LINUX.ORG.RU
ФорумAdmin

Проблема, невозможно подключится к openvpn!

 ,


0

1

Привет всем! Помогите кто сталкивался или есть готовое решение. Поставил openvpn на VPS, вроде как бы нормально работает. Но вот проблема, некоторые клиенты не могут подключатся TCP 443, скорее всего провайдер режет по DPI.Я не большой знаток *nix, потому мне трудно разобраться. Как обойти эту блокировку? Помощь в решении, как бы не за спасибо!

Вроде можно OpenVPN завернуть в SSL, и отличить это от HTTPS будет сложнее, теоретически. Смотреть в сторону stunnel. Ради интереса делал себе такое. Но шаманить придётся не только на сервере, но и у клиентов. Возможно, есть более адекватное решение.

fludardes ★★
()

Без логов с клиентов и сервера трудно что-либо сказать

Pinkbyte ★★★★★
()

Но вот проблема, некоторые клиенты не могут подключатся TCP 443, скорее всего провайдер режет по DPI

Сильно сомневаюсь.

anc ★★★★★
()
Ответ на: комментарий от anc

Сомнения в чем? что DPI фильтрация? 11 лямов зелени, положили чтоб перекрыть кислород. Не работает ни один мессанджер, ни facebook.....

Тут вот нагуглил Дополнительный слой шифрования не позволит никакому DPI добраться к OpenVPN-трафику и, соответственно, детектировать его. Для поднятия SSL-туннеля можно воспользоваться утилитой stunnel (https://www.stunnel.org). Подробнее о настройке stunnel можно почитать здесь: bit.ly/stunSetup. Но как на практике это применить, пока нефига не вкуриваю. Можно это bit.ly/stunSetup , здесь перевести в нормальный вид, последовательность что надо сделать. Непонятен был этот пункт [openvpn] accept=4948 connect=ip.add.re.ss:1337

alexbalkan
() автор топика
Ответ на: комментарий от alexbalkan

Не работает ни один мессанджер, ни facebook.....

Если пров блокирует 443 порт, то не кажется ли вам, что мозг надо иметь ему?

anc ★★★★★
()
Ответ на: комментарий от anc

Если как в том анекдоте про мозги, почему японские самые дешевые, а их про кого имею ввиду самые дорогие, потому что мозги японцев работали с КПД 100% потому износ, а у тех вообще никогда не работали, потому как новые и самые дорогие.

Товарищь использует openvpn от стороннего поставщика, и у него работает. Смотрел конфиги, разницы не увидел. Куда зрить дальше, что копать?

alexbalkan
() автор топика
Ответ на: комментарий от alexbalkan

Забыл дописать, они не блокируют 443, пакеты до сервера доходят. Но вот ошибка у клиента MANAGEMENT: >STATE:1475181514,WAIT,,, TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity) TLS Error: TLS handshake failed SIGUSR1[soft,tls-error] received, process restarting MANAGEMENT: >STATE:1475181574,RECONNECTING,tls-error,, Может быть все таки можно еще что то настроить? Но у меня, и у других конектится без проблем. Потому погуглив вычитал что могут фильтровать openvpn https через DPI

alexbalkan
() автор топика
Ответ на: комментарий от anc

Если пров блокирует 443 порт, то не кажется ли вам, что мозг надо иметь ему?

Расскажи это китайским властям.

zgen ★★★★★
()
Ответ на: комментарий от anc

Ну тут уж и КНДР вспомнить можно... Но ТС же о стране не писал.

Я тебе возможно открою секрет, но DPI в этой стране - уже не новость.

zgen ★★★★★
()
Ответ на: комментарий от zgen

DPI - это дорого и невыгодно провайдерам. исключения - ОПСОСы, они пытаются с его помощью категоризировать трафик, чтобы драть с клиентов больше бабла, ибо цены у них и так многократно завышены. а так, серьёзная DPI железка стоит сотни тыщ евро и жрёт несколько киловатт, плюс к ней нужны сертифицированные инженеры, с таким железом работать не так просто. иными словами, такую дуру ради развлечения мелкий провайдер себе точно не поставит: дорого и ненужно.

Iron_Bug ★★★★★
()
Последнее исправление: Iron_Bug (всего исправлений: 1)
Ответ на: комментарий от Iron_Bug

*ля. Мне еще лекций не хватало. Ты правда думаешь, что ты тут Америку открываешь мне или что?

Никто провайдера не назвал, но ты третьим глазом уже прочухал. Молодец, хвалю. Чувак, есть такая компания Ростелеком с почти ~50% у государства во владении. Угадай, чьи аплинки у твоих мелких провайдеров?

Специалистов я вижу развелось много.

zgen ★★★★★
()
Последнее исправление: zgen (всего исправлений: 1)
Ответ на: комментарий от zgen

Вы слышали что бы в этой стране dpi блокировал 443 порт? Читаем далее комментарий ТС

Не работает ни один мессанджер, ни facebook.....

anc ★★★★★
()
Ответ на: комментарий от zgen

Угадай, чьи аплинки у твоих мелких провайдеров?

Немного не в тему, но у меня пров которого скорее можно назвать «мелким» так как покрывает всего несколько районов ДС, аплинк не РТ.

anc ★★★★★
()
Ответ на: комментарий от zgen

бугога. детка, узбагойся. я сама поработала у провайдеров и ОПСОСов и знаю, как там всё устроено изнутри. просто опыт. влажные мечты государства о тотальном контроле неосуществимы технически и никому никуда не упёрлись. посему, пока у бизнеса нет мотивации это внедрять, никто не будет даже близко.

Iron_Bug ★★★★★
()
Ответ на: комментарий от Iron_Bug

Офигеть ты специалист. Иди в Иране это расскажи или в Китае.
Не будет бизнес внедрять - значит будет закрываться или поглащаться вот и все.

zgen ★★★★★
()
Ответ на: комментарий от anc

аплинк не РТ.

Я не сказал, что все. Кроме RT есть еще несколько крупных провайдеров, которые не могут себе позволить неповиновение и у которых есть ресурсы на DPI.

zgen ★★★★★
()
Ответ на: комментарий от zgen

Я не сказал, что все. Кроме RT есть еще несколько крупных провайдеров, которые не могут себе позволить неповиновение и у которых есть ресурсы на DPI.

Простите, не дописал. Чаще всего когда возникают новости вида «пров заблочил» у него работает. Это к тому что писала выше Уважаемая мной Iron_Bug.

anc ★★★★★
()
Ответ на: комментарий от zgen

или в Китае

И что? У них например запрещен gmail для граждан, но ведь пользуются когда очень нужно, несмотря на реальные кары если попалят. Бизнес для них является большим, чем даже «анальные кары».

anc ★★★★★
()
Ответ на: комментарий от zgen

Есть реальная тема по проблеме моей? Чето не то обсуждать мы стали. Да, вот такая г..ндовня на государственном уровне, монополие. Надо как-то решать проблему.

alexbalkan
() автор топика
Ответ на: комментарий от alexbalkan

Чувак, ты положил сюда сраные две строчки логов не потрудившись даже отформатировать их как следует, не описал структуру сети, не приложил конфигурационных файлов, но хочешь чтобы тебе помогли?

У меня для тебя плохие новости, бро. Так тебе никто помогать не будет.

zgen ★★★★★
()
Ответ на: комментарий от zgen

честно говоря, Иран и Китай меня меньше всего интересуют. вообще, всякий фундаментализм - это конец цивилизации. и тут ничего не поделаешь. работать с такими клиентами - это гемор, который просто не окупится. есть нормальные страны с нормальными сетями. и там делают бизнес, а не занимаются половыми извращениями в сетях.

Iron_Bug ★★★★★
()
Ответ на: комментарий от Iron_Bug

Это было до того, как к нам пришел РКН и приняли закон полоумной Мизулиной.
Теперь извращениями в сетях занимаются и у нас.

А так - я согласен конечно.

zgen ★★★★★
()
Последнее исправление: zgen (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.