉封包。但Zoom視訊會議品質低落問題也不是每次都發生的,而且常常發生之際,只需主持人關閉會議再重新開啟新會議,絕大部分就可以解決問題。(小部份則是有人動到喇叭麥克風的線或按鈕)

但為何重開可以解決?為何當時會發生通信不良?

我卻當時一直一味的認為我們用的視訊會議麥克風設備的消除回音不佳跟網路不佳。而且當時所選用的Konftel 55W的擴充麥克風,其有指向性的問題,如果講話者在麥克風後方講話,聲音就會不清楚; 並且Konftel 55W有無法將音頻過低的人聲聲音做擴大的問題,我們公司有一位品保聲音超低頻,每次開會用Konftel 55W講話,對方就無法聽清楚他的聲音。

於是我們就開始了視訊喇拉麥克風的設備改良計畫,將原本的Konftel 55W+羅技 C920,雙方設備都升級到了AVer的VC520。升級了設備,視訊跟消迴音效果也的確提升了許多,那位品保仁兄的聲音也總算可以聽到了。 網路也從FTTB 6M,升到20M,甚至現在的30M。讓中國透過台灣上網的VPN專線也從2M提升到4M。

所以我網路跟設備都升級了! 而且遠超過Zoom的基本所需,防火牆也全開!  做好了完全的準備。

但是

我今年竟然還是遇到語音嚴重延遲到會議開不下去的情形! 對方講話,竟然要等約3秒才聽到,甚至根本聽不到。當場被董事長洗臉……..

追查過程

由於當天會議莫名其妙的品質超差,看專線流量都在正常的雙向1M以下,也看不出是台北的頻寬不足所造成的(當時全公司總頻寬用不到6Mb)。

所以當下我去反查Zoom視訊會議時所用的IP 為何?

從Ascenlink反查出會議當時唯一的聯外IP是192.204.12.70(而且在Zoom的官方網站也說明是其公司IP),並在會議尾端時就開始進行ping的測試。

Zoom視訊電腦的聯外IP
紅色部分就是當天所連線到的Zoom IP,每次開啟會議,都會變動。

結果台北用ping 192.204.12.70測試很不穩定,一般來回時間值就已經在170ms的糟糕點,有時還有到400~1100,甚至掉包,由於來回時間已經遠超過Audio的容許上限150ms很多,常常有300ms,也難怪聲音會斷斷續續的,甚至視訊暫停。每次只要跳到300ms以上時,聲音就開始嚴重延遲,400ms則是沒有聲音。

ping 192.204.12.70
ping 192.204.12.70的測試,結果有掉包,而且來回時間遠超過Audio的容許時間150ms

從中國 ping 192.204.12.70則是200ms以上,甚至掉包。所以視訊會議品質會這麼差,就是因為當時連線的Zoom IP 192.204.12.70的網路品質非常不穩定! 而且後面測試就發現是整個網段不穩定。另外TTL值如果是

於是我一一測試Zoom.us所提供的IP,去做ping的測試,測試結果如下

8.5.128.0/23 (差, 約200ms, TTL=46)
52.202.62.192/26 (無法連線)
64.211.144.0/24  (無法連線 或 超差, 約300~450ms)
69.174.57.0/24 (無法連線 或 超差, 約200~350ms)
115.114.131.0/26 (無法連線)
162.12.232.0/22 (無法連線)
162.255.36.0/22 (差, 200ms TTL 45)
192.204.12.0/22 (非常差, 170~1200+ 掉封包 或140ms TTL 49)
202.177.207.128/27 (無法連線)
202.177.213.96/27 (無法連線)
204.141.28.0/22 (好, 150ms)
209.9.211.0/24  (超好, 20~30ms)
209.9.215.0/24  (超好, 20~30ms)
213.19.144.0/24 (超差, 300ms)
213.19.153.0/24 (超差, 300ms)
221.122.88.128/25 (無法連線)
221.122.89.128/25 (無法連線)

然後下面是測試出來Zoom有使用的IP
54.241.178.0/24  (無法連線)
54.230.142.0/24  (170ms TTL=243)
204.141.29.0/24  (不穩定 200ms)
204.141.31.59 —-(超不穩定, 約200~500ms,TTL 50,超會掉封包)
184.169.249.215 160ms TTL=235
34.231.33.201

ping 69.174.57.20的測試
ping 69.174.57.20的測試 平均200ms 最大350ms

ping 209.9.211.60的測試
ping 209.9.211.60的測試 平均23ms 最大64ms

2018-01-18_155042
ping 213.19.144.60的測試 平均283ms 最大293ms

請記得,即使是cisco的視訊設備,其Audio的最大容許來回時間值也才150ms. 只要超過200ms你就會開會開不下去了。結果當天Zoom一堆網段都是超過300ms的,當然開會品質超差。

也就是說,如果我們Zoom連線所連的主機IP是上面所列的紅色連線品質非常差的主機,那我們的視訊品質就會非常差!

但我發現單單靠ping這個工具來測試是很不穩定的! 於是就使用Pingplotter Pro來分析

zoomnyt59mmr.zoom.us IP 204.141.31.59  這個主機讓我在公司月會上被董事長痛罵,可以看出掉連線20點,封包率極高! Zoom軟體其根本就不該連線!

zoomnyt59mmr.zoom.us
zoomnyt59mmr.zoom.us IP 204.141.31.59

這樣也可以確認Zoom視訊是必須連回美國的Zoom主機,然後才能在公開網路上讓大家開視訊會議,這跟有些企業用的是點對點的視訊會議設備是有差異,其只需要內部IP或VPN就可以開會,不過都是獨立主機,所以每一台的價格都很高。

原本只想讓視訊電腦只能連209.9.211.0/24  (超好 20~30ms) 209.9.215.0/24  (超好 20~30ms) 這類的IP、網域跟服務,結果設定好了去測試,發現全部無法連線視訊成功,更不要說連一般上網都關了。要嘛就是我設定錯誤,不然就是Zoom連線還有其他隱藏的通信服務跟連接網域。

於是就將紅色部分的連線不良IP全做成一個清單(不包含無法連線的),全部在防火牆上阻止Zoom視訊電腦連線連到上面紅色的IP。由阻止了Zoom電腦與該連線不良的IP連線,所以應該可以避免又連線到Zoom ping time過長,語音不順的憾事再發生。

Zoom.us 連線不良IP
當天的Zoom.us 連線不良IP

fortigate防火牆的設定
fortigate防火牆的設定: 阻止Zoom視訊電腦與Zoom.us連線不良的IP通信。

結果做好了封鎖連線不良的Zoom IP管制,一經測試又發現Zoom原來有隱藏的IP,單單下午做的幾個測試,就發現還有54.241.178.0/24 跟54.230.142.0/24,跟204.141.29.0/24,幸好這些IP連線品質都是好的150ms。

ping 204.1741.29.69
ping 204.1741.29.69 平均155ms 最大176ms

而且有些IP還是掛在Amazon底下,可能是Zoom發現其連線有問題,緊急跟Amazon租用主機來應付吧?

雖然Zoom有租用cloudfront.net的CDN服務,但看來即使用遠傳的FTTB連線也是不夠穩定。

另外就是才隔天而已,我重新再測試192.204.12.70 ,其又正常了。所以是被攻擊嗎?

隔天的192.204.12.70 ping測試
隔天的192.204.12.70 ping測試,這時又變成可用的平均148ms

 


結果跟處理方式

結果? 還沒有結果,我只能確認Zoom視訊電腦是無法連線到我所封鎖的IP,而且我會在重大開會前,先Ping一下Zoom主持電腦的連線Zoom會議室主機IP,只要有ping值過高或不穩定的,就列入封鎖。

所以我的處理方式就是:

一. 主持會議的電腦先連線到Zoom會議室,再藉由防火牆或監控軟體得知Zoom會議室伺服器的IP,再利用ping或PingPlotter等工具測試該IP,如果超過 190ms或上上下下波動很大,或嚴重有超過300ms者,立即停止連線,並藉由防火牆封鎖該IP連線到該Zoom電腦,直到主持會議電腦室連線到連品質好的ZOOM伺服器。
也就是:
過濾掉ping值過高或不穩定的Zoom 伺服器IP,並在防火牆設定,避免Zoom視訊電腦可跟該連線不良ip連線。

二. 如果開會還是遇到連線不順的IP,那我就會通知各與會人員:『因為連線不順,我們要重新連線,現在此會議室會先關閉後重啟,請大家等一下再重新連線進來』。 這樣會議主持人的Zoom電腦會重新偵測網路,其會挑選其他連線品質較佳的網路做連線,這樣有絕大機會會換到更好的連線IP。

 

WanaCrypt0r 2.0防火牆被攻擊紀錄

[記錄分享]

5月15日到17日早上10點的防火牆被攻擊紀錄.
@445足足有20筆x122頁…
@139也開始攻擊了,記錄有20筆x12頁.

平日其實都只有@22跟@23的攻擊為多,自從WanaCrypt0r 2.0開始之後,就有@445跟@139的攻擊。

請各位網管或有防火牆的朋友,請記得要防患@445跟@139的外部攻擊。特別最怕內部的網路芳鄰分享功能,造成公司內部的分享檔案全被中毒且有寫入權限的電腦給加密跟勒索。

有NAS 的朋友,最好只使用網頁介面登入,上下傳檔案或類似QNAP的myqnapcloud網頁介面傳送檔案。然後將NAS的『Windows檔案服務』功能取消。至少可以避免因為網路芳鄰分享而造成的中毒被加密。

一般網友請將自己的電腦設定成是透過路由器、NAT或防火牆上網,可以避免很多被直接攻擊的問題。

#139也開始攻擊了
#445還是主流
#中毒的殭屍設備數量沒有降低的趨勢

@445的攻擊記錄

@139的攻擊記錄