Задать вопрос
MindPhaser34
@MindPhaser34
Системный администратор, DevOps

Блокировка Openvpn/Wireguard, какой VPN сервер выбрать в качестве альтернативы?

Добрый день! В свете последних событий интересно узнать у сообщества - кто какие альтернативы использует для доступа к корпоративной сети? С какими трудностями сталкивались?
Хотелось бы найти что-то с web-ui (с возможностью заведения через него сертификатов/пользователей), не обязательно но было бы замечательно если бы был готовый образ-Docker.
В данный момент используем Pritunl и в дни активных попыток блокировки некоторые пользователи из РФ сталкивались с проблемой в работе VPN.

Всем ответившим, заранее спасибо.
  • Вопрос задан
  • 6617 просмотров
Подписаться 7 Средний 1 комментарий
Решения вопроса 2
ValdikSS
@ValdikSS
Самый простой вариант, который (пока) не блокируют — OpenVPN TCP через HTTP-прокси. OpenVPN поддерживает работу через прокси без дополнительных программ, поэтому настройка сводится к:
  • Установке прокси-сервера на сервере (настройте его так, чтобы доступ был разрешён только к IP-адресу и порту VPN-сервера)
  • Добавлению директивы http-proxy в конфигурационный файл клиента


Вообще, OpenVPN TCP можно туннелировать в любом другом слое или протоколе. Самый очевидный и популярный вариант — stunnel.
Альтернативный подход, не столь надёжный, зато применяемый на стороне и клиента, и сервера — нарушение определения VPN-протокола до блокировки сессии. Примеры: 1, 2.
Ответ написан
Комментировать
@Drno
Anyconnect (ocserv на гитхабе) это если именно впн нужен
Можно sstp сервер из микротика.

Ну или xray+vless+reality - если тупо блоки обходить и шифроваться

Пс. Вы бы хоть просмотрели подобные вопросы на сайте… их через день задают
Ответ написан
Пригласить эксперта
Ответы на вопрос 5
CityCat4
@CityCat4 Куратор тега VPN
//COPY01 EXEC PGM=IEBGENER
Никаких проблем не было, никаких альтерантив не использую.
Топорный IPSec по сертификатам, работает по всей России как из пушки (за границей никого не было, не проверял).
Точно то же самое со "страной цветов" - обычный IPSec по сертификатам, порт 500, никаких перебоев.

Я даже спрашивал уже - я какой-то не такой? Почему все бегают как тараканы по сковородке, а у меня все как работало, так и работает? :)
Ответ написан
BasiC2k
@BasiC2k
.NET developer (open to job offers)
Мне понравился Outline VPN можно использовать свою VPS, настройка одним скриптом, просмотр статистики, клиент на Andriod, ограничения по пользователям и много чего ещё интересного "из коробки". VPN сигнатура пакетов не детектится.
Ответ написан
не спешить и подождать дальнейшего развития событий
p.s. где-то сообщали, что страдают частные пользователи и по сотовым операторам
Ответ написан
Комментировать
ikush
@ikush
UNIX system ingeneer and programmer
SoftEther VPN - есть и под win кого сильно интересует этот вопрос. Так же можно настраивать предустановленным клиентов под win, ставя галочки и не ковыряя ничего в голом CLI. В работе использует 443 порт.
Ответ написан
Комментировать
@puchuu
Я хочу сказать, что xray и все остальное - это абы что и сбоку бантик. Naiveproxy - это правильный путь, но его реализация неверная. Разработчик взял хромиум 123, положил его и давай патчить. Ничего более глупого я в жизни не видел. Во первых обновление хромиума возможно только вручную, во вторых он его не сделает т.к. будет миллион конфликтов при попытке мержа. В итоге naiveproxy обречен на вымирание.

Мой подход следующий: правительство Китая изо всех сил популяризирует в мире тикток и для доставки контента оно использует Cloudflare, Akamai и тд. Само правительство Китая и есть главная дыра в GFC. Подозрительно ли выглядит человек, который смотрит тикток и в Европе и в Китае? Нет. Будет его блокировать GFC? Ни в коем случае, даже скорость резать не будет, мало того такой клиент будет в приоритете. Так и надо обходить блокировки.

Я захостил свой псевдосайт, который мимикрирует под тикток. Клиент (читай openwrt роутер, телефон, ноутбук) открывает (чуть пропатченный) хром/фф, открывает псевдо-тикток с Akamai и начинает скачивать и отправлять (в основном) видео, картинки, скрипты, шрифты и стили с помощью селениума. Эти псевдо-данные состоят из порций данных для vpn и они мимикрированы под соответствующий тип данных. Например видео представляют из себя набор битмапов сжатых webm без компрессии. Также давлены разумные задержки при отправке псевдо-данных чтобы это не было подозрительно. Для GFC это выглядит как будто обычная девушка гортает косметику и загружает рецепты каши в тикток.

Открывать код я это не собираюсь, но вы можете все это воспроизвести самостоятельно т.к. это тривиально.

Ездили мы отдыхать в Китай, были в Хайнане, потом поехали посмотрели Гуанчжоу, везде все работает идеально. По скорости vpn с таким туннелем упирается в возможности беспроводных сетей. По пингу конечно не ахти т.к. добавлены задержки симулирующие скроллящую девушку. Но это никак не отразилось на качестве отдыха.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы