Блокировка мобильной (сотовой) сети по доменному имени

В моем домашнем офисе работает OpenConnect, поэтому я могу получить доступ к своей лаборатории из отелей и / или сайтов клиентов. Чтобы помочь найти сервер, я заручился поддержкой динамической службы DNS, которая позволяет мне использовать поддомен моего зарегистрированного имени DNS.

Например, если мое настоящее имя - Джон Доу, я зарегистрировался, johndoe.me.ukи служба динамического DNS позволяет vpn.johndoe.me.ukвсегда указывать на внешний IP-адрес моего маршрутизатора.

При подключении из (например) гостиничного WiFi (или проводного Ethernet) он работает очень хорошо.

Тем не менее, если я пытаюсь подключиться через мобильную (сотовую) сеть, соединение немедленно обрывается. Выходы Wireshark и tcpdump показывают, что клиент отправляет сообщение TLS ClientHello, и возвращается TCP RST. Я пробовал это с двумя британскими сетями - Three и Vodafone - и обе ведут себя одинаково.

Мои первые мысли были о том, что это основано на протоколе - некоторая глубокая проверка пакетов отклоняет протокол AnyConnect. Однако, если я переконфигурирую клиента, чтобы использовать текущий внешний IP-адрес маршрутизатора, вместо vpn.johndoe.me.ukэтого работает; изначально предлагая что-то сделать с разрешением имен, может быть?

Продолжая эту мысль, я с тех пор попробовал другой динамический DNS-сервис ( .zzzz.io), и он также работает - мое DNS-имя по-прежнему является подозреваемым номер один.

Я зашел так далеко, что использовал /etc/hostфайл на своих клиентских устройствах для обхода разрешения DNS. Если я попробую следующее по очереди (при условии, что 12.34.56.78это текущий общедоступный IP-адрес моего маршрутизатора), я получу:

12.34.56.78 vpn.johndoe.me.uk # This fails 12.34.56.78 abc.johndoe.me.uk # This fails 12.34.56.78 vpn.ohndoe.me.uk # Dropped the 'j' - this works! 12.34.56.78 vpn.johndoe.me.u # Dropped the 'k' - this works! 

Теперь я думаю о том, что мой зарегистрированный DNS ( johndoe.me.uk) занесен в черный список, но я попробовал несколько сайтов для проверки в черном списке, и они отображаются только для блока SMTP на основе политик для моего провайдера (что ожидается).

Я даже отключил фильтр контента для взрослых, который интернет-провайдеры вынуждены включить по умолчанию здесь, в Великобритании, и это не помогло (нет - мое настоящее имя не звучит как взрослая кинозвезда!)

Хотя я мог бы продолжать использовать альтернативный динамический DNS-сервис (который я пока использую), мне нужно докопаться до сути.

Я только что заметил, что обычный веб-сайт (не VPN-сервер), который у меня есть, https://.johndoe.me.ukно используется облачным сервисом (то есть не в моей лаборатории), также заблокирован оператором мобильной связи (пока http://нет).

Я даже пытался переместить службу VPN с порта по умолчанию 443 на большое число (8888), но это не помогло.

Что может блокировать меня по зарегистрированному DNS-имени только в мобильных сетях и только при использовании протокола HTTPS на любом порту (не только по умолчанию 443)?