Как обойти блокировку протокола OpenVPN на ubuntu 20.04?

Question

[Pifagorr]

Доброго дня всем!
Как вы уже наверное слышали, 30.05.23 операторами мобильной связи тестировалась блокировка протокола OpenVPN, что сразу вызвало бурю в стакане. Ничего не работало на всех мобильных операторах(tcp/udp), в свою очередь на провайдерах домашнего интернета все было ок.

Вопрос в следующем - что предпринять, чтобы быть готовым к следующему такому фокусу?
Какие настройки сделать на сервере Ubuntu 20.04, чтобы обойти блокировку при будущих инцидентах? Используется сервер OpenVPN на Pritunl, протоколы udp/tcp. Порты разные, но это никак не спасло, на LTE ничего не работало вообще. Чует мое сердце, что мы идем по стопам Китайского чебурнета, и нужно что-то предпринимать уже сегодня, дабы не оказаться по уши в болоте.

Comments

[Довольный Айтишникъ]

Так вот почему у меня на мтс, на мобилке оно больше не работает(((

Answer 1

[Sergey В.]

Блокировка выполняется путём анализа сигнатуры пакетов. Т.е. оборудование у операторов определяет тип трафика и принудительно разрывает соединение.
Решение на данный момент - использовать другие типы закрытого соединения. OpenVPN (в чистом виде) можно убрать на полку.
Почитайте комментарии к этой статье: https://habr.com/ru/news/738790/comments/
там указаны технологии создания закрытого соединения, более защищённые от DPI.

Answer 2

[Drno]

Используй промежуточный прокси.
Используй другой протокол, например sstp

Лично я проблем не наблюдал, tcp 443 порт - всё работало

Comments

[Pifagorr]

Промежуточный, по типу Shadowsocks или Stunnel? Слышал еще про обход DPI.
tcp 443 порт как-то настраивал давно, он вообще не хотел подключаться. А каким образом я поставлю sstp, если в притунл всего на выбор udp/tcp?

[Drno]

Pifagorr, для sstp - ручками, проект называется ocserv, есть на гитхабе. "халявная" реализация ВПНа от Cisco

промежуточный - http-proxy, например простейший 3proxy, т.к. мобилки другое вроде как не поддерживают.
Не знаю в чем у Вас была проблема с 443 портом, у меня всё чудно работает

На ПК еще поддерживается socks5, да и в целом - на ПК можно намудрить намного больше вариантов, чем на телефонах

[Pifagorr]

Drno, Да в том то и дело видишь, что все пользуются со смартфонов. То есть sstp никак не будет связан с pritunl, верно понимаю? Как отдельный впн получается.

[Drno]

Pifagorr, если смарты, я вижу 2 варианта.
sstp (вообще не связан с priTunl), но делал я бы его на tcp 443 порт.

либо уже как в китае - xRay+vless+rprx-vision

[Pifagorr]

Drno, Вот сейчас даже пробую снова запустить на притунл 443 tcp - не получается. Он пытается прописаться tun на сервак, ему в ответ приходит - Exiting due to fatal error.

[Drno]

Pifagorr, попробуй piVPn. с ним у меня проблем не было. а у тебя толи уже есть tun, то ли он не может его установить

[Pifagorr]

Drno, Уже разобрался в чем было дело. По-умолчанию в притунл у веб морды стоит порт 443, тьфу. Поменял на другой и сразу 443 встал для подключения.

[kolossradosskiy]

Pifagorr, если притунл работает на 443 порту, провайдер не рвет ovpn сессию?

[Drno]

kolossradosskiy, могу сказать что даже с 443 иногда рвет... ну лично на моих объектах

Answer 3

[Vindicar]

Заверни OpenVPN в chisel или Cloak.

Comments

[Drno]

Cloak умеет iOS ? или только пк \ рутовый андройд?

[Vindicar]

Drno, это надо спрашивать у них на гитхабе, я с ним ещё не игрался. Да и iOS устройств не имею.

Answer 4

[CityCat4]

что мы идем по стопам Китайского чебурнета

Нет. Мы идем по стопам "сети света", то есть северокорейского варианта. Китайцы в массе своей гораздо более лояльны. У нас непременно начнут городить впн поверх тор поверх впн поверх тор, неважно что это будет работать со скоростью начала нулевых...
Поэтому мы неизбежно придем к полной деанонимизации тырнета, доступу по сертификатам и белому списку на граничных роутерах.

Answer 5

[Gora]

В свое время очень помог SoftEther VPN когда провайдер стал блокировать gre трафик.