Как обойти блокировку портов 1701 500 4500?

Question

[L_V_S]

Провайдер блокирует GRE протокол, проверено, хотя в тех поддержке отрицают это.

Поэтому вместо OpenVPN подняли l2tp+ipsec

Но, видимо, провайдер блокирует порты 1701 500 4500

Реально ли обойти блокировку и каким способом?

Answer 1

[sharikoff]

OpenVPN вроде не использует GRE. У него порт udp 1194 . Определяется в конфиге сервера.
GRE это PPTP VPN порт 1723 и сам 47 протокол. В вашем случае нужно использовать OpenVPN. Пролезет в любом случае.

Comments

[L_V_S]

да на счет GRE попутал, провайдер блокирует PPTP

Answer 2

[Влад Животнев]

Обойти ограничение GRE не так легко - его ничем не замаскируешь (ну кроме как внутри . Тут ещё проблема в том, что сам провайдер может не знать, что он его блокирует. Там нужно сделать немало хитрых телодвижений, чтобы инкапсулировать gre/ipip внутри pptp, например.

PPTP внутри PPTP тоже не работает с дефолтными конфигами сервера.

Ну и не забывайте, что для GRE/ipip необходим выделенный вам белый адрес (прямо на интерфейсе машины).

Так же дешевые роутеры не умеют работать с трансляцией gre/pptp трафика (обычно, роутеры умеющие это маркируются с vpn-passthrough).

Ну а из вариантов - пропустить GRE через то, что само по себе является "другим" L2. Например, через Hyperboria.

Comments

[L_V_S]

а вариант взять роутер asus rt-n10u и прошить ddwrt + open vpn клиент поставить прокатит? Просто нужно решение на железке недорогое

[Влад Животнев]

@L_V_S скорее всего прокатит, если openvpn клиент будет достаточно современным и вы mtu расставите правильно.

[L_V_S]

прокатило!

Answer 3

[L_V_S]

Решил проблему следующим путем.

купил роутер asus rt-n10u черный
поставил на него прошивку ddwrt c встроенным openvpn клиентом
на удаленном сервере поднял openvpn сервер
прописал сертификаты в клиенте на роутере
выставил mtu 1440
добавил правила в iptables на роутере
iptables -I INPUT 2 -i tun0 -j ACCEPT
iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT

и теперь пофиг на блокировку провайдера, все затевалось ради того, чтоб без подключить дома ip телефон к офисной атс

Comments

[Максим Чиликин]

Помоему проблема была не в провайдере.

Answer 4

[ascheck]

Прежде всего: провайдер не блокирует GRE, но существует известная проблема с работой GRE через NAT: https://ru.wikipedia.org/wiki/GRE_(%D0%BF%D1%80%D0...
Т.е. если провайдер выдаёт вам (или вашему роутеру) серый IP, то GRE (а с ним и PPTP) работать вряд ли будет.
Как было верно замечено ранее, OpenVPN и GRE - не связанные вещи. OpenVPN работать должен был. Если он не работал, а решить проблему удалось заменой/перепрошивкой/перенастройкой вашего роутера, то и была проблема не на стороне провайдера.