Mobiles (zellulares) Netzwerk blockieren nach Domänennamen

Ich habe OpenConnect in meinem Heimbüro, sodass ich von Hotels und / oder Kundenseiten aus auf mein Labor zugreifen kann. Um den Server zu finden, habe ich die Hilfe eines dynamischen DNS-Dienstes in Anspruch genommen, der es mir ermöglicht, eine Unterdomäne meines registrierten DNS-Namens zu verwenden.

Wenn mein richtiger Name beispielsweise John Doe ist, habe ich mich registriert johndoe.me.ukund der dynamische DNS-Dienst lässt vpn.johndoe.me.ukimmer auf die externe IP-Adresse meines Routers verweisen.

Bei der Verbindung von (z. B.) einem Hotel-WLAN (oder kabelgebundenem Ethernet) funktioniert es sehr gut.

Wenn ich jedoch versuche, eine Verbindung über ein Mobilfunknetz herzustellen, wird die Verbindung sofort abgebrochen. Die Ausgaben von Wireshark und tcpdump zeigen an, dass der Client die TLS-ClientHello-Nachricht sendet und ein TCP-RST zurückgegeben wird. Ich habe es mit zwei britischen Netzwerken versucht - Three und Vodafone - und beide verhalten sich gleich.

Meine ersten Gedanken waren, dass dies protokollbasiert war - einige Deep Packet Inspection lehnte das AnyConnect-Protokoll ab. Wenn ich den Client jedoch so rekonfiguriere, dass er die aktuelle externe IP-Adresse des Routers verwendet vpn.johndoe.me.uk, funktioniert dies nicht. Vielleicht zunächst etwas mit der Namensauflösung zu tun?

Mit diesem Gedanken fortfahren, habe ich seither einen anderen dynamischen DNS-Dienst ( .zzzz.io) ausprobiert und der funktioniert auch - mein DNS-Name ist immer noch der Verdacht auf Nummer eins.

Ich habe die /etc/hostDatei auf meinen Clientgeräten verwendet, um die DNS-Auflösung zu umgehen. Wenn ich jeweils die folgende probiere (vorausgesetzt, es 12.34.56.78handelt sich um die aktuelle öffentliche IP-Adresse meines Routers), erhalte ich Folgendes :

12.34.56.78 vpn.johndoe.me.uk # This fails 12.34.56.78 abc.johndoe.me.uk # This fails 12.34.56.78 vpn.ohndoe.me.uk # Dropped the 'j' - this works! 12.34.56.78 vpn.johndoe.me.u # Dropped the 'k' - this works! 

Meine Gedanken sind jetzt, dass mein registriertes DNS ( johndoe.me.uk) auf der schwarzen Liste steht, aber ich habe ein paar der Blacklist-Überprüfungsseiten ausprobiert, die nur für Policy Based SMTP-Block für meinen ISP angezeigt werden (was erwartet wird).

Ich habe sogar den Filter für Erwachseneninhalte deaktiviert, den ISPs hier in Großbritannien standardmäßig aktivieren müssen, und das hat nicht geholfen (nein - mein echter Name klingt nicht nach einem Filmstar für Erwachsene!)

Ich könnte zwar weiterhin den alternativen dynamischen DNS-Dienst (den ich jetzt verwenden werde) weiterhin verwenden, aber ich muss dem auf den Grund gehen.

Mir ist gerade aufgefallen, dass eine reguläre Website (kein VPN-Server), die ich verwende, https://.johndoe.me.ukaber von einem Cloud-Service gehostet wird (dh nicht in meinem Labor), auch vom Mobilfunkbetreiber blockiert wird (während dies http://nicht der Fall ist).

Ich habe sogar versucht, den VPN-Dienst vom Standardport 443 auf eine hohe Nummer (8888) zu verschieben, was aber nicht geholfen hat.

Was in aller Welt kann mich durch meinen registrierten DNS-Namen blockieren, nur in Mobilfunknetzen und nur, wenn an jedem Port ein HTTPS-Protokoll verwendet wird (nicht nur Standard 443)?