中國全面封鎖美國視訊會議工具 Zoom

在2019.09.08 中國全面封鎖 Zoom.us

從2019.09.08開始,不管是Zoom.us網站、還是Zoom視訊會議室的連接,只要你在中國,全都被封鎖!

也就是中國就連一般商業會議的應用,也扯進了中美貿易戰。然後中國方面又沒有可以令國際商業人士信服可用的商業會議應用工具。

中國政府長期監控通訊軟體是有中國法律允許的背景下執行的,因此商業機密也有可能會被竊取或盜聽,而且在中國合法。

並且在中國,如果要申請任何帳號,都須先從手機號碼開始登錄資料! 可是對於國際商業來說,用手機來做登陸是件非常荒唐的事!
在國際上,用e-mail申請已經是個人資料安全的上限了!

如果連與中國工廠做個生產報告視訊會議都不行的話,而且還要租用中國高昂費用且低效能的專用線路,以及使用隨時會被中國政府竊聽的通訊軟體的話,那國際企業真的應該要盡快撤資離開中國才是! 搞這些額外成本太累人了! 到其他國家都沒有這個問題!

國際的市場是全球,沒有人一定要用專為中國政府設計的軟體!

現在好了,我還要停掉三個Zoom PRO帳號…而且這些錢還是我個人先代付的。然後還要找其他的相關視訊會議方案。(就連我中國同事也不願意找中國的視訊會議工具是怎樣啦!)

zoom被中國封鎖-無法連接
zoom被中國封鎖-無法連接
中國從2019.09.09開始全面封鎖 zoom
中國從2019.09.09開始單方面的封鎖 zoom

中國封鎖Zoom的方式為汙染中國路由器跟DNS

Zoom的網站,主要是租用Amazon的AWS方案來架設主機,租用的主機跟IP非常多,如果單純的利用IP封鎖Zoom是不太可能的,這樣會濫殺一堆同樣是租用AWS的無辜主機。然後中國出去的路線,有從香港到美國、台灣到美國、日本到美國,所以只要從中國出去之後,中國就管不到了。

那中國是如何封鎖Zoom的?

如果利用在中國解析Zoom.us或Zoom.com的DNS查詢,就可以看到DNS跟Router 亂給網域名稱跟IP,以及路由到錯誤主機,但就是沒有連線到正確的 Zoom.us或Zoom.com ,也因此造成無法連線。

如果有能力解決中國段的DNS汙染跟路由設定,其實是可以恢復連線回 Zoom.us或Zoom.com 。

另外Zoom 的延遲時間需要在200ms以下,延遲時間過長者,視訊品質會很差。然後中國網路資料出去時,在快出中國國土時,總是會透過某個看不到的節點大幅延遲,而造成視訊品質明顯低落,所以柬埔寨4M 4G上網網路視訊品質,都一直比中國企業級 6兆 專線網路的還好。

2019-09-11 在中國解析zoom.us都是錯誤的IP
2019-09-11 Zoom只剩深圳可以連線,但延遲過重,基本上也是無法正常視訊

其他的代替方案

有中國同事提出是否可以改用微信開視訊會議,問題是微信是綁手機號碼的,台北也才我一個IT人員,申請四個公司帳號的手機號碼有多麼麻煩先不談! 我一個人要拿著四支手機幫忙登入wechat? 瘋了? 中國那邊的同事最多才兩個IT管兩個帳號,其他的都是一個主管負責一個帳號而已。要我一個人負責四個要用手機登入的帳號? 手機月租費一年要多少啊? 這成本有多浪費啊?

SKYPE測試了! 的確可以用,但受限於一天最高10小時,一個月最高100小時。但Skype要開啟會議,必須先記入好友,並且call out對方同意加入才能開會。跟zoom只需『得知Zoom Meeting Room ID即可加入,而且有很多平台可以免帳號登入視訊會議』差很多!
另外Skype在網路品質不好時,會優先降低視訊的流量,甚至關閉視訊,以保持通話品質。Zoom則是兩者兼顧,但不會讓整個視訊畫面關閉。

商務用Skype還要另外安裝商務版的Skype軟體,然後要訂閱Office 365. 有夠麻煩!

當然你也可以用企業名義申請的B2B VPN專線,讓中國分公司透過企業名義申請企業專用VPN連回台灣,然後讓中國分公司透過台灣上網,這樣Zoom也可以正常連線。 而且也完全符合中國法令,所以不會像私人架設的VPN被封鎖。

至於 VPN專線 費用嘛…我公司小,只有申請4M+中國1個點,每一個月要繳NT$ 32,000(未稅)的VPN專線使用費,而且常常會因為中國當地的施工工程而挖斷光纖,然後斷線半天以上。這費用是我公司金額最高的通訊費用…所以8M專線更是無法申請核准。

然後Zoom每個點所需最低順暢頻寬約在384Kb~2Mb,然後我公司專線還要應付資料傳輸、VoIP、ERP系統連線。所以基本上,4Mb專線非安全容許範圍最多可應付兩個Zoom點透過VPN專線(如果要在安全允許範圍只能1個),再透過台北來連接Zoom。而且這也會影響到台北的上網際網路的頻寬跟防火牆效能。


網路上相關的討論跟網頁

China blocks US video-conferencing tool Zoom https://technode.com/2019/09/09/china-blocks-us-video-conferencing-tool-zoom/

Zoom blocked in China
https://www.reddit.com/r/networking/comments/d1x1g0/zoom_blocked_in_china/

Issues starting/joining meetings and visiting the Zoom website in China
https://status.zoom.us/incidents/xbmxyfpnv4jq

廣告

Zoom視訊會議品質突然過差的發生原因跟解決方法

前言

Zoom的視訊方式是我公司已經實行三年有餘的視訊軟體系統,你只要有一台電腦安裝Zoom並且有喇叭麥克風、視訊鏡頭等設備,就可以進行視訊或多點談話。而且即使在免費版本也是可以一對一無限制時間會議,群組會議則是有40分鐘的限制(但可以立即重新連線即可)。

我們是有購買兩個Pro的帳號,並且都固定了會議ID,與中國、柬埔寨、日本、韓國開視訊會議。

明明三年內絕大部分都開得順順的,聲音品質也不錯。但不知道為何有時就是會出現聲音延遲、影像畫質低落,而且非常嚴重,甚至對方已經講完話了,我們卻完全沒有聽到聲音; 也就是連聲音的封包都已經是掉包了,這樣就視訊會議就開不下去,用專線電話開會還比較清晰咧。

檢查Zoom視訊所佔的網路流量紀錄也才最大上下1~2Mb,以公司都是用雙向30M FTTB級網路來說,不應該有問題才是。即使是中國東莞封鎖封包嚴重,我們也是透過昂貴的企業VPN來讓中國東莞透過台北上網,讓東莞工廠通信完全不掉封包。但Zoom視訊會議品質低落問題也不是每次都發生的,而且常常發生之際,只需主持人關閉會議再重新開啟新會議,絕大部分就可以解決問題。(小部份則是有人動到喇叭麥克風的線或按鈕)

但為何重開可以解決?為何當時會發生通信不良?

我卻當時一直一味的認為我們用的視訊會議麥克風設備的消除回音不佳跟網路不佳。而且當時所選用的Konftel 55W的擴充麥克風,其有指向性的問題,如果講話者在麥克風後方講話,聲音就會不清楚; 並且Konftel 55W有無法將音頻過低的人聲聲音做擴大的問題,我們公司有一位品保聲音超低頻,每次開會用Konftel 55W講話,對方就無法聽清楚他的聲音。

於是我們就開始了視訊喇拉麥克風的設備改良計畫,將原本的Konftel 55W+羅技 C920,雙方設備都升級到了AVer的VC520。升級了設備,視訊跟消迴音效果也的確提升了許多,那位品保仁兄的聲音也總算可以聽到了。 網路也從FTTB 6M,升到20M,甚至現在的30M。讓中國透過台灣上網的VPN專線也從2M提升到4M。

所以我網路跟設備都升級了! 而且遠超過Zoom的基本所需,防火牆也全開!  做好了完全的準備。

但是

我今年竟然還是遇到語音嚴重延遲到會議開不下去的情形! 對方講話,竟然要等約3秒才聽到,甚至根本聽不到。當場被董事長洗臉……..

追查過程

由於當天會議莫名其妙的品質超差,看專線流量都在正常的雙向1M以下,也看不出是台北的頻寬不足所造成的(當時全公司總頻寬用不到6Mb)。

所以當下我去反查Zoom視訊會議時所用的IP 為何?

從Ascenlink反查出會議當時唯一的聯外IP是192.204.12.70(而且在Zoom的官方網站也說明是其公司IP),並在會議尾端時就開始進行ping的測試。

Zoom視訊電腦的聯外IP
紅色部分就是當天所連線到的Zoom IP,每次開啟會議,都會變動。

結果台北用ping 192.204.12.70測試很不穩定,一般來回時間值就已經在170ms的糟糕點,有時還有到400~1100,甚至掉包,由於來回時間已經遠超過Audio的容許上限150ms很多,常常有300ms,也難怪聲音會斷斷續續的,甚至視訊暫停。每次只要跳到300ms以上時,聲音就開始嚴重延遲,400ms則是沒有聲音。

ping 192.204.12.70
ping 192.204.12.70的測試,結果有掉包,而且來回時間遠超過Audio的容許時間150ms

從中國 ping 192.204.12.70則是200ms以上,甚至掉包。所以視訊會議品質會這麼差,就是因為當時連線的Zoom IP 192.204.12.70的網路品質非常不穩定! 而且後面測試就發現是整個網段不穩定。另外TTL值如果是

於是我一一測試Zoom.us所提供的IP,去做ping的測試,測試結果如下

8.5.128.0/23 (差, 約200ms, TTL=46)
52.202.62.192/26 (無法連線)
64.211.144.0/24  (無法連線 或 超差, 約300~450ms)
69.174.57.0/24 (無法連線 或 超差, 約200~350ms)
115.114.131.0/26 (無法連線)
162.12.232.0/22 (無法連線)
162.255.36.0/22 (差, 200ms TTL 45)
192.204.12.0/22 (非常差, 170~1200+ 掉封包 或140ms TTL 49)
202.177.207.128/27 (無法連線)
202.177.213.96/27 (無法連線)
204.141.28.0/22 (好, 150ms)
209.9.211.0/24  (超好, 20~30ms)
209.9.215.0/24  (超好, 20~30ms)
213.19.144.0/24 (超差, 300ms)
213.19.153.0/24 (超差, 300ms)
221.122.88.128/25 (無法連線)
221.122.89.128/25 (無法連線)

然後下面是測試出來Zoom有使用的IP
54.241.178.0/24  (無法連線)
54.230.142.0/24  (170ms TTL=243)
204.141.29.0/24  (不穩定 200ms)
204.141.31.59 —-(超不穩定, 約200~500ms,TTL 50,超會掉封包)
184.169.249.215 160ms TTL=235
34.231.33.201

ping 69.174.57.20的測試
ping 69.174.57.20的測試 平均200ms 最大350ms

ping 209.9.211.60的測試
ping 209.9.211.60的測試 平均23ms 最大64ms

2018-01-18_155042
ping 213.19.144.60的測試 平均283ms 最大293ms

請記得,即使是cisco的視訊設備,其Audio的最大容許來回時間值也才150ms. 只要超過200ms你就會開會開不下去了。結果當天Zoom一堆網段都是超過300ms的,當然開會品質超差。

也就是說,如果我們Zoom連線所連的主機IP是上面所列的紅色連線品質非常差的主機,那我們的視訊品質就會非常差!

但我發現單單靠ping這個工具來測試是很不穩定的! 於是就使用Pingplotter Pro來分析

zoomnyt59mmr.zoom.us IP 204.141.31.59  這個主機讓我在公司月會上被董事長痛罵,可以看出掉連線20點,封包率極高! Zoom軟體其根本就不該連線!

zoomnyt59mmr.zoom.us
zoomnyt59mmr.zoom.us IP 204.141.31.59

這樣也可以確認Zoom視訊是必須連回美國的Zoom主機,然後才能在公開網路上讓大家開視訊會議,這跟有些企業用的是點對點的視訊會議設備是有差異,其只需要內部IP或VPN就可以開會,不過都是獨立主機,所以每一台的價格都很高。

原本只想讓視訊電腦只能連209.9.211.0/24  (超好 20~30ms) 209.9.215.0/24  (超好 20~30ms) 這類的IP、網域跟服務,結果設定好了去測試,發現全部無法連線視訊成功,更不要說連一般上網都關了。要嘛就是我設定錯誤,不然就是Zoom連線還有其他隱藏的通信服務跟連接網域。

於是就將紅色部分的連線不良IP全做成一個清單(不包含無法連線的),全部在防火牆上阻止Zoom視訊電腦連線連到上面紅色的IP。由阻止了Zoom電腦與該連線不良的IP連線,所以應該可以避免又連線到Zoom ping time過長,語音不順的憾事再發生。

Zoom.us 連線不良IP
當天的Zoom.us 連線不良IP

fortigate防火牆的設定
fortigate防火牆的設定: 阻止Zoom視訊電腦與Zoom.us連線不良的IP通信。

結果做好了封鎖連線不良的Zoom IP管制,一經測試又發現Zoom原來有隱藏的IP,單單下午做的幾個測試,就發現還有54.241.178.0/24 跟54.230.142.0/24,跟204.141.29.0/24,幸好這些IP連線品質都是好的150ms。

ping 204.1741.29.69
ping 204.1741.29.69 平均155ms 最大176ms

而且有些IP還是掛在Amazon底下,可能是Zoom發現其連線有問題,緊急跟Amazon租用主機來應付吧?

雖然Zoom有租用cloudfront.net的CDN服務,但看來即使用遠傳的FTTB連線也是不夠穩定。

另外就是才隔天而已,我重新再測試192.204.12.70 ,其又正常了。所以是被攻擊嗎?

隔天的192.204.12.70 ping測試
隔天的192.204.12.70 ping測試,這時又變成可用的平均148ms

 


結果跟處理方式

結果? 還沒有結果,我只能確認Zoom視訊電腦是無法連線到我所封鎖的IP,而且我會在重大開會前,先Ping一下Zoom主持電腦的連線Zoom會議室主機IP,只要有ping值過高或不穩定的,就列入封鎖。

所以我的處理方式就是:

一. 主持會議的電腦先連線到Zoom會議室,再藉由防火牆或監控軟體得知Zoom會議室伺服器的IP,再利用ping或PingPlotter等工具測試該IP,如果超過 190ms或上上下下波動很大,或嚴重有超過300ms者,立即停止連線,並藉由防火牆封鎖該IP連線到該Zoom電腦,直到主持會議電腦室連線到連品質好的ZOOM伺服器。
也就是:
過濾掉ping值過高或不穩定的Zoom 伺服器IP,並在防火牆設定,避免Zoom視訊電腦可跟該連線不良ip連線。

二. 如果開會還是遇到連線不順的IP,那我就會通知各與會人員:『因為連線不順,我們要重新連線,現在此會議室會先關閉後重啟,請大家等一下再重新連線進來』。 這樣會議主持人的Zoom電腦會重新偵測網路,其會挑選其他連線品質較佳的網路做連線,這樣有絕大機會會換到更好的連線IP。