По мере ужесточения интернет-цензуры во всем мире правительства все больше заботятся о предотвращении использования VPN для обхода своих ограничений. Китай с его Великим брандмауэром был особенно активен в этом отношении, и было много сообщений от людей, использующих VPN в Китае, чтобы их соединения были заблокированы.

Проблема в том, что, хотя невозможно «увидеть» данные в зашифрованном VPN-туннеле, все более сложные брандмауэры могут использовать методы Deep Packet Inspection (DPI), чтобы определить, используется ли шифрование (например, для обнаружения используемого шифрования SSL). по OpenVPN).

Существует несколько решений этой проблемы, но большинство из них требуют определенной технической экспертизы и конфигурации на стороне сервера, поэтому эта статья является просто введением в доступные варианты. Если для вас важно скрыть ваш сигнал VPN, а переадресация порта 443 (см. Ниже) недостаточна, вам следует обратиться к своему поставщику VPN, чтобы обсудить, будут ли они готовы реализовать одно из решений, описанных ниже (или, в качестве альтернативы, найти как AirVPN, который уже предлагает этот тип поддержки).

Перенаправление портов OpenVPN через TCP-порт 443

Безусловно, самый простой способ, который можно легко выполнить с вашей стороны (клиента), не требующий реализации на стороне сервера и который в большинстве случаев будет работать, - это пересылка трафика OpenVPN через порт TCP 443..

OpenVPN по умолчанию использует UDP-порт 1194, поэтому брандмауэры обычно отслеживают порт 1194 (и другие часто используемые порты), отклоняя зашифрованный трафик, который пытается использовать его (или их). TCP-порт 443 является портом по умолчанию, используемым HTTPS (Hypertext Transfer Protocol Secure), протоколом, который используется для защиты веб-сайтов https: // и используется в Интернете банками, Gmail, Twitter и многими другими важными веб-службами..


Использование OpenVPN, которое, как и HTTPS, использует шифрование SSL, не только очень сложно обнаружить через порт 443, но и блокирует этот порт, что может серьезно ограничить доступ к Интернету, и поэтому обычно не является приемлемым вариантом для потенциальных веб-цензоров..

Переадресация портов является одной из наиболее поддерживаемых функций в пользовательских клиентах OpenVPN, что делает переход на TCP-порт 443 невероятно простым. Если ваш VPN-провайдер не предоставляет такого клиента, вам следует связаться с ним.

К сожалению, SSL-шифрование, используемое OpenVPN, не совсем то же самое, что и «стандартный» SSL, а расширенный Deep Packet Inspection (того типа, который все чаще используется в таких местах, как Китай), может определить, соответствует ли зашифрованный трафик «настоящему» SSL / HTP рукопожатие. В таких случаях необходимо найти альтернативные методы уклонения от обнаружения.

Obfsproxy

Obfsproxy - это инструмент, предназначенный для упаковки данных в слой запутывания, что затрудняет обнаружение использования OpenVPN (или других протоколов VPN). Недавно он был принят сетью Tor, главным образом в ответ на то, что Китай блокирует доступ к общедоступным узлам Tor, но он не зависит от Tor и может быть настроен для OpenVPN..

Для работы obfsproxy должен быть установлен как на клиентском компьютере (например, через порт 1194), так и на VPN-сервере. Однако все, что затем требуется, - это ввести на сервере следующую командную строку:

obfsproxy obfs2 –dest = 127.0.0.1: 1194 сервер x.x.x.x: 5573

Это говорит obfsproxy прослушивать порт 1194, локально подключаться к порту 1194 и перенаправлять на него деинкапсулированные данные (x.x.x.x должен быть заменен вашим IP-адресом или 0.0.0.0 для прослушивания на всех сетевых интерфейсах). Вероятно, лучше настроить статический IP-адрес у вашего провайдера VPN, чтобы сервер знал, на каком порту прослушивать.

По сравнению с вариантами туннелирования, представленными ниже, obfsproxy не так безопасен, так как он не оборачивает трафик при шифровании, но имеет гораздо меньшую нагрузку на полосу пропускания, поскольку не несет дополнительного уровня шифрования. Это может быть особенно актуально для пользователей в таких местах, как Сирия или Эфиопия, где пропускная способность часто является критическим ресурсом. Obfsproxy также несколько проще в настройке и настройке.

OpenVPN через туннель SSL

Туннель Secure Socket Layer (SSL) может сам по себе использоваться в качестве эффективной альтернативы OpenVPN, и на самом деле многие прокси-серверы используют один для защиты своих соединений. Его также можно использовать, чтобы полностью скрыть тот факт, что вы используете OpenVPN.

Как мы отмечали выше, OpenVPN использует протокол шифрования TLS / SSL, который немного отличается от «истинного» SSL и который может быть обнаружен сложными DPI. Чтобы избежать этого, можно «обернуть» данные OpenVPN в дополнительный уровень шифрования. Поскольку DPI не могут проникнуть в этот «внешний» уровень шифрования SSL, они не могут обнаружить шифрование OpenVPN «внутри».

Туннели SSL обычно создаются с использованием многоплатформенного программного обеспечения для работы со станциями, которое должно быть настроено как на сервере (в данном случае VPN-сервер вашего провайдера VPN), так и на клиенте (ваш компьютер). Поэтому необходимо обсудить ситуацию с вашим поставщиком VPN, если вы хотите использовать туннелирование SSL, и получить от них инструкции по настройке, если они согласны. Несколько провайдеров предлагают это как стандартную услугу, но AirVPN - единственный, который мы до сих пор рассматривали (anonypoz - другой).

Использование этой техники приводит к снижению производительности, так как к сигналу добавляется дополнительный слой данных..

OpenVPN через туннель SSH

Это работает очень похоже на использование OpenVPN через туннель SSL, за исключением того, что зашифрованные данные OpenVPN оборачиваются внутри слоя шифрования Secure Shell (SSH). SSH используется главным образом для доступа к учетным записям оболочки в системах Unix, поэтому его использование в основном ограничено деловым миром и далеко не так популярно, как SSL.

Как и в случае туннелирования SSL, вам нужно будет поговорить с вашим провайдером VPN, чтобы он заработал, хотя AirVPN поддерживает его «из коробки».

Вывод

Без очень глубокой проверки пакетов зашифрованные данные OpenVPN выглядят как обычный трафик SSL. Это особенно верно, если маршрутизировать через TCP-порт 443, где а) вы ожидаете увидеть трафик SSL и б) его блокировка будет мешать Интернету.

Однако такие округа, как Иран и Китай, полны решимости контролировать доступ своего населения к Интернету без цензуры и приняли технически впечатляющие (хотя и морально нежелательные) меры для обнаружения зашифрованного трафика OpenVPN. Поскольку даже обнаружение с использованием OpenVPN может вызвать у вас проблемы с законодательством в таких странах, в этих ситуациях очень хорошая идея использовать одну из дополнительных мер предосторожности, изложенных выше..

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me