Как обойти офисное ограничения скорости интернета для телефонов?

Question

[anon67111]

Работаю в IT-компании в стране с закрытым интернетом и к сожалению в этой стране заблокирован доступ к большинству необходимых в быту сайтов(stackOverflow, github, даже react проект без костылей не поставить ибо репозитории заблокированы) и разумеется как и вы любой стране с закрытым интернетом популярны у нас и способы обхода ограничений(vpn/proxy/dns changer), но ввиду того что местные провайдер отлично прокачался в навыке блокировки, даже с этим у нас стало крайне туго.

тем не менее, изредка находятся выходы из ситуации путём использовании старых версий openVpn, попыток спрятать ip за nginx и поставить на серв anyConnect и так далее. Вообщем VPN для более-менее комфортной жизни, худо-бедно найти удается, но тут проблема, львиная доля доступных в стране vpn клиентов либо полностью отсутствует на ПК, либо очень криво там работает.

выход из этой ситуации я лично нашёл путём развёртывания через телефон(Android разумеется) локального прокси и подключения к этому "туннелю" через любое необходимое устройство, но к сожалению на офисном интернете нашей компании с целью увеличении качества выполняемых работ, стоит ограничении для телефонов(1 Мбит/сек) при доступных 30 Мбит/сек(это много в рамках страны) поэтому и опыт использования ВПН сервисами становится в разы менее комфортным.

Вопрос: возможно ли каким либо образом высветить телефон с идентификатором ПК в файерволе, путём любых приложений или утилит?

Всё что известно о тамошнем файерволле, только то что ограничении идёт путём установки кластеров на устройства(могу ошибаться, услышано краем уха во время диалога с директором). Могу подробнее разузнать обо всём если советы по тому как это сделать будут составлены должным образом, та и вообщем готов при содействии развить эту тему.

UPD: система называется PFsense, но обновляю я пост не для этого, а для того чтобы сообщить что сегодня произошёл прецедент, весьма грубый и раскрытый, но это уже о чем то говорит

дело в том что мой коллега нагло подошёл к компу Админа когда тот отлучился в сортир и благополучно изменил свой элиас с MOBILE на COMP, правда его спалили через час и штрафанули, тем не менее прецедент может способствовать моральной давке на админа... да уж видимо пора менять Теги на Psicology

Comments

[latush]

вариант, поставить бутылку админу, не рассматривали?

[mayton2019]

Читал с интересном. Честно - вопрос напоминает шпионский детектив. Кто-то что-то краем уха слышал. Какие-то телефоны туннели. Вобщем я-бы предложил потратить мозговые усилия в какое-то более полезное направление.

[shurshur]

Вполне возможно, что фильтруют не по "телефону", а по Wi-Fi (если компьютеры подключены проводом) или на мак-адреса компьютеров (их IP) просто белый список.

[anon67111]

shurshur, вероятнее всего

[anon67111]

latush, рассматривали, но мы люд деликатный, та и за швабру в сисАдмине, руководитель скорее всего контратакует шваброй во мне, так как козёл-админ кум руководителя(хотел бы сказать что компания говна устраивает родственников, но при всей моей к нему не любви, устроился он самостоятельно)

[anon67111]

mayton2019, знаменитые

магистр: 301432 ответов
с мыло.ру, со своим "интересно конечно, но ты лучше делом займись" дошли и сюда, Бурханыч бл...

[Рикардо Санчес]

вариант, поставить бутылку админу, не рассматривали?

админу бутылку и объяснение зачем тебе нормальный инет,

Вы меня извините, но мне кажется это предложение ̶д̶а̶т̶ь̶ ̶ч̶е̶л̶о̶в̶е̶к̶у̶ ̶в̶з̶я̶т̶к̶у̶ вручить подарок, а не анальной пенитрации))

[anon67111]

Рикардо Санчес, интересная точка зрения...

Answer 1

[Дмитрий Александров]

Есть вероятность что ограничения на шейпере идут по mac адресам. Можно попробовать на пк вписать mac от телефона и наоборот. Но это такое, в нормальной сети такого не будет.
Я бы пошел другим путем, пнул админа через служебку с целью предоставления доступа к нужным ресурсам по служебной необходимости. А там пусть сами решают, будут сами городить обход до гитхаба или может админ откроет сквозной выход до vpn нужного Вам.
В общем я к тому что если доступ нужен именно по причине рабочего процесса то и решать проблему нужно механизмами рабочего процесса, а не пытаться выкручиваться самому.

Answer 2

[Drno]

админу бутылку и объяснение зачем тебе нормальный инет, и мак адрес телефона - админ изменит шейпер фаерволла на менее строгий)

про впн - хорошо помогает oVPN по 443 порту, TCP, со своим сертификатом

арендуй VPS в нормальной стране, сделайт там ВПНку

Comments

[CityCat4]

Это конечно же не китай. Но стран с настолько закрытым тырнетом не так уж и много... Туркменистан?

[anon67111]

Швабрирование админа безусловно выход из ситуации, тем не менее хотел бы рассмотреть более деликатных способ.

насчёт VPS, маловероятно, большая часть хостеров де-факто заблокировано уже давно(Amazon Lightsail, Microsoft Azure, Linode, Fornex, RUVDS и так далее(не считая бесчисленного количества мелких сервисов которые я перепробовал лично)) все лежат поголовно, это не Россия с её тремя заблочинными ip-адресами, мы в этом деле годами.

[anon67111]

CityCat4, бинго

[Drno]

anon67111, майкрософт и амазон в блоке?)) нда... закопались..
а если европейские? или которые за крипту?

ну не могли же все VPS сервисы перебанить))

[anon67111]

Drno, нет конечно, перебанены не все, но искать их... словно иголку в стоге сена, уж прости меня за банальность.

те что за крипту не пробовал, но предпочитаю оставить это на крайний случай. Тем не менее, дело не столько в vpn( ибо пинка под зад чмошникам из гос.интернет-безопасности давать по прежнему более-менее получается) сколько в обходе козла-сисадмина, который из-за сммщиков которые инстаграм в туалете по 40 часов в неделю листают он высрал из себя ограничение скорости из-за которых страдают все.

та и простите меня за чёрствость на понимание в вопросе ВПН"ов мне сложно даже надеется ввиду беспрецедентности подобного

[Drno]

anon67111, ну на админа по идее должно влиять начальство... идите административным методом тогда... типо надо по работе и всё тут...

либо через проксю, выше советуют

либо клиент ВПНа на пк)

ну или OTG кабель к телефону с ehernet, если телефон умеет... но по мне это изврат

[anon67111]

Drno, на счет клиента на пк, к сожалению впн'ы сейчас такие, что создаются на коленке в подвалах под андроиды, дабы хоть какой то конекшн заиметь, поэтому такие клиенты очень вряд ли будут когда либо портированы на пк.

а насчет прокси и кабелей, повторюсь что нет проблем чтобы впн с телефона раздать на пк, проблема в том что скорость телефонного интернета значительно меньше любого другого, связано это с внутренними ограничениями офисного wi-fi, целью которого повышения качества выполняемых работ и времени на эти работы затраченного.

[Drno]

anon67111, какая ОС на пк?
Если там обычная винда/линукс - то овпн клиент там будет работать
Просто надо не публичные впн юзать, а свой собсвеннвй vps

Есть еще такой проект, для создания сетей - nebula
Он опенсорс и не впн. Чернз него тоже можно трафф гнать. И врят ли он блоктруется

[anon67111]

дело не в ос, и да я знаю что есть клиент openVpn есть на пк, и да я знаю что использовать публичные ключи не имеет смысла, но дело в том что и vps рабочий купить почти невозможно, openVpn фактически заблокирован как протокол и все новосозданные мной или кем либо ключи обычно держатся не больше пары дней, та же ситуация и с Outline, промежуточный серв outline через который посылаются данные на твой впс просто заблокирован, так что фактически создать vpn, без vpn невозможно

и так везде. советую ознокомиться с ситуацией прежде чем давать поверхностные советы а-ля: "бездомный? купи дом!"

уж простите за прямоту.

опять же повторюсь, даже в таких условиях vpn есть(иначе и на хабре я бы сидеть не смог), нужно просто разшарить его в обход ограничений фаервола.

[Drno]

anon67111, так уже ж объяснили, что насчет мобилки - никак... либо легально через админа, либо будет резаться скорость
при правильной настройке - это не обходится

Answer 3

[Ивор Барханский]

Интересно получается. Вы просите нас рассказать, как обойти протоколы безопасности вашей организации, что само по себе может котироваться как уголовное преступление.

При этом преступно считаете ваших безопасников полными кретинами, специально наоставлявшими дырок, чтобы любой с Хабра смог в деталях рассказать как их взломать.

Comments

[anon67111]

речь идёт ни о каком то "взломе" какой то воображаемой системы безопасности в вакууме, а лишь о способе смены идентификатора устройства с "телефонного", на "компьютерное", что само по себе может и звучит легко и примитивно, но тем не менее требует определённого рода навыков.

а про неясный мне вкид про "уголовное преступление", смело могу парировать тем что законы РФ, в стране моего проживания не котируются от слова совсем

[CityCat4]

Игорь, человек живет в Туркменистане :) И у них там вся страна - гигантская корпоративная сеть по типу китайской. Да, законы РФ там не работают - там своих хватает ;)

[anon67111]

CityCat4, звучало оскорбительно-пренебрежительно) вы словно матерого воина оскорбили в тем что он матёрый и воин

у меня огромный опыт вообще-то :)

[Ивор Барханский]

А уж мне-то, жителю Украины с какой высокой колокольни плевать на законы РФ в Туркменистане, вы бы знали! :D

И речь не про законы РФ. А о том, что попытка обойти системы безопасности огранизации могут подпать, например, под статью "корпоративный шпионаж" или "умышленное нанесение вреда". И страна в которой это происходит отходит на второй план.

[anon67111]

Игорь, думаю что Туркменистан всё же подпадает под исключение

[CityCat4]

Игорь, А, с этой точки зрения? Ну да, тут согласен.

[CityCat4]

anon67111, Ой, правда? Не буду спрашивать, где и в чем этот опыт был получен :) Потому что обычно когда я начинаю рассказывать, где и сколько опыта есть у меня, у многих возникает мысль "а я в это время ходить учился..." :)

Answer 4

[rPman]

Подключай свой телефон к компьютеру по usb кабелю, с помощью adb настраивай перенаправление портов на твою прокси и пользуйся

adb forward tcp:6100 tcp:7100
adb reverse tcp:80 tcp:3000

эти команды настраивают в разные стороны перенаправление портов, т.е. смартфон может подключаться к vpn через кабель через локальный интернет машины, и так же к прокси на смартфоне можно подключиться через форвард

Answer 5

[iddqda]

подозреваю, что телефоны от компов отличаются не по какому то магическому признаку, а просто телефоны через беспроводное подключение приземляются в одну сетку, а компы через провод в другую
легко определить тупо сравнив ip адрес сети на компе и телефоне

Comments

[anon67111]

нет, ноуты и MacOs'ы сидят на wi-fi так что мимо

[iddqda]

ну не обязательно мимо
может быть другой SSID
или если eap-ххх (wpa-enterprise) их может радиус в разные вланы раскидывает на основе параметров различных.
нам ведь отсюда это все не видно и мы не в морской бой играем (мимо) а пытаемся помочь

[Евгений Намчук]

Можно к смартфону подключить USB сетевую карту, тогда смартфон будет "компьютером" в проводной сети. Возможно даже, можно будет раздавать такой интернет дальше по Wifi.
Ну или вместо ПК, зарегистрированного в сети, подключить роутер и прописать mac компьютера, а к этому роутеру подключать телефоны и ПК.
Но лучше, как советовали выше - если ресурсы нужны для работы на рабоче месте - теребить начальство.

Answer 6

[Yakov]

Не совсем ответ на вопрос, но можете попробовать Outline для обхода блокировок: берете самую простую машину в облаке ($3.50 в Hetzner или $5 в AWS Lightsail), поднимаете на ней сервер и подключаетесь к нему со всех устройств (клиенты есть и для десктопов, и для мобильных). По отзывам знаю, что Outline справляется с блокировками очень эффективно (под капотом Shadowsocks); по своему опыту могу сказать, что скорость практически не режется (получал 60–80 Мбит/с на канале «до» 100 Мбит/с).

Единственное — неизвестно, как ваши безопасники отнесутся к тому, что вы будете заворачивать в Outline рабочий трафик.

Answer 7

[asolokha]

Там скорее всего банальный фильтр по mac ну и у телефона mac скорее всего динамический. И фиолетово какого цвета будет vpn - режется на входе. в dhcp раздаются ip по mac и подписаны в комментах клиенты в таблице привязки на статику - в микротах так делали. ничего ты там не выкрутишь - договаривайся. я сомневаюсь что там совсем алени это делали

Answer 8

[Vadym Masiuk]

anon67111 прочитал ветку. Как бы ничего необычного. Если Вас еще не привлекли к ответственности и не уволили, а также Вы по прежнему интересуетесь этой темой, то решение всегда можно найти) Самый дельный совет Вам уже дали - ставить роутер, например Mikrotik, который может одновременно будет и клиентом текущей сети и точкой доступа с другой стороны. Со стороны клиента id как у лептопа вашего, и mac тоже перенести. Это должно сработать 99.9%
PS: В туркменистане с vpn (интернетом целом;) очень успешно борются, тяжело что-то стоящее подобрать. Текущий VPN работает у меня для 5-10 человек там, и я на нем маршруты только для некоторых ресурсов дал, самых необходимых (whatsapp, messenger, telegram, Viber и еще что-то), остальное по обычному маршруту через провайдера. Дополнительно сделал ограничение по скорости, чтобы не увлекались… Слава Богу уже более полугода работает, но в любой момент отключить могут, предыдущие очень быстро блочили( я даже группу контейнеров для быстрого развертывания в Docker сообразил, так что в случае блокировки поднять новый за пару минут не составляет проблем. Тяжелее всего находить незаблокированных провайдеров
но еще раз говорю там трафика у клиентов совсем почти нет и он выборочно идет через vpn
OpenVPN 443, и желательно чтобы там таки был веб сервер с ресурсами на том же порту + port knocking для клиентов vpn