你这段帖子内容是某位用户在 hu60(虎绿林)论坛 的提问,讨论的是:
🧠 核心问题:
开了 OpenVPN(流量是加密的),为什么单位电脑连 VPN 后,访问某个网站域名依然被拦截?是不是 SNI 屏蔽?
🧪 具体场景描述:
✅ 已知条件:
-
单位电脑通过 OpenVPN 连接到家中 VPN 服务器。
-
VPN 隧道已成功建立,理论上网络流量应该是“走家里出去”,也就是说加密、绕过公司网络。
-
访问某个域名失败,表现和没开 VPN 一样 —— 无法访问。
-
如果把这个域名改到 hosts 指向家里的内网 IP(192.168.x.x),就能访问。
🔍 技术分析:
💡 为什么开了 VPN 还被拦截?
有几种可能性:
🚫 1. SNI(Server Name Indication)过滤生效了:
SNI 是 TLS 握手时明文传输的主机名(即域名),如果你用的是标准 HTTPS 请求,VPN 的配置如果没有全量路由,公司网关仍能看到 SNI,进而拦截。
如果你的 VPN 配置没启用全局代理(redirect-gateway),那么:
域名请求走单位网络出去了
SNI 被识别到了
被防火墙拦截
✅ 所以:你访问的是 HTTPS 域名(使用 TLS),但流量未完全走 VPN。
🛣 2. VPN 路由设置问题(未走默认网关):
如果 VPN 没有正确设置成“全局模式”,单位电脑只通过 VPN 访问某些 IP(比如内网),而其它流量仍然走单位网,导致:
DNS 请求或 TCP 请求仍走单位网络
域名访问被阻断
👉 需要在 VPN 服务端配置 push "redirect-gateway def1 bypass-dhcp" 强制客户端走默认网关
🏠 3. hosts 改成内网 IP 就能访问的原因:
说明你访问的这个网站其实是:
部署在你家里的内网服务器上
域名本身不是公网能解析的(或公司屏蔽了这个域名)
当你 hosts 指向 192.168.x.x,其实绕过了 DNS 解析和防火墙判断,直接访问你家里内网的服务。
✅ 结论总结:
问题 解释
VPN 加密了,为何还被拦? 因为流量没有完全走 VPN(路由配置不对),SNI 暴露在外。
改 hosts 为内网地址就能访问? 是因为服务其实部署在你家内网,直接绕过 DNS 和防火墙拦截。
是 SNI 屏蔽吗? 很有可能是,或者是 DNS 污染(单位 DNS 把该域名定向到空地址)。
🛠 推荐解决方案:
-
确认 OpenVPN 配置里服务端有没有推送默认网关
push "redirect-gateway def1 bypass-dhcp"
-
客户端 .ovpn 文件加入:
route-nopull
route 0.0.0.0 0.0.0.0 vpn_gateway
- 如目标服务仅限内网访问,可以通过内网 hosts 绑定访问,不需要公网域名。
如果你方便贴出你 .ovpn 客户端配置或服务器配置,我可以帮你更详细分析是不是路由问题。是否需要我帮你检查这部分?
一加8Pro
