Комментарии 37
OpenVPN на TCP 443 c TLS.
По умолчанию да, но это уже смотря как настроить. Особенно если на том же хосте размещен сайт с HTTPS.
Конечно, можно поставить мультиплексор вроде sslh, но зачем?
Конечно, можно поставить мультиплексор вроде sslh, но зачем?
Можно использовать встроенный в openvpn (опция port-share) для проскирования не openvpn трафика на 443 порт на веб-сервер.
Хендшейк у опенвпна «особенный», что позволяет легко его зафингерпринтить, с чем успешно справляется великий китайский (для тех кто не понял — опенвпном в Китае пользоваться не получится)
Эти сказки про всесильность китайского фаервола давно и безуспешно пытаются стать былью. В тред приглашается Sakuya, которая, возможно, из первых рук прокомментирует как там у них. Ну или может кто еще, кто расскажет не по статьям-страшилкам, а с той стороны огненной стены.
Это вполне себе реальность, просто не во всех районах Китая, и не всегда.
Сильно зависит от политических событий в Китае.
Вон, перед годовщинами событий Тяньаньмэнь в некоторых районах интернет превращается в тыкву.
Сильно зависит от политических событий в Китае.
Вон, перед годовщинами событий Тяньаньмэнь в некоторых районах интернет превращается в тыкву.
Ну всесильность всесильностью, но упомянутый мной выше sslh справляется с задачей отличения по хэндшейку openvpn от https/ssh на ура — значит, и любой стоящий DPI-пакет сможет. Другое дело что не все VPN соединения одинаково вредны, так что едва ли протокол запретят целиком, но вот какие-нибудь лицензии ввести, да и просто попортить кровь урезанием скорости могут.
А че не сказки, стена режет например здесь «чистый openvpn» не работает, пробовал разные вариации.Места серверов были разные.
В разные моменты просто есть сезонные обострения, это как правило сентябрь и октябрь, перед съездом партии интернет тупо умирает.
PPTP трафик давно режется.
Например провайдер China Telecom откинул всех за нат, реальных айпи адресов для ADSL Больше нет…
В разные моменты просто есть сезонные обострения, это как правило сентябрь и октябрь, перед съездом партии интернет тупо умирает.
PPTP трафик давно режется.
Например провайдер China Telecom откинул всех за нат, реальных айпи адресов для ADSL Больше нет…
Нет, это, к сожалению, не сказки. Работает IPsec и решения вроде Psiphon, но не OpenVPN с TLS.
А для людей, которые вообще не имели дел с серверами, VPS и VPN — на всякий случай (в связи с наметившимися тенденциями), с чего нужно начинать?
Сколько такая услуга (VPS) стоит? Можно ли совместить это с обычным хостингом сайта?
Сколько такая услуга (VPS) стоит? Можно ли совместить это с обычным хостингом сайта?
VPS (virtual private server) — стоит очень по разному, в зависимости от задач. Для этой обычно хватает и минимального плана.
Я в таких случаях ориентируюсь на этот каталог. Правда, нужно быть осторожным: самый дешевый VPS-хостинг я находил у GreenValueHost ($9 в год), но это был клинический случай «за что заплатили, то и получили» — у меня за пол года так и не получилось проработать дольше двух недель без обращения в техподдержку.
Общие советы простые: ищите предложения с внешним IPv4, большим объемом месячного трафика и поближе к вам (чтобы пинг не сильно поднимался), но, само собой, за рубежом. Требования по памяти и CPU у VPN-решений обычно сравнительно невелики.
Совместить с хостингом возможно в том плане что на рынке есть VPS, заточенные именно под хостинг. Туда вполне возможно вкрячить нужный софт, хотя я бы не стал так делать с любым сколь-нибудь важным проектом. Небольшая машинка «для экспериментов» для таких целей и то предпочтительнее (если, конечно, VPN организуется для себя).
Я в таких случаях ориентируюсь на этот каталог. Правда, нужно быть осторожным: самый дешевый VPS-хостинг я находил у GreenValueHost ($9 в год), но это был клинический случай «за что заплатили, то и получили» — у меня за пол года так и не получилось проработать дольше двух недель без обращения в техподдержку.
Общие советы простые: ищите предложения с внешним IPv4, большим объемом месячного трафика и поближе к вам (чтобы пинг не сильно поднимался), но, само собой, за рубежом. Требования по памяти и CPU у VPN-решений обычно сравнительно невелики.
Совместить с хостингом возможно в том плане что на рынке есть VPS, заточенные именно под хостинг. Туда вполне возможно вкрячить нужный софт, хотя я бы не стал так делать с любым сколь-нибудь важным проектом. Небольшая машинка «для экспериментов» для таких целей и то предпочтительнее (если, конечно, VPN организуется для себя).
Здесь часто бывают интересные акции www.lowendtalk.com/categories/offers Бывают вплоть до KVM VPS 256MB за 3$ в год (nexhost.net такое раздавал).
А как у KVM c пропусканием l2tp+ipsec в случае, когда нельзя менять настройки хостовой машины? OpenVPN не всегда удобен, а на OpenVZ у меня понадобилось таки менять настройки хоста, что в случае с VPS почти нереально.
А что значит менять настройки хостовой машины? На KVM я допустим могу поставить любой линукс какой хочу (и Win тоже, но этим не занимался), просто кидаю ссылку на образ дистрибутива суппортам, они добавляют мне этот iso в список доступных, далее просто гружусь с iso и ставлю систему с нуля (через VNC). OpenVZ я не люблю, лучше чуть доплатить и иметь больше свободы.
OpenVZ — контейнер ОС GNU/Linux. KVM — полноценная виртуальная машина.
Возможности L2TP+IPsec требуются настолько редко, что вопросы по его использованию лично у меня вызывают удивление: зачем городить велосипед L2, неужели в туннеле Вам нужен ARP и прочие пакеты канального уровня? Если уж заморачиваться с IPsec, tunnel mode несколько проще.
Возможности L2TP+IPsec требуются настолько редко, что вопросы по его использованию лично у меня вызывают удивление: зачем городить велосипед L2, неужели в туннеле Вам нужен ARP и прочие пакеты канального уровня? Если уж заморачиваться с IPsec, tunnel mode несколько проще.
Вот, вменяемый человек!
habrahabr.ru/post/250859/
habrahabr.ru/post/250859/
Ту статью я читал, понравилась. И я (в который раз) забыл упомянуть, что L2TP+IPsec использует транспортный режим IPsec и не прячет адреса IP, а в туннельном режиме они спрятаны.
Но к топику IPsec никак не применим: он не работает через Socks. Разве что использовать туннель IP-over-TCP, но тогда можно и IP-over-ICMP :)
Но к топику IPsec никак не применим: он не работает через Socks. Разве что использовать туннель IP-over-TCP, но тогда можно и IP-over-ICMP :)
Эмм, это всё только для того, чтобы SOCKS организовать?
Куда проще в putty перед подключением к серверу добавить порт для проброса. Как результат получаем сокс-прокси на своем локалхосте, который трафик через наш vps отправит.
Куда проще в putty перед подключением к серверу добавить порт для проброса. Как результат получаем сокс-прокси на своем локалхосте, который трафик через наш vps отправит.
Эм, вопрос «для чего будет использоваться этот VPN» немного выходит за рамки статьи. Скажу лишь что прокси дело не ограничивается. =)
В простых случаях можно, конечно, обойтись и ssh port forwarding. Я так и делал поначалу. Вот только:
1. он не позволяет задать шлюз по умолчанию (завернув вообще весь трафик через туннель, а не только проксируемый).
2. в этом случае несколько сложнее подменить DNS сервер, а то некоторые провайдеры имеют милую привычку весь трафик по UDP:53 принудительно заворачивать на свои DNS сервера.
3. ну и посыл статьи в том, что obfsproxy можно использовать отдельно от сети Tor для маскировки любого трафика (особенно в режиме client). Хотите — заворачивайте ваш SSH в него, сработает не хуже.
В простых случаях можно, конечно, обойтись и ssh port forwarding. Я так и делал поначалу. Вот только:
1. он не позволяет задать шлюз по умолчанию (завернув вообще весь трафик через туннель, а не только проксируемый).
2. в этом случае несколько сложнее подменить DNS сервер, а то некоторые провайдеры имеют милую привычку весь трафик по UDP:53 принудительно заворачивать на свои DNS сервера.
3. ну и посыл статьи в том, что obfsproxy можно использовать отдельно от сети Tor для маскировки любого трафика (особенно в режиме client). Хотите — заворачивайте ваш SSH в него, сработает не хуже.
думаю bondbig имеет ввиду гонять openvpn через ssh-туннель.
т.е. использовать ssh как сокс-прокси вместо obfsproxy, тогда снаружи не видно будет openvpn, только ssh.
т.е. использовать ssh как сокс-прокси вместо obfsproxy, тогда снаружи не видно будет openvpn, только ssh.
Нет, я имел в виду, что если нужно обойти фильтры и не палиться с openvpn, то покупаем vps, настраивает стандартно nat и подключаемся к серверу при помощи putty/любого другого ssh-клиента, пробрасываем порт и получаем socks-прокси, который слушает у нас на десктопе на локалхосте (например 127.0.0.1:3333), а вторым концом выходит на vps. Прописываем в браузере настройки socks и ходим через VPS безо всякого дополнительного софта типа obfsproxy, Tor-нод, openvpn и т.п.
Да, не все программы умеют socks, но это уже совсем другая история, верно?
Да, не все программы умеют socks, но это уже совсем другая история, верно?
Я так и понял. И даже поначалу так и делал. Вот только когда количество пробрасываемых портов приблизилось к полудюжине (прокси-порт Tor-ноды, BTSync web-ui, ну и так далее, и не все можно запроксировать), то захотелось какого-то более кардинального решения. OpenVPN в этом плане оказался удобнее, особенно благодаря умению работать сервисом «из коробки».
Хотя настройки для SSH-туннеля остались. А до машины, помимо прямого ssh соединения и VPN/obfsproxy, можно достучаться еще и через Tor hidden service. А может, даже iodine заморочусь, просто по принципу «хоть что-то да сработает».
Хотя настройки для SSH-туннеля остались. А до машины, помимо прямого ssh соединения и VPN/obfsproxy, можно достучаться еще и через Tor hidden service. А может, даже iodine заморочусь, просто по принципу «хоть что-то да сработает».
Тогда уже проще переехать с openvpn на SoftEther (к тому же он поддерживает простую миграцию с openvpn).
Его способ установки туннеля не отличается от стандартного HTTP CONNECT и, соответственно, не детектируется, в отличии от openvpn.
Его способ установки туннеля не отличается от стандартного HTTP CONNECT и, соответственно, не детектируется, в отличии от openvpn.
По поводу чего-то, что «не работает в режиме демона» — напишите upstart-скрипт!
Мы когда на него напоролись, делали обратную задачу — выпиливали собственный режим демона, покуда с upstart получалась ненужная интерференция.
Мы когда на него напоролись, делали обратную задачу — выпиливали собственный режим демона, покуда с upstart получалась ненужная интерференция.
Большое спасибо за статью! Наконец-то мой VPN заработал.
Рад что помогло!
А можно попросить продолжение с obfs4? А то его нет в obfsproxy, а scramblesuit вроде как устарел, по крайней мере, Tor использует obfs4 по умолчанию.
del
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Опыт маскировки OpenVPN-туннеля с помощью obfsproxy