Автор Тема: OpenVPN и мобильные сети! как обойти блокировку?  (Прочитано 8901 раз)

Оффлайн flint1975

  • Участник
  • *
  • Сообщений: 1 439
Как везде, не знаю, но в Самарской области мобильные операторы каким-то образом блокируют OpenVPN трафик на низком уровне.
Пример, у меня дома настроен OpenVPN сервер, через который проброшено подключение к астериску, недавно на выезде надо было подключиться - не получилось, хотя перед этим проверил из офиса все работало.
Проблему обошел пробросив туннель через ssh, а уж сквозь него openvpn.
Проверял на операторах билайн, мегафон, теле2 и мтс.
В общем, с таким обходом хить можно, но иногда отваливается ssh туннель.
Но для подключения мобильного клиента sip телефонии на андроид - ssh туннель пробросить не получилось.
Вопрос может кто знает как организовать vpn подключение к офису в таких условиях блокировок? (wireguard - тоже блокируется)

P.S. пока вожу с собой роутер irz21w у которого внутри линукс, и в котором ssh туннель проброшен по умолчанию, и соответственно в пределах 100 метров от машины могу разговаривать по внутренним телефонам.

Оффлайн rits

  • Участник
  • *
  • Сообщений: 1 186
  • ITS
Первым делом позвонить сотовому оператору и узнать у него, занимается ли он такой фигней и зачем ему это надо и какие пути решения проблемы. Может их админы перекрутили гайки больше чем надо, а начальство не в курсе )
Для связи с РЖД к примеру используется vipnet, а ЕПТ-эшники КонтинетАП ("tcpPort": 443, "udpPort": 4433) используют.
Не уверен, что сотовые будут блокировать VPN. Разве что "нищебродские" тарифы могут подрезать, ну так в этом капитализм виноват, а не сотовые операторы, религия у них такая )
(Первым делом позвонить сотовому оператору и узнать у него ...)
https://www.cnews.ru/news/top/2024-03-15_fsb_obyazala_rostelekom
« Последнее редактирование: 09.07.2024 13:50:30 от rits »

Оффлайн flint1975

  • Участник
  • *
  • Сообщений: 1 439
Это было сделано сразу (звонок в билайн)
цитирую:
Цитировать
- вы блокируете OpenVPN протокол и если да, то есть ли возможность отключить блокировку?
- мы ничего не блокируем на уровне протоколов.
- я могу предоставить логи подключения через проводного оператора и через мобильный интернет из которых видно что блокируете.
- сейчас я вас переключу на специалиста.
примерно 1 минута на пересказ предыдущего общения
- если на вашем телефонном номере заблокированы openVPN и wireguard, то отключить это невозможно.
- А на корпоративных тарифах присутствует такая блокировка?
- Обращайтесь в корпоративный отдел, у нас нет этой информации.
Далее 2 дня на поиск точки входа в корпоративный отдел (выяснилось, что телефонной поддержки там нет, ну или про нее никто из сотрудников билайна не знает)
Далее поездка в офис билайна в корпоративный отдел - безуспешные попытки объяснить менеджерам суть вопроса, потом просьба раздать wifi на 5 минут с корпоративного номера для проверки - как итог блокировка присутствует. дальше я биться в глухую стену перестал.

Блокировка идет не на уровне портов, а на уровне пакетов, потому как я настраивал и на 443 порту и на 80 результат одинаков, авторизация проходит, а потом ожидание ответа сервера.

Оффлайн rits

  • Участник
  • *
  • Сообщений: 1 186
  • ITS
Ссылку смотрел? Может, как то могут анализировать зашифрованный трафик?
Участники рынка сообщили, что «Ростелеком» стал блокировать SIP-транки с IP-адресов российских хостинг-провайдеров
...
Блокирование подозрительного SIP-трафика необходимо для борьбы с телефонным мошенничеством, включая
...

Ключ шифрования для vpn по закону 1024 должен быть, не выше (ранее так было).
sip клиента смени.
Вот рекомендации от виртуального ассистента "Олега" )
Shadowsocks: Это прокси-технология, которая может помочь обойти блокировки VPN. Она часто используется в странах с цензурой для обхода блокировок.
HTTP/HTTPS Proxy: Использование HTTP/HTTPS-прокси также может быть вариантом для обхода блокировок.
Использование VPN через CDN или WebSocket
Использование VPN в режиме стелс
В некоторых случаях можно использовать методы для маскировки VPN трафика:
    Stunnel: С помощью Stunnel можно обернуть ваш VPN трафик в стандартный SSL трафик, что может помочь обойти блокировки.
Обратная прокси через Cloudflare
В некоторых случаях можно использовать Cloudflare для проксирования вашего VPN трафика через HTTP/HTTPS.
    Настройте Cloudflare Argo Tunnel для проксирования вашего VPN трафика через Cloudflare.

Оффлайн andrew_b

  • Участник
  • *
  • Сообщений: 548
Различные ВПНы блокирует Роскомзапрет.
Публикация методов обхода блокировок запрещена им же.
Тему лучше закрыть во избежание.

Оффлайн rits

  • Участник
  • *
  • Сообщений: 1 186
  • ITS
Тему лучше закрыть во избежание.
Во избежание, им лучше не передавать свои полномочия, которыми мы их наделили (как они говорят), искусственному интеллекту. 
Различные ВПНы блокирует Роскомзапрет.
- мы ничего не блокируем на уровне протоколов.
Лично я, не сторонник обхода блокировок, тем более единственная эффективная блокировка это обрезать "провода". Как говорил товарищ И. Ильин,
Цитировать
Нелепо строить государство по схеме больницы,
школы или тюрьмы. Ибо государственно зрелые граждане - не больные и не школьники;
они суть строители государства; их осознанная солидарность драгоценна
« Последнее редактирование: 10.07.2024 08:23:22 от rits »

Онлайн asy

  • alt linux team
  • ***
  • Сообщений: 8 245
Как везде, не знаю, но в Самарской области мобильные операторы каким-то образом блокируют OpenVPN трафик на низком уровне.
Пример, у меня дома настроен OpenVPN сервер, через который проброшено подключение к астериску, недавно на выезде надо было подключиться - не получилось, хотя перед этим проверил из офиса все работало.
Проблему обошел пробросив туннель через ssh, а уж сквозь него openvpn.
Проверял на операторах билайн, мегафон, теле2 и мтс.
А в техподдержку написать? Вообще странно, у нас в офис доступ тоже через OpenVPN, у меня телефон Билайн, и всё нормально. Вроде и с Мегафоном сотрудники не жалуются. Самара тоже, как ты знаешь.

Онлайн asy

  • alt linux team
  • ***
  • Сообщений: 8 245
Различные ВПНы блокирует Роскомзапрет.
Публикация методов обхода блокировок запрещена им же.
Тему лучше закрыть во избежание.
Тут речь совсем не об этом. Тут и (условному) Роскомзапрету можно выдать люлей за вмешательство в работу бизнеса. Пусть вон на выходе из страны (в смысле по внешним IP, так-то у каждого оператора оборудование стоит) своей фгнёй занимаются. Но вряд ли это они, по этим граблям натоптались уже.

Оффлайн andrew_b

  • Участник
  • *
  • Сообщений: 548
Тут и (условному) Роскомзапрету можно выдать люлей за вмешательство в работу бизнеса.
Ха. Тут кто кому выдаст. "Кто ж его посадит, он же памятник".

Оффлайн andrew_b

  • Участник
  • *
  • Сообщений: 548
мы ничего не блокируем на уровне протоколов
Опсос может писать всё что угодно. Если его обяжет Роскомзапрет, то Опсос возьмёт под козырёк.

Оффлайн flint1975

  • Участник
  • *
  • Сообщений: 1 439
А в техподдержку написать? Вообще странно, у нас в офис доступ тоже через OpenVPN, у меня телефон Билайн, и всё нормально. Вроде и с Мегафоном сотрудники не жалуются. Самара тоже, как ты знаешь.
[/quote]
Ну, чтобы писать с корпоративного телефона нужно его иметь, а с личного мне ответили то, что ответили.
вот может быть проблема в том, что у меня на моем IP домен 1clab.com может по этому признаку они его причисляют к забугорным?
но у меня сейчас проверить на альтернативном IP нет возможности.
попробую подключиться к вам в крафты, у меня есть на вашем хостинге виртуалка с openvpn - если получится то будем думать дальше

Онлайн asy

  • alt linux team
  • ***
  • Сообщений: 8 245
Ну, чтобы писать с корпоративного телефона нужно его иметь, а с личного мне ответили то, что ответили.
У нас у всех личные.
вот может быть проблема в том, что у меня на моем IP домен 1clab.com может по этому признаку они его причисляют к забугорным?
Не знаю, но мне кажется, что вряд ли. Посмотри tcpdump-ом на vpn-сервере, долетает ли трафик.

Оффлайн rits

  • Участник
  • *
  • Сообщений: 1 186
  • ITS
Я как-то давно с MTU игрался, размер кадра менял. Почему то, были проблемы в связке GPRS+Спутниковая тарелка. Помогло. Может в эту сторону посмотреть.
https://gov.cnews.ru/news/top/2024-07-10_vlasti_nachali_upravlyat
Цитировать
В 2021 г. с помощью ТСПУ Роскомнадзор ограничивал скорость доступа к Twitter. В 2022 г. с помощью ТСПУ Роскомнадзора начал блокировки Twitter и двух других социальных сетей - Facebook и Instagram (принадлежат корпорации Meta, признанной в России экстремистской). Также начались блокировки VPN-сервисов, в том числе на уровне протоколов (например, OpenVPN).
Через ТСПУ должен проходить весь пользовательский трафик. Однако оператор связи может обосновать исключения для некоторых видов графика, например, IPTV.

« Последнее редактирование: 11.07.2024 11:15:21 от rits »

Оффлайн flint1975

  • Участник
  • *
  • Сообщений: 1 439
Всем спасибо, прошло несколько недель, и, о чудо, заработало само! кто блочил, я так и не понял.