Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Определение сеансов OpenVPN в транзитном трафике"	+/–
Сообщение от opennews (??), 17-Мрт-24, 11:05
Группа исследователей из Мичиганского университета опубликовала результаты исследования возможности идентификации (VPN Fingerprinting) соединений к серверам на базе OpenVPN при мониторинге транзитного трафика. В итоге было выявлено три способа идентификации протокола OpenVPN  среди других сетевых пакетов, которые могут использоваться в системах инспектирования трафика для блокирования виртуальных сетей на базе  OpenVPN... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=60795
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 17-Мрт-24, 11:05	+32 +/–
Дежурное и очевидное напоминание - OpenVPN никогда не задумывался как "скрытый" и цензуро-устойчивый. Это уже работа для других протоколов.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #18, #85

3. Сообщение от Аноним (3), 17-Мрт-24, 11:24	+/–
работает ли это все при прешаред ключах?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #24

4. Сообщение от Аноним (4), 17-Мрт-24, 11:28	+12 +/–
> метод успешно сработал для 39 из 40 конфигураций а можно этот 40й конфииг в студию? 🤔
Ответить | Правка | Наверх | Cообщить модератору

5. Сообщение от Аноним (5), 17-Мрт-24, 11:38	+3 +/–
Нужно что-то новое придумать. Чем будет больше малоизученных протоколов - тем сложней их будет вычислить.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #21, #26, #94

6. Сообщение от Lui Kang (?), 17-Мрт-24, 11:42	+/–
И другие VPN протоколы тоже обнаруживаются легко, использование WireGuard, L2TP сразу видно и можно заблокировать в легкую. Хотя блокировать протокол это неправильно, это все равно, что голову, которая болит - рубить, вместо того, чтобы выпить таблетку от головы.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8, #37

8. Сообщение от Аноним (8), 17-Мрт-24, 11:46	+5 +/–
https://vc.ru/services/916559
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #15, #39

12. Сообщение от Аноним (12), 17-Мрт-24, 12:07	–1 +/–
Тем кому надо прятать сам факт использования давно заворачивает в TLS по TCP. А методы этого "исследования" известны любому DPI. Вообще то разрабы открыто об этом заявляют, продукт не для обхода "чего либо" а для безопасного соединения с шифрованием.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #16

14. Сообщение от Аноним (16), 17-Мрт-24, 12:15	–2 +/–
Те кому нужна приватность итак натягивают свои сети или общаются по радиоканалу. Кто с проводным телефонном серии ТА в армии бегал по полю знает.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17

15. Сообщение от Lui Kang (?), 17-Мрт-24, 12:15	+/–
Носки тени так себе приблуда, есть способы маскировки по лучше
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #28, #104

16. Сообщение от Аноним (16), 17-Мрт-24, 12:18	+1 +/–
Дипиаю они может и известны. Задача этому дипиаю не захлебнуться когда проверяет трафик на уровне магистрального провайдера.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #31

17. Сообщение от robot228 (?), 17-Мрт-24, 12:29	+1 +/–
Так они делают законы чтобы ты не использовал свои сети. Радиочастоты они глушат. Протоколы радио дырявые.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #19

18. Сообщение от OpenEcho (?), 17-Мрт-24, 12:43	–5 +/–
И теперь пожалуйста обьясните, каким образом все описанное в статье сработает если изпользовать только ЮДП, нa не нестандартном порту, требовать прешаред ключ, - для обоих направлений и обязательно применяемый для обоих - дата и контрол каналов? Нет ключа - нет никакого ответа, сканируйте дальше и гадайте то ли это опенвпн, то ли что-то еще не известное
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #22, #33, #80, #81, #90

19. Сообщение от OpenEcho (?), 17-Мрт-24, 12:54	+/–
А вот провод соединяющий два ТА, легко перекусить не получится :) Там такая "сталька", как в тросах, - хрен кусачками так сразу перекусишь. Кстати, та "сталька" может и прокормить, если ее вытащить из провода, сделать петельку и поставить на заячьей тропе. Главное добраться к добыче раньше волков и шакалов
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #41

21. Сообщение от Аноним (4), 17-Мрт-24, 13:05	+/–
SbO? Спорненько, но может и сработать
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

22. Сообщение от Аноним (22), 17-Мрт-24, 13:10	–1 +/–
Это если только ты сможешь начать сеанс вообще... и сможешь затем продолжить работать по UDP
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #29

23. Сообщение от Аноним (23), 17-Мрт-24, 13:14	+5 +/–
Группа исследователей, судя по всему, только что вылезла из криокамеры. Потому что иначе я не могу объяснить, как можно в 2024 году на полном серьезе обнаружить, что, оказывается, OpenVPN не является цензуроустойчивым. Кот бы мог подумать! А вот, кому интересно, что является https://habr.com/ru/articles/799751/
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #25, #64

24. Сообщение от OpenEcho (?), 17-Мрт-24, 13:15	+/–
Одних прешаред ключей мало, надо чтобы еще в обязаловку были сертификаты с обоих сторон, выданных для обоих, - сервера и клиента со своего собственного СА + UDP + запрет компрессии + оба направления и оба дата/контрол канала аутефицировались прешаред ключом. От не МИТМ защитит, но не от магитрали, на уровне магистрали, ну да, засекут что идет шифрованный трафик, а если еще его обернуть в ХТТПС, то удачи в реверсе потока, тем более в автомате и на магистрали
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #34

25. Сообщение от Аноним (25), 17-Мрт-24, 13:18	–1 +/–
Не надо путать устойчивость теоретическую, криптобезопасниковую, и техническую возможность учета стада. Второе не обязательно следует из отсутствия первого. Для этого надо проделать определенную работу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #27

26. Сообщение от OpenEcho (?), 17-Мрт-24, 13:19	+/–
Зачем? И тем более протоколы? Обфускация никогда не была защитой. Достаточно все обернуть в криптографию и пустить по не блокированному хттпс каналу
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #36

27. Сообщение от Аноним (23), 17-Мрт-24, 13:19	+2 +/–
Технические возможности давным-давно продемонстрированы в Китае (и в других местах). Так что группа исследователей, видимо, изобретала велосипеды.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #32, #52

28. Сообщение от OpenEcho (?), 17-Мрт-24, 13:21	+/–
Способы получше - в студию? ;)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #40, #97, #102

29. Сообщение от OpenEcho (?), 17-Мрт-24, 13:34	–1 +/–
Да с этим все понятно, я с точки зрения защиты не от ISP, а от рэндомных бобиках с интернета. На уровне магистрали, понятно, что если все только по белому списку, а все остальное в трэш, то там ловить нечего, даже если просто пустить поток рандомного трафика, хотя... все же есть варианты, не с опенвпн в лоб конечно
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

31. Сообщение от Аноним (12), 17-Мрт-24, 14:08	+1 +/–
Магистральным провайдерам плевать какой идёт трафик, чем его больше - тем больше попадает в кассу. А вот всякие местные провайдеры в разных скрепных странах очень любят резать всё что не лень.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

32. Сообщение от OpenEcho (?), 17-Мрт-24, 14:26	+/–
Ну если за это платят, почему бы нет... странно, что китайцы, которые практически во всех популярных универах мира и которые пользуются разновидностями Врэя или обернутому в дырку от зопы того же ОпенВпн, но при этом не нашлось в группе иследователей никого, кто подумал бы как это определять... скорее всего, инсайдеры не хотели расскрываться
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

33. Сообщение от Аноним (-), 17-Мрт-24, 14:32	+2 +/–
> только ЮДП, нa не нестандартном порту, требовать прешаред ключ, > - для обоих направлений и обязательно применяемый для обоих - дата и контрол каналов? Много ли софта подымает именно TLS, именно поверх UDP, именно вот так? Ну вот и ответ на вопрос.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #38

34. Сообщение от Аноним (-), 17-Мрт-24, 14:36	+/–
> засекут что идет шифрованный трафик, а если еще его обернуть в ХТТПС, то удачи > в реверсе потока, тем более в автомате и на магистрали GFW пытается детектить впн по... 1) Дофига конектов -> 1 хост. 2) Вложенные тайминги, сетап вложенной HTTPS сессии ведет к характерным сочетаниям размеров пакетов vs время. Это в принципе может замечать любой впн или туннель, но не 100% надежно. 3) А потом они чекают работал ли на том порту того айпи сервак такого типа. Если да - айпи в баню на какое-то время. Не навсегда, япы отучили от такого накормив автоцензора айпишниками винапдейта. Из-за этого всего сетевой софт от чайников очень продвинут.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #42, #46

36. Сообщение от Аноним (36), 17-Мрт-24, 14:39	+/–
смешались кони, люди.. что обернуть то в криптографию? что значит "не блокированному хттпс каналу"? что повашему значит "обфускация"?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #44

37. Сообщение от Аноним (36), 17-Мрт-24, 14:40	+/–
Это вы РКН расскажите.. что там правильно а что нет))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

38. Сообщение от OpenEcho (?), 17-Мрт-24, 14:40	+/–
Ну так оберните в клоаку и будет выглядеть как стандартный котико-смотритель.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #57

39. Сообщение от Аноним (36), 17-Мрт-24, 14:42	+/–
Не заметно пока Смотрел у разных провайдеров
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #82

40. Сообщение от Аноним (36), 17-Мрт-24, 14:43	+/–
а нет их, акромя обфускации то
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #98

41. Сообщение от Аноним (36), 17-Мрт-24, 14:46	+/–
я слышал изобрели кусачки такие.. ими еще жд плобы перекусывают.. не? а еще болгарка на батарейках есть.. врут?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #45

42. Сообщение от OpenEcho (?), 17-Мрт-24, 14:51	+/–
1. на гитхабе где то есть специально генератор эмулирующий походы по интернету, сбивая таргетированную рекламу на нет + генерирует кучу мусора, - ну как правда обычный юзер 2. Этот да, серьёзный зверь, но варианты тоже есть, как добавить сольку чтоб выглядело "как положенно" 3. Если резать на уровне магистрали, реально нет 100% надежных решений. Мой первый пост не про это, а про тех кто вне ISP.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #58

44. Сообщение от OpenEcho (?), 17-Мрт-24, 15:01	+/–
> что обернуть то в криптографию? Протоколы > что значит "не блокированному хттпс каналу"? 443 > что повашему значит "обфускация"? Протокол имеет свой неповторимый фингерпринт, по которому он может быть определен, поэтому создавая новый протокол, - это не защита, а обфускация. Даже если взять телеговый прокси, который просто поток "рандомных" байтов, то он имеет специфику - отсутсвие шаблона, а значит - в бан. Если же трафик завернуть в хттпс, и сделать его "правдоподобным", то ДПаЙ прийдется очень потрудится чтоб понять что внутри.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #47

45. Сообщение от OpenEcho (?), 17-Мрт-24, 15:08	+/–
> я слышал изобрели кусачки такие.. Да есть конечно, я про те времена когда еще ТА пользовали, хотя и тогда штык ножом с акм-а перекусывалось
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

46. Сообщение от Аноним (-), 17-Мрт-24, 15:16	+/–
Развивая тему GFW... Оттуда можно извлечь ещё уроков, которые могут оказаться полезными не только там. Неофициальная политика КПК -- нефильтрованный доступ к интернету для академии. Официально нельзя всем, но неофициально... Преподы студентам первых курсов рекомендуют обратиться к студентам старших курсов за инструкциями, как получить доступ к гуглу без которого первокурам не удастся выполнять задания преподов. Один из вариантов таких дыр через GFW -- предприимчивый младший научный сотрудник, который держит vps и продаёт доступ тем, кто его смог найти по знакомству. Предположу, что если он попытается скалировать бизнес и набрать сотни клиентов, или если он ещё каким-то образом начнёт досаждать КПК, то его загребут, но пока он совесть имеет и держит масштабы поменьше, его терпят, но это уже мои умозрительные предположения. Какой там софт он использует -- я не знаю, все факты я подчерпнул из статьи американского профессора работавшего в китайском вузе, и тот хоть и общался с таким локальным "впн-провайдером" вживую, но будучи гуманитарием про софт не спросил.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #55

47. Сообщение от Аноним (-), 17-Мрт-24, 15:18	+/–
> Если же трафик завернуть в хттпс, и сделать его "правдоподобным" Чем это не обфускация? Вопрос остаётся в силе: что по-вашему обфускация?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #50

50. Сообщение от OpenEcho (?), 17-Мрт-24, 15:34	+/–
>> Если же трафик завернуть в хттпс, и сделать его "правдоподобным" > Чем это не обфускация? Вопрос остаётся в силе: что по-вашему обфускация? Протокол, - четко расписанный стандарт, формат Обфускация - нет. Это алгоритм смешивания протокола с мусором. Обфусцировать трафик, опубликовав это как **протокол**, это "нате, - ешьте"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #56

52. Сообщение от Bob (??), 17-Мрт-24, 15:42	+/–
Осваивала грант та группа)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

55. Сообщение от OpenEcho (?), 17-Мрт-24, 15:53	+2 +/–
Где гарантия, что младший научный сотрудник, не засланный казачок, который MITM проданный трафик и выявляет не угодных :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46 Ответы: #59, #71

56. Сообщение от Аноним (56), 17-Мрт-24, 16:32	+/–
м-даа.. хорошо. а если я на сервак поставлю obfs4 а на клиенте openvpn пущу через это соединение? а вот есть еще stunnel. поставлю на сервак и клиент пущу через него? и там и там генерации шума не будет. что из этого обфускация?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50 Ответы: #68

57. Сообщение от Аноним (-), 17-Мрт-24, 16:55	–2 +/–
> Ну так оберните в клоаку и будет выглядеть как стандартный котико-смотритель. Ну тогда и оборачивать туда лучше вайргада, его настраивать в цать раз проще.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #72, #73

58. Сообщение от Аноним (-), 17-Мрт-24, 16:59	+/–
> 1. на гитхабе где то есть специально генератор эмулирующий походы по интернету, От вон того не поможет от слова вообще. > 2. Этот да, серьёзный зверь, но варианты тоже есть, как добавить сольку > чтоб выглядело "как положенно" Китайцы его рагулярно дурят - но софт у них продвинутый. Вплоть до multipath конструкций. Умеющих порой еще и избыточность. Так и тайминги, и тормоза, и даже потери пакетов относительно пофиг. > 3. Если резать на уровне магистрали, реально нет 100% надежных решений. Мой > первый пост не про это, а про тех кто вне ISP. Ну вон китайцы таки придумали немало интересных вещиц. Против своего GFW который даже хуже магистрали - он на выходе из китайнета фильтрует. И цензоряет все что не китайнет по энным рулесам и аналитике, включая и давление впнов, по крайней мере - популярных серваков.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

59. Сообщение от Аноним (-), 17-Мрт-24, 17:01	+/–
> Где гарантия, что младший научный сотрудник, не засланный казачок, который MITM проданный > трафик и выявляет не угодных :) Сам создатель GFW на встрече с студентами.... обошел GFW VPN'ом. За это его правда презрительно закидали ботинками (в восточном мире кинуть ботинок - высшая форма презрения к адресату). Ну вот такой вот зас(л,р)анец. Сам нагадил, сам обошел. Рекордсмен двойных стандартов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

62. Сообщение от КО (?), 17-Мрт-24, 17:36	+/–
Вы думаете сервисы, которые зависят от клиентов махнут рукой на стабильный трафик? Удачи в блокировке
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #63, #65

63. Сообщение от Аноним (63), 17-Мрт-24, 18:06	–1 +/–
Не всякий трафик одинаково полезен. Кому нужны клиенты, которые в интернет ходить пока ещё могут, но вот заплатить денег за сервисы уже нет? Так что да, удачи в блокировках. Глядишь, будет время подумать что же пошло не так.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62

64. Сообщение от Аноним (64), 17-Мрт-24, 18:06	+/–
и что там является цензуроустойчивым? Как только у этого неуловимого джо будет заметная аудитория, точно так же будет заблочен по характеристикам трафика.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #66

65. Сообщение от myster (ok), 17-Мрт-24, 18:23	+2 +/–
Провайдеры рассуждают примерно так: "Клиентам и такой сервис сойдет, т.к. интернет им нужен всё-равно для развлечений, он не обязательно должен быть качественным. Нет Ютуба - так Рутуб используйте, глупунькие".   Пример такого домашнего интерента у провайдеров, которые отключают IPv6, хотя им не проблема включить поддержку. Это как детям прибивать игрушки к полу гвозьдями.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62 Ответы: #67, #105

66. Сообщение от Аноним (25), 17-Мрт-24, 18:31	+/–
В штатах не блочат. Там собирают информацию и полицейских посылают на адрес.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64

67. Сообщение от fidoman (ok), 17-Мрт-24, 18:49	+1 +/–
так это обычный "бизнес подход", 90% клиентов типа довольны, оставшиеся объявляются токсичными и на их интересы плевать
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65

68. Сообщение от OpenEcho (?), 17-Мрт-24, 18:51	+/–
> obfs4 Гениально, - вот вам список мостов, пользуйтесь оба, и мыши и коты... > а вот есть еще stunnel. работает канал который постоянно связан тет-а-тет, зашифрованный. > что из этого обфускация? Ни то и ни другое. Оба палятся на ура
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56 Ответы: #74, #95

71. Сообщение от Аноним (-), 17-Мрт-24, 18:59	+/–
Вот оно потребительское мышление, мысли только о том, как бы потребить, да? Если у тебя такая паранойя, ты сам можешь стать этим младшим научным сотрудником и продавать другим доступ к vpn, многократно окупая стоимость vpsки. Или если совсем уж парализующая паранойя одолела, то не продавать и честно оплачивать vps из своего кармана.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #93

72. Сообщение от OpenEcho (?), 17-Мрт-24, 19:22	+2 +/–
>> Ну так оберните в клоаку и будет выглядеть как стандартный котико-смотритель. > Ну тогда и оборачивать туда лучше вайргада, его настраивать в цать раз > проще. Можно и в него, но у овпн более плюшек на уровне роутинга и т.д.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57 Ответы: #75

73. Сообщение от aname (?), 17-Мрт-24, 19:28	+1 +/–
Боже, что вы там в OVPN настроить не смогли?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57 Ответы: #76

74. Сообщение от Аноним (74), 17-Мрт-24, 19:31	+1 +/–
вердикт - учить матчасть
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68 Ответы: #96, #103

75. Сообщение от Аноним (-), 17-Мрт-24, 22:32	+/–
> Можно и в него, но у овпн более плюшек на уровне роутинга и т.д. В целом более мерзкая, кривая и интрузивная штука с своим SSL/TLS который до неких пор вообще влет бампался - любым клиентом. Скажем вайргад с его роумингом прозрачно восстанавливает сессию после отвалов и смен айпи и проч. Вроде в openvpn если очень приспичит то некое подобие изобразить можно. Но сложно, и идея пушинга конфиг с сервера в run time - очень жестко интерферит с этой затеей. С вайргадом очень круто когда можно роутер/сотовый модем ребутануть нахрен, траф запаузится но потом продолжит с того же места, ssh/чаты/рдесктопы и прочее подобное - не отвалится.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72 Ответы: #91

76. Сообщение от Аноним (-), 17-Мрт-24, 22:34	+2 +/–
> Боже, что вы там в OVPN настроить не смогли? Например resume сессии при отвале сессии сотового оператора, ребуте роутера и проч - так что айпи клиента или сервера при случае меняется. Вайргад прозрачно переживает это все. А вон то с его манерой пушить конфигу с сервака - очень склонно к отвалу всех TCP конектов при этом. А что делать если внутренний айпи с сервака - другой?! В этом месте фича становится багом...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73 Ответы: #84

78. Сообщение от Аноним (78), 17-Мрт-24, 23:20	+/–
Юзайте хотя бы AmneziaWG и будет вам чуть большая иллюзия безопасности.
Ответить | Правка | Наверх | Cообщить модератору

80. Сообщение от qwdqwd (?), 18-Мрт-24, 07:57	+1 +/–
По передаваемым пакетам в начале сессии, а именно по их размерам и количеству. OpenVPN, при большом желании, можно определить по 3 первым пакетам даже в полностью зашифрованном (и, возможно, инкапсулированном в другой протокол) трафике.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

81. Сообщение от Товарищ майор (??), 18-Мрт-24, 09:00	+/–
Трафик есть, порт и ip известны. Пытаешься подключиться сам - тебе фига. Ну если тебя не пускают, то и другим не нужно - в бан.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #101

82. Сообщение от iPony129412 (?), 18-Мрт-24, 09:20	+/–
так это просто желание "надо бы блокировать" до технического решения вроде бы дело не дошло... пока
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

83. Сообщение от ryoken (ok), 18-Мрт-24, 09:42	+/–
>>необфускацированных Глаза чуть не сломал, пока прочёл. Точно более легкочитаемого термина нет?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #86

84. Сообщение от aname (?), 18-Мрт-24, 09:56	–1 +/–
>> Боже, что вы там в OVPN настроить не смогли? > Например resume сессии при отвале сессии сотового оператора, ребуте роутера и проч > - так что айпи клиента или сервера при случае меняется. Вайргад > прозрачно переживает это все. А вон то с его манерой пушить > конфигу с сервака - очень склонно к отвалу всех TCP конектов > при этом. А что делать если внутренний айпи с сервака - > другой?! В этом месте фича становится багом... > айпи клиента што? > или сервера DDNS никак? > А что делать если внутренний айпи с сервака - > другой?! Тебе скрипты дали, если надо извращаться или ты не способен нормально сеть сделать
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76 Ответы: #89

85. Сообщение от Проыыфыс (?), 18-Мрт-24, 10:09	+1 +/–
> Дежурное и очевидное напоминание - OpenVPN никогда не задумывался как "скрытый" и цензуро-устойчивый. Вообще-то все VPN изначально придуманы не для обхода цензуры, а для объединения удаленных рабочих офисов в одну локальную сеть. Предьявлять претензии по поводу цензуро-устойчивости вообще не в тему.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

86. Сообщение от Sw00p aka Jerom (?), 18-Мрт-24, 10:10	+/–
Великий и могучий говорит - незапутанный, хотя лучше всего подойдет - безхитростный :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #83 Ответы: #87

87. Сообщение от ryoken (ok), 18-Мрт-24, 10:33	+/–
Вот так гораздо читабельнее, спасибо :).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #86

89. Сообщение от Аноним (-), 18-Мрт-24, 16:40	+1 +/–
>> другой?! В этом месте фича становится багом... >> айпи клиента > што? Ну вот то самое. OpenVPN позволяет серваку пушить дохреналион параметров - включая и айпи клиента. Во вторых дефолтный конфиг враждебен к потугам прозрачного resume сессии после того как у клиента сменится айпи, или что там еще - например сотовая сессия у оператора отпала, новый IP с прововского DHCP, ppp-сессия отлипла, роутер ребутанули, и т.п.. Первое если оно использовалось - в ряде случаев обеспечивает что тот номер совсем не катит. Вайргад же простой как тапок - айпишники ГАРАНТИРОВННО не теряет, нет повода для отвала TCP конекций в туннеле - независимо от роуминга концов тунеля. Если он сам себя нащупал, при том это и "клиент" и "сервер" могут, они почти равноправны и отличаются в общем то только тем кто инициирует начальный конект, все прозрачно resume'ится, оба нащупывают друг друга, и при смене айпи одного - это все совершенно прозрачно. Для софта это просто некая пауза в передаче данных, временная потеря пакетов, потом все продолжает работать. В туннеле не меняется - ничего. Нет нужды сбрасывать TCP конекции и проч. Так что всякие чатики, ssh, vnc/rdesktop, вот эот все - не отпадают пачками на ровном месте. >> или сервера > DDNS никак? Чем вам DDNS от сброса TCP конекций при отвале и реконекте туннеля поможет?! >> А что делать если внутренний айпи с сервака - другой?! > Тебе скрипты дали, если надо извращаться или ты не способен нормально сеть сделать Чокаво? Я про случай когда серв пушит айпишник клиенту через их кульный протоколец. И тут уж какой пришлет - такой и будет! В вайргаде нет такой фичи - и нет проблем с роумингом в результате, где это все в антифичу превращается. И конфиги там в 20 раз проще. Вместо этой кривой блевотины. Ну и вот там 2 мизерных конфижка на все - и потом прозрачно роумится, очень круто. Особенно для вложенных в обфускатор конекций которые почти наверняка отвалятся при воооон том.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #84 Ответы: #92, #106

90. Сообщение от butcher (ok), 19-Мрт-24, 11:24	+1 +/–
Достаточно проследить первые три пакета сессии, в которых нужно смотреть только на первый байт и на размер данных. Даже XOR патч не поможет это спрятать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

91. Сообщение от FooType (?), 19-Мрт-24, 20:22	+/–
Все вами перечисленное реализуется на openvpn при необходимости. У openvpn по умолчанию доступных параметров настройки больше, это профессиональное решение уровня энтерпрайз намного более надежное и функциональное. А вайгард-просто удобная игрушка из коробки, вот вам и кажется что он лучше, потому что якобы удобнее, а на самом деле просто вроде как "комфортнее", потому что вникать в протоколов не нужно, но это заведомо ошибочный подход.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75 Ответы: #99

92. Сообщение от FooType (?), 19-Мрт-24, 20:24	+/–
Глупости вы тут понаписали. Не путайте ваше неумение работать с сетью и ваше непонимание протоколов с отсутствием возможностей-)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #89 Ответы: #100

93. Сообщение от FooType (?), 19-Мрт-24, 20:27	+/–
Это не паранойя, а правильный и грамотный подход к обеспечению безопасности. Безграмотность-это делать наоборот, думать что такого не бывает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71 Ответы: #110

94. Сообщение от FooType (?), 19-Мрт-24, 20:30	+/–
Достаточно хорошо знать TCP/IP, чтобы в подобных случаях просто правильно модифицировать уде существующие решения. Это как минимум сэкономит время и силы. Это называется целесообразность ради эффективности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

95. Сообщение от FooType (?), 19-Мрт-24, 20:31	+/–
Глупости. Они палятся точно так же, как и openvpn, без должного уровня реализации. Ни больше, ни меньше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68 Ответы: #109

96. Сообщение от FooType (?), 19-Мрт-24, 20:34	+/–
Это правильно, учит матчасть. И если бы те кому надо учили матчасть, то понимали бы, что в случае с теми же stunnel/obfs, запалить можно все что угодно, но степень риска в данном случае очевидно сокращается, при  должном уровне реализации схемы. Ни больше, ни меньше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74

97. Сообщение от FooType (?), 19-Мрт-24, 20:36	+/–
VPN уже однозначно лучше носков, если конечно вы понимаете как устроена и работает сеть. Но ведь очевидно, что только лишь ВПН дело не ограничивается, тут нужно много дополнительной работы, а следовательно и специальных знаний.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

98. Сообщение от FooType (?), 19-Мрт-24, 20:37	+/–
если в вас работающая логика, то обфускация и ВПН, это как лодка и весло. друг друга дополняют, а не вовсе не заменяют.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40

99. Сообщение от Аноним (-), 20-Мрт-24, 02:54	–1 +/–
> Все вами перечисленное реализуется на openvpn при необходимости. Только требует в 20 раз больше внимания чтобы не налететь на какой-нибудь гадости лишний раз. > У openvpn по умолчанию доступных параметров настройки больше, это профессиональное > решение уровня энтерпрайз И это в таких случаях не фича - а куча интрузива, нежелательного/проблемного поведения и подстав. > намного более надежное и функциональное. Намного более ломкое, интрузивное, подставное и падлючее, я бы сказал. Энтерпрайзность в этом смысле - в негативной коннотации! Спагетти-монстр ужасный. Делающий море действий которые могут крепко подставить клиента, особенно если тот не очень в теме. > А вайгард-просто удобная игрушка из коробки, Он делает 1 вещь - VPN. И делает ее хорошо. Это и есть юниксвэй. А тот спагетти монстр может почти все - но делает это крайне блевотно и криво. И с кучей подстав и факапов. Без глубоких знаний PKI и TLS/SSL - лучше не трогать его даже десятифутовой палкой. И даже так облажаетесь на раз. > вот вам и кажется что он лучше, потому что якобы удобнее, > а на самом деле просто вроде как "комфортнее", потому что вникать > в протоколов не нужно, но это заведомо ошибочный подход. Это как раз правильный подход - в вайргаде негде прострелить себе пятку по глупому. Ее и не будут простреливать. В отличие от этого подставщика. Норовящего то маршрут сбросить, то DNS leak устроить или что там еще путем переколбаса сетевой конфиги в неподходящий момент. А когда у вас на проводе цензор злобный - вам только и надо что передерг интерфейса с расколбасом роутов, утечками DNS в этого цензора и проч. Чтобы от него и огрести как раз за посещение неправильных ресурсов, наверное. Вот это то что я называю заведомо ошибочным подходом. Ну а прелесть вайргада в том что он ВСЕ ЭТО делать не будет :). Не надо оно. Особенно - там.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91 Ответы: #108

100. Сообщение от Аноним (-), 20-Мрт-24, 03:06	+/–
> Глупости вы тут понаписали. Не путайте ваше неумение работать с сетью и > ваше непонимание протоколов с отсутствием возможностей-) Я лично согласен с автором вайргада: если кто делает впн - такие вещи должны работать по дефолту. А не после дохрена ужимок и приседаний с волшебными заклинаниями. Более того - манера опенвпн постоянно передергивать ифейс с переконфигурацией и проч - ничего хорошего не даст кроме лишних утечек в цензора какого-нибудь компромата на wannabe censorship circumventor-а. Голимая энтерпрайзятина с баззвордами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #92 Ответы: #107

101. Сообщение от Аноним (-), 20-Мрт-24, 03:08	+/–
> Трафик есть, порт и ip известны. Пытаешься подключиться сам - тебе фига. > Ну если тебя не пускают, то и другим не нужно - в бан. Японцы примерно так зобанили китаю Windows Update. После чего прыть у банщиков резко поупала. Почему-то.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81

102. Сообщение от Жук (?), 20-Мрт-24, 10:40	+/–
VLESS с XTLS-Vision, можно VLESS с XTLS-Reality. Сервер и клиент XRay или Sing-box
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

103. Сообщение от Sem (??), 20-Мрт-24, 20:06	+/–
По вашим ответам даже не понятно с чем вы не согласны. Интересно услышать ваше определение обфускации. Но видимо не судьба, вы просто тролль.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74

104. Сообщение от Sem (??), 20-Мрт-24, 20:13	+/–
Пишут, что SS с протоколами 2022 еще не научились детектировать. Но есть проблема с клиентами. Такое ощущение, что поддержку добавили, а проверить не удосужились.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

105. Сообщение от Sem (??), 20-Мрт-24, 20:21	+/–
"хотя им не проблема включить поддержку" Это всегда проблема. Нужно оборудование, которое нормально работает с IPv6, нужно это все правильно настроить, а потом еще поддерживать и развивать. И саппорту клиентов поддерживать. Для провайдера это прям огромный пласт, который хочется выкинуть и не вспоминать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65 Ответы: #111

106. Сообщение от aname (?), 21-Мрт-24, 11:04	+/–
> OpenVPN позволяет серваку пушить Но не заставляет. > дефолтный конфиг враждебен к потугам прозрачного resume сессии Дефолтный конфиг- дефолтен. Я не знаю, может в мире розовых терминалов, дефолтный конфиг должен быть для всех всем и сразу, но в реальности, дефолтный конфиг никому ничего не должен, кроме показать работоспособность в каких- то сферических дефолтно- лабораторных условиях. А дальше напильником, напильником. > В вайргаде нет такой фичи - и нет проблем Вы можете просто купить себе услуги VPN-провайдеров, поставить приложение и жить. Ну или не использовать некоторые фичи? > И конфиги там в 20 раз проще. Вместо этой кривой блевотины. "Он нам и не нужОн этот инторнэт ваш!" © Ты лучше напиши, как это воспроизвести в лабораторных условиях. А то даже интересно стало, как люди пользуются довольно распространённым VPN- решением, а тут вон оно чо. Мож хоть гугл за тебя спрошу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #89

107. Сообщение от aname (?), 21-Мрт-24, 11:12	+/–
>> Глупости вы тут понаписали. Не путайте ваше неумение работать с сетью и >> ваше непонимание протоколов с отсутствием возможностей-) > Я лично согласен с автором вайргада: если кто делает впн - такие > вещи должны работать по дефолту. А не после дохрена ужимок и > приседаний с волшебными заклинаниями. Более того - манера опенвпн постоянно передергивать > ифейс с переконфигурацией и проч - ничего хорошего не даст кроме > лишних утечек в цензора какого-нибудь компромата на wannabe censorship circumventor-а. > Голимая энтерпрайзятина с баззвордами. > если кто делает впн - такие вещи должны работать по дефолту А оно и работает по- дефолту, ибо "Голимая энтерпрайзятина" ©. В "Голимой энтерпрайзятине" вообще любят, чтоб просто работало, а пердолится с костылями вокруг да около, чтоб заработало что- то сложнее, чем связь двух точек, и/или написать хеловорлд на экране- это удел тех, кто допивает недопитое смузи, купленное работягами энтерпрайза. > А не после дохрена ужимок и приседаний с волшебными заклинаниями. И это пишут на форуме любителей линукса. Пчёлы против мёда.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #100

108. Сообщение от aname (?), 21-Мрт-24, 12:17	+/–
>[оверквотинг удален] > подставщика. Норовящего то маршрут сбросить, то DNS leak устроить или что > там еще путем переколбаса сетевой конфиги в неподходящий момент. > А когда у вас на проводе цензор злобный - вам только и > надо что передерг интерфейса с расколбасом роутов, утечками DNS в этого > цензора и проч. Чтобы от него и огрести как раз за > посещение неправильных ресурсов, наверное. Вот это то что я называю заведомо > ошибочным подходом. > Ну а прелесть вайргада в том что он ВСЕ ЭТО делать не > будет :). Не надо оно. Особенно - там. > Только требует в 20 раз больше внимания Оказывается, софт надо уметь готовить. И не по частным примерам с форумов, и даже за чатгпт надо проверять! Да что ж такое- то! ДОКОЛЕ?! > особенно если тот не очень в теме. Таким за денежку делают хорошо. > Без глубоких знаний PKI и TLS/SSL - лучше не трогать его даже десятифутовой палкой. Оказывается, в жизни надо быть компетентным и/или уметь читать инструкции. Бтв, какие там глубокие знания нужны- я хз. EasyRSA сложно осилить? > Норовящего то маршрут сбросить Что ж ты там с OpenVPN сделал- то, содомит? > А когда у вас на проводе цензор злобный - вам только и надо что передерг интерфейса с расколбасом роутов Пушить роуты никто не заставляет, если что. Для тех, кто хочет хочет безопасности, есть ещё {ip/nf}tables. > Ее и не будут простреливать. Угадай, почему на ношение оружия надо получать лицензию. > В отличие от этого подставщика. Слёзы неосилятора. > Вот это то что я называю заведомо ошибочным подходом. А не "ниасилил" настройки. Впрочем, у локалхостохозяек всё как всегда. > Не надо оно. "Мне не надо- никому не надо" © Стабильность.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #99

109. Сообщение от Аноним (-), 21-Мрт-24, 14:21	+/–
Не так же. OpenVPN у меня прекратил работать пару недель назад. Wireguard хоть и работает, но теперь заводится с толкача. А tor'у всё по барабану, как работал так и работает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #95

110. Сообщение от Аноним (-), 21-Мрт-24, 19:41	+/–
Это паранойя. Надо различать здоровый страх и паранойю: первое нормально и полезно, второе же нарушает мышление. Мы видим выше именно нарушение мышления, у чувака очко жимкнуло, что младший научный сотрудник может быть агентом ЦРУ, и мозги у него на этом этапе отключились. Если ты присмотришься, то ты увидишь, что я не предлагал покупать услуги этого сотрудника, я никаких советов вовсе не давал, я привёл этот интересный факт как точку данных позволяющую дальнейшие умозаключения. Но у него, и мне кажется что у тебя тоже, страх такого уровня, что переклинивает мозги и думать уже не получается, остаётся способность только очевидные любому банальности озвучивать. И это как раз паранойя. Таблетки пить надо, потому что парализующая мысли паранойя контрпродуктивна задаче обеспечения безопасности, которая требует активного мышления.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #93

111. Сообщение от myster (ok), 24-Мрт-24, 15:59	+/–
> "хотя им не проблема включить поддержку" > Это всегда проблема. Нужно оборудование, которое нормально работает с IPv6, нужно это > все правильно настроить, а потом еще поддерживать и развивать. И саппорту > клиентов поддерживать. Для провайдера это прям огромный пласт, который хочется выкинуть > и не вспоминать. IPv6 это уже стандарт, без IPv6 услуга не подана полностью, а на тяп-ляп. Если так рассуждать, тогда давайте компьютеры выкинем и все технологии с этим связанные, потому что их надо поддерживать и развивать. Оборудование давно уже по умолчанию из коробки IPv6 поддерживает. Тут даже больше усилий по отключению от IPv6, чем по включению. Например, у Билайн отключен IPv6 для добашних пользователей, а для корпоративных включен. Им не проблема включить для всех.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #105

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема