Админы Великого китайского файрвола всерьёз взялись за VPN

    VPN — один из самых популярных способов обхода Золотого щита (это официальное название Великого китайского файрвола). Кроме политических активистов, диссидентов и людей, просто желающих нормально пользоваться Фейсбуком, Твиттером или Википедией, VPN широко используется в бизнесе, для создания защищённой корпоративной сети.

    Похоже, в декабре китайские власти начали масштабные блокировки VPN-соединений. Провайдеры Astrill, WiTopia и StrongVPN, предоставляющие услуги VPN, сообщают о существенном замедлении или полной блокировке связи. По их словам, блокировки осуществляет один из крупнейших провайдеров страны — China Unicom.

    По информации StrongVPN, блокировкам больше подвержены UDP-соединения. В ряде случаев подключение возможно, если поменять порт, протокол и некоторые другие настройки. Маловероятно, что власти Китая решатся на полную блокировку всего VPN-трафика, даже если смогут осуществить её технически, так как это ударит по многим международным корпорациям, ведущим бизнес в Китае и использующим VPN для обмена конфиденциальной информацией между подразделениями. Пути обхода всегда найдутся, но жизнь простого пользователя может стать сложнее.

    Официальная китайская пресса отрицает, что файрвол «проапгрейдили», но напоминает о том, что компании, жалующиеся на блокировку VPN, работали незаконно. По китайским законам, использовать VPN могут только компании, зарегистрированные в Китае, и только с разрешения Министерства промышленности и информатизации КНР.

    Списки ресурсов Сети, заблокированных в Китае, можно найти на сайте greatfire.org

    По иронии судьбы, 14 декабря, в разгар истории с усилением интернет-цензуры, Центральное телевидение Китая выпустило в эфир ранее запрещённый к показу фильм «V — значит вендетта», вызвав острый когнитивный диссонанс у китайского сетевого сообщества, привыкшего считать маску Гая Фокса символом борьбы с цензурой и авторитарным режимом.

    Поделиться публикацией

    Комментарии 63

      +5
      SSH / IPSEC tunnel сейчас работают отлично. Нагрузка с проксирующих серверов спала в связи с общей технической неграмотностью китайцев, которым туннель настроить намного сложнее.
        +1
        В целом блокировка PPTP как бы присутствует в 90% процентов случаев:)
        VPN провайдеры переоидически путешествуют по портам или айпишникам…

        Одна особенность гугл работает в придушенном состоянии часто «лежит» после пару запросов сдыхает=)

          +1
          Без vpn или туннеля с гуглом бороться можно — у меня за годы выработались некие правила, какие страницы он показывает нормально только под https, какие только без него, какие с .com.hk, какие с .ru можно посмотреть. :) В принципе, vpn / туннель решают этот вопрос.
            +1
            При частичных туннелях SSH, некоторые части FLASH/Java могут давать(утечку мимо основного трафика).
            Конечно еще зависит от операционной системы…
            В плане VPN, OpenVPN на 443 порту решает многие проблемы=)

            Мне больше нравится сидеть в shell через ipv6 проблемы отпадания сессий решаются.
              +1
              Писал ниже — сначала все впны типа witopia, julyrush, strongvpn и т.п. были на 443, потом где-то с пару месяцев назад перед Шибадой все их поблочили. При этом https трафик, естественно, работал. Я не знаю, как они это сделали, но мой провайдер впн (julyrush) переехал на 4443, потом на 4448, потом на 4449, а сейчас вот прислал, что только туннели.

              Туннель я делаю через Bitvise-клиент (я под Win 7), создаю в нем локальный SOCKS 4 proxy, и через него пускаю весь трафик. DNS и так работает — 8.8.8.8 и другие открытые ресурсы вполне ок.
                +1
                я обычно SSH на коленке если быстро надо…
                бывает связка ipv6 + ssh поверх чтобы быстрее…

                Когда есть свои сервера свои варианты проще проварачивать…
          +1
          Думаю, OpenVPN 443@TCP работает не хуже.
            +1
            Нет, не работает. Собственно, все Witopia и т.п. были на 443-м порту, и могли цепляться как udp, так и tcp.
              +1
              Китай хорошая страна для закрепления навыков Сетевые протоколы ;-)

              не пробывал еще DNS тунели=) а так попробывал много всего и разных комбинаций.

              В Случае с DNS, iodine не успел еще :) Провайдер когда рубит интернет оставляет DNS Трафик можно все резолвить хехе:)
                0
                Я пробовал DNS туннели, пока админ не закрыл трафик на внешние DNS. Потом пробовал ICMP туннель ;)
          +1
          > Центральное телевидение Китая выпустило в эфир ранее запрещённый к показу фильм «V — значит вендетта»

          Разжигают. Спровоцировать что-нибудь и закрутить гайки — как это банально.
            +3
            Кто разжигает и зачем он это делает?
              +2
              Так там же показан загнивающий Запад со всеми их недостатками и пороками. В Китае-то этого нет… странно…
                0
                А вы верите в госдеп?
                  +10
                  Не понял вопрос.
                +7
                Фильм такой хороший, а китайцы еще не смотрели. Завидую.
                  +2
                  Подтверждаю. Проблема есть и серьезная. Мы используем корпоративный Astrill.
                  Уже месяца два как блокируют OpenVPN, но некоторые серверы вроде West Coast (TCP 443) в некоторых сетях работают.
                    +1
                    OpenVPN по TCP на 443 порту тоже блокируют?
                      +2
                      Сегодня так и не смогла подключиться, видимо заблокировали уже на IP. Гады блин. Никакой жизни с ними.
                        +1
                        Есть какая-то штука, которая трафик маскирует под http, домой вернусь, скажу название.
                          0
                          Internet Your Freedom есть такой сервис JAVA клиент, транспортный протокол может быть любой

                          HTTPS / HTTP/ FTP еще интересная особенность можно комбинировать в виде связки

                          HTTP PROXY(Anonymous) полно таких + Internet YourFreedom (поверх)

                            0
                            Можно использовать hanstunnel (IP over ICMP), например, а поверх него что-то еще для шифрования поднимать, тот же ipsec, да или тот же openvpn, как удобно. Можно, кстати, еще попробовать повесить OpenVPN на какой-нибудь порт, вроде 53 (DNS) или 33434-33534 (Traceroute over UDP) и посмотреть, как он будет себя вести.

                            sakuya www.torproject.org/projects/obfsproxy.html.en
                            0
                            PHP скрипты различные варианты если поискать в интернете можно найти PhpMyProxy

                            CGI скрипты (для просмотра сайтов)

                            На странице вводишь ссылку php скрипт просто подкачивает содержимое и показывает…

                      +1
                      Нашел на greatfire.org несколько интересных сайтов :) Спасибо
                      • НЛО прилетело и опубликовало эту надпись здесь
                          +1
                          Как, в данном случае (блокировка трафика по контенту)?
                          • НЛО прилетело и опубликовало эту надпись здесь
                              +3
                              В данном случае возможность блокировки следует из контроля за магистральным трафиком, который ходит между Китаем и остальным миром, на этих точках у них стоят хорошие такие анализаторы, которые могут при желании оставить только HTTP и заветы Мао!
                              Благо чайнанет вполне себе самодостаточен.

                              Но в целом я уверен, что настанет день, когда Золотой щит просто станет не нужен.
                              • НЛО прилетело и опубликовало эту надпись здесь
                                  +2
                                  Кстати, как развивается проект. Кто у Вас в Дианне обитает?
                                  Может напишите еще статью?
                                  • НЛО прилетело и опубликовало эту надпись здесь
                                    • НЛО прилетело и опубликовало эту надпись здесь
                                  +1
                                  Это как раз несложно, и мне понятно. Я говорю о том, что ВКФ блокирует не только по именам и циферкам, но и по содержимому трафика. Если вы полагаете, что DIANNA и в этом случае поможет, я и прошу пояснить, как именно.
                                  • НЛО прилетело и опубликовало эту надпись здесь
                              +5
                              Блокируют только стандартные порты, небось.
                              DPI на openvpn по всем портам TCP+UDP — это какие-то сумасшедшие ресурсы нужны.
                              Как можно отличить https по tcp:443 от openvpn по tcp:443 — я себе вообще не представляю (разве что дропать tcp-сессию по таймауту в 30-60 секунд — это как минимум усложнит работу vpn-а, а https-у не помешает).
                                +6
                                Выключить HTTPS. Честному люду нечего скрывать. (это НЕ моя позиция, если что)
                                  +1
                                  Пффф, они в реальном времени детектировали SSL-ключ TORа два года назад, TOR то тоже по TCP 443 работает. Погуглите, доклад был крутой про цензуру в Китае, Египте и Сирии, вроде.
                                    0
                                    С TOR игрался два года назад проблема начальную цепочку не может построить:)

                                    Решается просто двумя копиями( одна запускается где то за пределами) строит circuits Дальше эти цепочки копируются целиком в КИТай. С Ними тор уже ощущает лучше… =) здесь в китае…
                                      0
                                      Был конкурс, мне коллеги показывали ссылку года 2 назад. Престижный конкурс от правительства

                                      Вроде Алгоритмы блокировки скачки больших файлов, фильтрация… Я помню китайский интернет когда то работал так всегда качал файлы через прокси прикольно бесило качаешь somehost/1.zip качало вроде 177.xx.xx.xx/somehost/1.zip если где то вдруг соединение падало, второй раз скачать было не возможно=)
                                      –1
                                      DNS Poisoning как часть стенки т.е. свой DNS сервер не сообразишь=)

                                      А часто вопрос не в фильтрации мне кажется магистральные каналы дохнут в час пик
                                      +1
                                      Был на прошлой неделе в Пекине. IPSEC работал нормально при этом спасал жизнь даже в случае «легальных» ресурсов. Сам по себе интернет в отеле был медленным, страницы открывались с большой задержкой. Когда использовал IPSEC туннель до сервера в германии отзывчивость тех же страниц была куда лучше. По скайпу говорить было невозможно. При использовании туннеля связь уже была терпимой и можно было поговорить. Но самое веселое, так это то что англоязычная википедия недоступна из-за файервола, а русскоязычная доступна:)
                                        0
                                        Мне кажется проблема трафика, в магистральных протоколах нет балансировки… поэтому когда занимаешь 1 соединение тунелем и поверх вкладывается еще 10 внутри происходит процесс быстрее…
                                        +1
                                        Вот меня всегда интересовало — предоставлять vpn-сервис на китайском рынке действительно очень прибыльно или уже поздно по тем или иным причинам?
                                          +3
                                          незаконно, наверное.
                                          0
                                          Да, могу подтвердить. Наши пользователи в Китае начали жаловаться на недоступность VPN сервиса больше месяца назад. Блокировали только определенные порты на определенных ip, а не весь сервер целиком. Пробовали менять порт (OpenVPN), но через 2-3 дня его опять блокировали.

                                          В итоге придумали очень простой и довольно эффективный способ по обходу этой гадости, хотя конечно 100% гарантии он не дает. Но вот уже больше двух недель наши китайские пользователи спокойно работают и не жалуются. А некоторые еще и искренне благодарят нас, что очень приятно)
                                            +1
                                            Боитесь, что китайцы прочтут тут? :)
                                              +2
                                              Да тут настолько все просто, что даже и читать ничего не надо. Каждый день впн поднимается на новом порту. Конфиг для него подгружается автоматически, т.к. написано свое клиентское GUI.
                                                +3
                                                Вообще довольно наивно считать, что У Тех, С Кем Мы Боремся какой-то свой собственный, отдельный интернет. Помнится знакомая из финского посольства просила при случае передать привет участникам ЖЖ-шного ru_travel, говорила, что они очень много веселятся, читая в нем описания новых способов нечестного получения шенгенских виз, махинаций с документами, и прочих хитростей руссотуристо, которыми там народ делится.
                                                0
                                                del
                                                  0
                                                  немного выше
                                                –2
                                                Читая такие новости, жаль китайцев. Тупость владык незнание предела. Страшно вдруг и у нас так получится.
                                                  –1
                                                  Такова политика партии и для нее есть веские основания, по факту в Китае живется гораздо свободнее чем в России.
                                                    +1
                                                    А не могли бы Вы отписать эти основания? Можно в личку.

                                                    После разговора с Китайцами они все в один голос независимо друг от друга твердят, что мы можем голосовать и выбирать своего президента и это большое достижение, а они не могут и очень сожалеют об этом. К сожалению не было особо много времени поговорить и расспросить побольше об этом.

                                                    Насчет свободы, может европейцу и проще, но видел в районе Тянаньмень, как останавливают местных и проверяют у них документы (сразу напомнило Россию). Меня тоже пытались остановить, так как я был в капюшоне и мое лицо не было видно, когда ответил по английски, что не понимаю, что они хотят и они увидели, что я европеец, то сразу же отпустили.
                                                      +3
                                                      Э, чего? Мы можем выбирать и голосовать? Ну разве что де-юре. Но де факто — нет. Так что в этом случае у нас тот же Китай, но лицемерный.
                                                        0
                                                        Это их видение нашей страны. Они очень мало знают о политических системах других стран и знают только поверхностно. Что происходит на самом деле им не говорят. Про 146% я им рассказал и они в кратце поняли, что по сути у них то же самое, что и у нас.
                                                          0
                                                          В отличие от нас у них очень сильное влияние имеет местная администрация, не все так сильно завязано на Пекине.
                                                          Любые волнение на местном уровне в 90% случаев приводят к отставке чиновников. Права выбора у граждан Китая нету, но есть возможность что-то изменять, у нас же право выбора есть, но возможности что-то менять — нет.
                                                        0
                                                        Тяньаньмэнь это главная площадь Пекина, на ней находится очень много правительственных объектов, в других местах такого не встречал (кроме одного случая когда в метро орудовал маньяк нападавший на девушек с лезвием), тогда безопасность была усилена и подозрительных личностей проверяли.
                                                        Основания — внутренние и внешние проблемные территории как пример (Тибет, Синьцзян-Уйгурский автономный район) по факту их много, есть неплохая статья на тему взаимоотношений партии и простых жителей Китая, найду — скину в личку. Мне кажется тут не место для этого обсуждения.
                                                        0
                                                        кому легче, вам?
                                                          0
                                                          Откуда вы взяли слово «легче»?
                                                          Было слово свободнее и да, по сравнению с Россией мне тут лучше.
                                                          Общаясь с обычными китайцами, причем не только в крупных городах но и в деревнях (по пару миллионов человек), у меня сложилось мнение что и им в их стране хорошо живется.
                                                        +1
                                                        Привет вам из 2015-го. У нас уже почти получилось.
                                                        +1
                                                        Сейчас живу в Пекине, оператор как-раз China Unicom, хайдмишный VPN через OpenVPN перестал работать, по всем серверам, пока-что работает через PPTP
                                                          0
                                                          Strongvpn, l2tp ipsec работает, временами медленно, но работает.
                                                          +1
                                                          Перепись хабролаоваев? Астрил работает, тьфу-тьфу. На время Шибады притормажиал, после — незаметно. Провайдер, он самый, Юникомище.

                                                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                          Самое читаемое