Memandangkan penapisan internet mengetatkan seluruh dunia, kerajaan menjadi semakin prihatin terhadap mencegah penggunaan VPN untuk menghalang sekatan mereka. China, dengan Firewall Besar, telah menjadi sangat aktif dalam hal ini, dan terdapat banyak laporan daripada orang yang menggunakan VPN di China yang mempunyai sambungan mereka disekat.

Masalahnya adalah bahawa walaupun mustahil untuk 'melihat' data dalam terowong VPN yang disulitkan, firewall yang semakin canggih dapat menggunakan teknik Deep Packet Inspection (DPI) untuk menentukan enkripsi yang sedang digunakan (untuk mengesan contoh enkripsi SSL yang digunakan oleh OpenVPN).

Terdapat beberapa penyelesaian untuk masalah ini, tetapi kebanyakannya memerlukan tahap kepakaran teknikal dan konfigurasi sisi pelayan, itulah sebabnya artikel ini hanyalah pengenalan kepada pilihan yang tersedia. Jika menyembunyikan isyarat VPN anda adalah penting kepada anda dan penghantaran Port 443 (lihat di bawah) tidak mencukupi, maka anda harus menghubungi pembekal VPN anda untuk membincangkan sama ada mereka bersedia untuk melaksanakan salah satu penyelesaian yang digariskan di bawah (atau mencari pembekal alternatif, seperti sebagai AirVPN, yang sudah menawarkan sokongan jenis ini).

OpenVPN Port Forward melalui port TCP 443

Setakat kaedah paling mudah, yang boleh dilakukan dengan mudah dari akhir (pelanggan) anda, tidak memerlukan pelaksanaan pihak pelayan, dan akan bekerja dalam kebanyakan kes, adalah untuk meneruskan trafik OpenVPN anda melalui port TCP 443.

OpenVPN secara lalai menggunakan port UDP 1194, oleh itu adalah perkara biasa untuk firewall untuk memantau port 1194 (dan pelabuhan biasa lain yang digunakan), menolak lalu lintas yang disulitkan yang cuba menggunakannya (atau mereka). Port TCP 443 adalah port lalai yang digunakan oleh HTTPS (Protokol Hypertext Transfer Protocol), protokol yang digunakan untuk mendapatkan https: // laman web, dan digunakan di seluruh internet oleh bank, Gmail, Twitter, dan banyak perkhidmatan web yang lebih penting..


Bukan sahaja penggunaan OpenVPN, yang seperti HTTPS menggunakan penyulitan SSL, sangat sukar untuk mengesan lebih dari port 443, tetapi menyekat pelabuhan itu akan melumpuhkan akses ke internet dan oleh itu tidak selalunya pilihan untuk penapis web.

Penerusan port adalah salah satu ciri yang paling umum disokong dalam klien OpenVPN tersuai, membuat perubahan kepada port TCP 443 dengan mudah. Sekiranya pembekal VPN anda tidak membekalkan klien tersebut, maka anda harus menghubungi mereka.

Malangnya, penyulitan SSL yang digunakan oleh OpenVPN tidak sama dengan 'standard' SSL, dan Advanced Deep Packet Inspection (jenis yang semakin digunakan di tempat-tempat seperti China), boleh memberitahu jika lalu lintas yang dienkripsi mematuhi 'nyata' SSL / Jabat tangan HTP. Dalam kes sedemikian, kaedah alternatif untuk mengelakkan pengesanan perlu dijumpai.

Obfsproxy

Obfsproxy adalah alat yang direka untuk membungkus data ke lapisan obfuscation, sehingga sukar untuk mengesan OpenVPN (atau protokol VPN yang lain) sedang digunakan. Ia baru-baru ini telah diterima pakai oleh rangkaian Tor, sebahagian besarnya sebagai respons kepada China menyekat akses kepada nod Tor awam, tetapi ia bebas daripada Tor, dan boleh dikonfigurasi untuk OpenVPN.

Untuk berfungsi, obfsproksi perlu dipasang pada komputer klien (menggunakan, misalnya, port 1194), dan pelayan VPN. Walau bagaimanapun, semua yang diperlukan adalah bahawa baris arahan berikut dimasukkan ke dalam pelayan:

obfsproxy obfs2 -dest = 127.0.0.1: 1194 server x.x.x.x: 5573

Ini memberitahu obfsproxy untuk mendengar pada port 1194, untuk menyambungkan setempat ke port 1194 dan menyampaikan data yang disingkapkan kepadanya (x.x.x.x harus digantikan dengan alamat IP anda atau 0.0.0.0 untuk mendengar pada semua rangkaian rangkaian). Ia mungkin terbaik untuk menyediakan IP statik dengan pembekal VPN anda supaya pelayan mengetahui port mana yang hendak didengar.

Berbanding dengan pilihan terowong yang dibentangkan di bawah ini, obfsproxy tidak selamat, kerana ia tidak membungkus lalu lintas dalam penyulitan, tetapi ia mempunyai overhead lebar jalur yang jauh lebih rendah kerana ia tidak membawa lapisan tambahan penyulitan. Ini boleh menjadi sangat relevan bagi pengguna di tempat-tempat seperti Syria atau Ethiopia, di mana jalur lebar sering merupakan sumber kritikal. Obfsproksi juga agak mudah untuk menyediakan dan mengkonfigurasi.

OpenVPN melalui terowong SSL

Terowong Layer Secure Layer (SSL) boleh, secara sendiri, digunakan sebagai alternatif yang berkesan untuk OpenVPN, dan sebenarnya, banyak pelayan proksi menggunakan satu untuk menjamin sambungan mereka. Ia juga boleh digunakan untuk menyembunyikan hakikat bahawa anda menggunakan OpenVPN.

Sebagaimana yang dinyatakan di atas, OpenVPN menggunakan protokol penyulitan TLS / SSL yang sedikit berbeza daripada SSL 'benar', dan yang dapat dikesan oleh DPI yang canggih. Untuk mengelakkan ini, adalah mungkin untuk 'membungkus' data OpenVPN dalam lapisan penyulitan tambahan. Oleh kerana DPI tidak dapat menembusi penyulitan SSL ini 'luar', mereka tidak dapat mengesan enkripsi OpenVPN 'di dalam'.

Terowong SSL biasanya dibuat menggunakan perisian stunnel berbilang platform, yang mesti dikonfigurasi di kedua-dua pelayan (dalam hal ini pelayan VPN penyedia VPN) dan klien (komputer anda). Oleh itu, adalah perlu untuk membincangkan situasi dengan penyedia VPN anda jika anda ingin menggunakan terowong SSL, dan menerima arahan konfigurasi dari mereka jika mereka bersetuju. Beberapa penyedia menawarkan ini sebagai perkhidmatan standard, tetapi AirVPN adalah satu-satunya yang telah kami semakan semula (anonypoz menjadi yang lain).

Menggunakan teknik ini tidak menimbulkan prestasi, kerana lapisan tambahan data ditambah kepada isyarat.

OpenVPN melalui terowong SSH

Ini berfungsi dengan cara yang sangat serupa untuk menggunakan OpenVPN melalui terowong SSL, kecuali data yang disulitkan OpenVPN dibungkus di dalam lapisan penyulitan Secure Shell (SSH). SSH digunakan terutamanya untuk mengakses akaun shell pada sistem Unix, jadi kegunaannya terhad kepada dunia perniagaan dan tidak ada tempat yang paling popular seperti SSL.

Sama seperti terowong SSL, anda perlu berbincang dengan pembekal VPN anda untuk mendapatkannya berfungsi, walaupun AirVPN menyokongnya 'di luar kotak'.

Kesimpulannya

Tanpa pemeriksaan paket yang mendalam, data yang disulitkan OpenVPN kelihatan sama seperti lalu lintas SSL biasa. Ini benar terutamanya jika dialihkan melalui port TCP 443, di mana a) anda menjangkakan untuk melihat trafik SSL dan b) menyekat ia akan hamstring internet.

Walau bagaimanapun, daerah-daerah seperti Iran dan China sangat bertekad untuk mengawal akses tanpa dipertingkatkan penduduk mereka ke internet, dan telah membuat langkah-langkah teknikal yang mengesankan (jika tidak bermoral) untuk mengesan lalu lintas yang disulitkan OpenVPN. Seperti yang dijumpai menggunakan OpenVPN, anda boleh mendapatkan masalah dengan undang-undang di negara-negara tersebut, dalam situasi ini idea yang sangat baik untuk menggunakan salah satu langkah berjaga-jaga tambahan yang digariskan di atas.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me