单位的电脑，开了openVPN连到家里，流量应该是加密的，为什么还能拦截域名？

image.png（21.45 KB）

家里的光猫都能访问

image.png（73.45 KB）

但是访问这个域名，无法访问，和不开vpn一样。但是连上vpn后，把这个域名hosts改为内网的 192.168.x.x ，就能访问了

image.png（29.57 KB）

你这段帖子内容是某位用户在 hu60（虎绿林）论坛的提问，讨论的是：

🧠 核心问题：

开了 OpenVPN（流量是加密的），为什么单位电脑连 VPN 后，访问某个网站域名依然被拦截？是不是 SNI 屏蔽？

🧪 具体场景描述：

✅ 已知条件：

单位电脑通过 OpenVPN 连接到家中 VPN 服务器。
VPN 隧道已成功建立，理论上网络流量应该是“走家里出去”，也就是说加密、绕过公司网络。
访问某个域名失败，表现和没开 VPN 一样 —— 无法访问。
如果把这个域名改到 hosts 指向家里的内网 IP（192.168.x.x），就能访问。

🔍 技术分析：

💡 为什么开了 VPN 还被拦截？

有几种可能性：

🚫 1. SNI（Server Name Indication）过滤生效了：

SNI 是 TLS 握手时明文传输的主机名（即域名），如果你用的是标准 HTTPS 请求，VPN 的配置如果没有全量路由，公司网关仍能看到 SNI，进而拦截。

如果你的 VPN 配置没启用全局代理（redirect-gateway），那么：

域名请求走单位网络出去了

SNI 被识别到了

被防火墙拦截

✅ 所以：你访问的是 HTTPS 域名（使用 TLS），但流量未完全走 VPN。

🛣 2. VPN 路由设置问题（未走默认网关）：

如果 VPN 没有正确设置成“全局模式”，单位电脑只通过 VPN 访问某些 IP（比如内网），而其它流量仍然走单位网，导致：

DNS 请求或 TCP 请求仍走单位网络

域名访问被阻断

👉 需要在 VPN 服务端配置 push "redirect-gateway def1 bypass-dhcp" 强制客户端走默认网关

🏠 3. hosts 改成内网 IP 就能访问的原因：

说明你访问的这个网站其实是：

部署在你家里的内网服务器上

域名本身不是公网能解析的（或公司屏蔽了这个域名）

当你 hosts 指向 192.168.x.x，其实绕过了 DNS 解析和防火墙判断，直接访问你家里内网的服务。

✅ 结论总结：

问题解释

VPN 加密了，为何还被拦？因为流量没有完全走 VPN（路由配置不对），SNI 暴露在外。
改 hosts 为内网地址就能访问？是因为服务其实部署在你家内网，直接绕过 DNS 和防火墙拦截。
是 SNI 屏蔽吗？很有可能是，或者是 DNS 污染（单位 DNS 把该域名定向到空地址）。

🛠 推荐解决方案：

确认 OpenVPN 配置里服务端有没有推送默认网关
push "redirect-gateway def1 bypass-dhcp"
客户端 .ovpn 文件加入：

route-nopull
route 0.0.0.0 0.0.0.0 vpn_gateway

如目标服务仅限内网访问，可以通过内网 hosts 绑定访问，不需要公网域名。

如果你方便贴出你 .ovpn 客户端配置或服务器配置，我可以帮你更详细分析是不是路由问题。是否需要我帮你检查这部分？
一加8Pro

@胡椒舰长，
一加8Pro

@胡椒舰长，目测VPN没有修改DNS，然后域名在不同DNS解析出的IP不一样，只有把家里的路由器设为DNS时解析出来的IP才能访问。

@老虎会游泳，
openvpn连接的域名是 nas的公网IP 124.xx.x.xx
访问的https也是nas的域名。

但是我openvpn连上后，再改hosts 到192.168.3.x (ovpn远程局域网段)就可以访问了，感觉有点像访问域名没有走ovpn网络，
但是redirect-gateway def1应该是全局
image.png（473.9 KB）

@罐子，你这个ai一眼错误的，opvnpvn没有按照sni分流这一说，只有按照ip段分流

@胡椒舰长，

nslookup adminv.myds.me
nslookup adminv.myds.me 192.168.9.1
nslookup adminv.myds.me 114.114.114.114

这样查看一下你应该就懂了。

nslookup adminv.myds.me 192.168.9.1

这个应该会得到192.168.9.1，就像小米路由器会把www.miwifi.com解析到自己的局域网IP一样。

感觉有点像访问域名没有走ovpn网络

DNS流量走了ovpn网络，只是DNS服务器并不是你的光猫，所以解析不出来你光猫的IP而已。

就像

nslookup adminv.myds.me 114.114.114.114

无论走不走VPN，结果都是不对的。

需要在VPN服务器配置文件里通过 dhcp option 把 DNS 设置为光猫。

@老虎会游泳，同样的配置，我在单位就是用不了。
我的手机也用这个配置。单位的网络有屏蔽用不了。

adminv.myds.me 这个域名指向的是一个公网的IP，我在家里面用的也是这个公网的IP访问。

我是想表达的意思是单位的网络。如果没ovpn 是直接访问这个网址也是这种屏蔽的。

如果你是说DNS的问题，
同样这个域名，他的8001端口，无论开不开VPN就是可以访问。可能里面包含关键字net speed test。
就是访问5001这个端口。单位的网络下就是屏蔽的。开启VPN也是屏蔽的。除非开启VPN之后，把域名改成192.168.3.9才能访问

家里和单位的dns解析结果相同

单位 nslookup

image.png（71.25 KB）

单位 nslookup 114.114.114.114

image.png（90.96 KB）

家里 nslookup

image.png（27.01 KB）

不开ovpn下，单位可以访问部分NAS端口。

image.png（631.04 KB）

@胡椒舰长，这是你自己的域名？我还以为是联通提供的呢。如果是你自建的，那答案就很明显了，联通屏蔽了家庭宽带80和443端口的公网访问，只能使用其他端口。

@老虎会游泳，不是80，是5001，nas搭建在联通公网上。

除了单位所有互联网都能直接域名+端口，访问nas，
单位开了vpn还能屏蔽

@胡椒舰长，以下几种可能：

设备主动拒绝了访问，比如光猫的“端口过滤”规则里有你单位的IP，选了5001端口，并且选了“拒绝”。
操作系统安装了基于SNI嗅探的防火墙。

@胡椒舰长，关于连了VPN后访问不了你的域名，你可以试一下在其他网络环境里能不能连上。如果也不能连上，可能是域名对应的IP有回源问题：由于路由问题，某些机器的公网IP，这个机器自身无法访问，只有其他设备才能访问。所以如果用这个机器开VPN，也不能访问这个机器自身的公网IP。

可能性还有：
3. 应用程序由于Cookie、User-Agent等原因拒绝了你浏览器连接。

可以尝试在NAS上抓包，看单位的访问请求有没有到达NAS。如果到达了，就是NAS主动拒绝连接，没到达就是其他问题。

不同端口的防火墙规则可以是不同的，所以有的端口能访问有的不能是正常现象。

@老虎会游泳，

设备主动拒绝了访问，比如光猫的“端口过滤”规则里有你单位的IP，选了5001端口，并且选了“拒绝”。

不太可能，远程光猫是我家里的，没有拦截规则和防火墙的。

操作系统安装了基于SNI嗅探的防火墙。

操作系统是我自己装的，来源windows10 官网

应用程序由于Cookie、User-Agent等原因拒绝了你浏览器连接。

群晖没有防火墙。

关于连了VPN后访问不了你的域名，你可以试一下在其他网络环境里能不能连上。如果也不能连上，可能是域名对应的IP有回源问题：由于路由问题，某些机器的公网IP，这个机器自身无法访问，只有其他设备才能访问。所以如果用这个机器开VPN，也不能访问这个机器自身的公网IP。

任何地方的互联网都可以访问 adminv.myds.me:5001 ，包括网吧等。但是只有单位访问不了，并且开了VPN(这个VPN就是NAS群晖1194端口提供的)。

我感觉原因是除了192.168.3.x 走了vpn，其他流量没走vpn，因为百度`ip地址` 不是联通的ip。不走vpn 就被政务网拦截了

@胡椒舰长，那你是连接家里群晖部署的vpn，然后也无法访问家里的群晖？
一加ace2Pro(灰|24+1024)

@胡椒舰长，不是任何地方啊，你看我的联通宽带就访问不了，并且报错和你一样
screenshot_20250723_034502.jpg（161.57 KB）

@胡椒舰长，如果我关掉wifi，用电信卡的流量，就能访问了
screenshot_20250723_034623.jpg（516.17 KB）