Я использую pptpd на сервере для создания VPN. К сожалению поставщик интернета, где находится мой клиент блокирует стандартные порты, и я не могу подключиться к своему VPN - серверу. Могу ли я изменить порт на другой на этом сервере? Если да, то гда это сделать?
Прочитал, что скорее всего это блокировка через DPI, вот тут: https://www.linux.org.ru/forum/general/11191623
Там быо ответ, что нужно обернуть OpenVPN черех SSH например. SSH у меня не заблокировано, подскажите пожалуйста как обернуть через SSH?
Не думаю что это поможет:
PPTP использует: IP Protocol=TCP, TCP Port number=1723 <- Used by PPTP control path. IP Protocol=GRE (value 47) <- Used by PPTP data path.
Если блокируют GRE, то смена порта управления ничего не даст. Переходите на openvpn через tcp.
Saboteur: Настроил OpenVPN, ка вы предлогали, но тоже не могу поключиться. Через сотового оператора подключается без проблем, а вот через провайдера нет. Может какие-то настройки нужно поменять в VPN сервере? У меня Web панель управления.
Вы через tcp настроили? Возможно провайдер и udp openvpn порты блокирует. А почему бы просто не проверить доступные порты и не выяснить где проблема прежде чем вообще что-то делать? Может это брандмауер (штатный или антивируса) на Windows у клиента блокирует что-то?
Axian Ltd.: Пробовал и TCP и UDP, ни так не так не работает, и по умолчанию UDP + TCP - не работает. Вот с портами я немного не понимаю, как проверить их. Но 22 сейчас работает без проблем, спокойно подключается. Как узнать какие еще порты кроме 22 можно использовать? Кстати если 22 работает, и щас я поставлю UDP к примеру на 22 порт, то он должен работать? Если нет, то это будет указывать на то что провайдер блокирует по DPI?
Трафик openvpn по tcp почти не отличается от https, настройте openvpn tcp на 443-м порту. Я вообще использую openvpn-as и еще не было случая чтобы клиент не подключился.
BTW Если вы используете стандартный openvpn из пакетов, то там по-умолчанию как правило udp 1194.
ssh 22 port это tcp.
Проверить доступность nmap-ом со стороны клиента
Axian Ltd.: Ну я просто не все понимаю правильно. То есть если в браузере я могу запрашивать HTTPS страницы, то этот вид трафика у меня не блокируется? Получается смысл есть в использовании VPN через Proxy или тоже не факт что сработает?
1. Не открывается только через одно подключение ("провайдер клиента" в вашей терминологии), а через другие (мобильный Интернет) подключается?
2. Открываются ли другие сайты по https через данное подключение?
Axian Ltd.: Не открывается толкьо через провайдера в моей терминалогии. Раздаю интернет с модильного все открывается. Все Https открываются, vk, toster и куча всего(все наверное), а страница OpenVPN нет.
В вашей фразе "а страница OpenVPN нет" относится к любому подключению? Просто ранее вы писали что "Через сотового оператора подключается без проблем, а вот через провайдера нет."
Я начинаю подозревать что у вашего клиента это не провайдер, а сисадмин компании в которой сидит ваш клиент блокирует именно ваш сервер.
Axian Ltd.: Через мобильное подключение подключается все. А через провайдера тоже все HTTPS, а на OpenVpn страничку не заходит. Ну и да это сеть общежития поэтому там сис-админ, но суть не меняется, нужно как-то обойти это все.
Если банят ваш конкретный сервер, то тогда через свой промежуточный vpn или сервис. Например hamachi (logmein). VPN через прокси сильно сомнительно даже если и заработает.
Если вы на все https заходите, а на свой сервер по https не пускают и смена порта не помогает. Банят конкретно вас без вариантов (или всего хостера как вариант). Регистрационная страничка openvpn-as это обычный https.
Мне не известно существование специализированных прокси для vpn, можно попытаться завернуть трафик openvpn через https-прокси типа nginx, но это весьма сомнительное занятие.
И зачем вам прокси если openvpn уже по тому же каналу что и https будет работать?
Axian Ltd.: Ну в результате размышлений и советов с коллегами по работе пришла мысль, что блокируют именно по заголовкам пакетов, то есть прокси у админа анализирует пакеты и понимает что это OpenVpn и обрезает. Нашел что в роутерах есть настройки даже такие что можно запрещать различные виды трафика. Отсюда делаю вывод, что если пустить через прокси, то будут читаться заголовки другие, похожие что отсыдает браузер и система не поймет что внутри работает VPN. Или же я опять не правильно понимаю?
Axian Ltd.: А что он может сделать грамотный Сис-Админ к примеру? Ну судя по тому что у нас везде в универе натыканы циски то там видимо тоже. Но что он может сделать в данном случае?
Правила и глубину инспектирования пакетов сисадмин задает исходя из поставленных начальством задач либо своего разумения.
Китайский файервол даже tor ловит и блокирует, но те себе это позволить могут и задача поставлена.
Axian Ltd.: То есть если глубина инспектирования пакетов, то это как я понимаю DPI технология? То есть она в оборудовании циско уже есть? Ну трафик же шифрованный? А я читал что с шифрованным трафиком проблемы у DPI возникают большие. Цитата с Википедии : " Большинство интернет-провайдеров обеспечивают блокирование сайтов, занесённых в чёрный список, основываясь только на IP-адресах этих сайтов. Но некоторые провайдеры могут блокировать выборочные URL-адреса, если у них используется Deep Packet Inspection для анализа HTTP-запросов.[18][19]. К шифрованным соединениям (HTTPS) применение техники DPI затруднено."
Cisco уже много лет выпускает отдельную линейку для DPI с дисками и обновлением правил с сервера.
Что касается прокси и шифрования. Если вы собираетесь писать собственный VPN клиент, то шанс пройти есть. Допустим вам удалось завернуть трафик openvpn в https, кто его развернет на стороне клиента? Как система DPI не поймет содержимого, так и openvpn его не прочухает, он ожидает свои пакеты.
Что касается как dpi работает с шифрованием, то просто - сдаются корневые сертификаты куда нужно и только трафик с известными ключами пропускается. У нас такой закон уже на обсуждении. В Казахстане такое уже ввели кажется - хочешь шифровать, отдай ключ органам.
Axian Ltd.: С Расшифровкой DPI я теперь понял в чем прикол, наверное пока еще не используется для HTTPS Ттрафика. Интересно...
Да с прокси пролет. Тут ниже комментарий был что нужно использовать : openvpn sstp IPSec. На скороую руку подгуглил, вроде как это можео сделать, и в винде есть стандартная поддержка: https://habrahabr.ru/post/196134/
Еще есть вариант пустить VPN через SSH тунель, но мне кажется это сократит скорость сильно и пользоваться будет нереально или нет?
Axian Ltd.: Хорошо, а почему тогда просто SSH работает без проблем и подключается к серверу без ничего напрямую? А вот OpenVPN нет? Что жто может быть за блокировка если SSH и есть VPN?
Гадать, что настроено в сети для блокировки бессмысленное занятие. Однако люди могут сделать все что угодно. Смущает тот факт, что на ваш сервер https обычный запрещен.
Axian Ltd.: А могли бы в друх словах объяснить как пропустить VPN трафик через SSH тунель? Думаю попробовать сначала этот вариант, так как SSH доступен.
Ssh уже vpn. Настраивается на клиенте, например в putty. В двух словах на клиенте указываются удаленный и локальный порты. После подключения по ssh к серверу, удаленный порт становится доступным по localhost:локальный порт на клиенте.
Axian Ltd.: Как это никак? А зачем тогда это все затевалось? Мне то и надо организовать доступ номальный ко всем ресурсам, поэтому собственно и VPN зетеивалась, но вот не получилось, но появился выход с SSH. Я же как раз думал через SSH пустить VPN. Вы сказали что SSH это и есть VPN, но тогда как мне получить доступ ко всем возможностям какие бы дало подключение по номральному VPN?
Вы разберитесь что вам нужно. Я не верю в 64000 ресурсов на одном сервере. Значит их два, три, четыре и можно настроить ssh туннели. Почитайте про ssh туннели, народ разное клепает. Если вам нужно "все-все, чего даже сейчас нет", попрбуйте hamachi.