LINUX.ORG.RU
ФорумAdmin

Помогите понять почему захромал openvpn

 , ,


0

3

Появилось у меня подозрение, что пров начал блокировать openvpn-соединение с моей зарубежной VDS, трафик какой-то «хромающий» стал, а в логах зачастили сообщения «SIGUSR1[soft,ping-restart] received, process restarting» при этом пинг до openvpn-сервера хороший, 22 мс (когда неполадки с сетью, он обычно до 3-4-значных значений увеличивается), порт 1194 открыт.

На всякий случай - конфиги сервера:

server 192.168.68.128 255.255.255.128
user openvpn
group openvpn
local 185.130.?.?
port 1194
dev tun
proto tcp-server
dh /etc/openvpn/server/dh.pem
ca /etc/pki/CA/cacert.pem
cert /etc/openvpn/server/server_cert.pem
key /etc/openvpn/server/server_privkey.pem
topology subnet
ifconfig 192.168.68.129 255.255.255.128
script-security 3
up /etc/openvpn/server/script.bash
client-config-dir /etc/openvpn/server/ccd
client-to-client
auth SHA1
cipher AES-256-CBC
persist-key
persist-tun
syslog
verb 3
и клиента:
client
user openvpn
group openvpn
remote 185.130.?.? 1194
dev tun
proto tcp-client
ca /etc/openvpn/certs/cacert.pem
cert /etc/openvpn/certs/celeron-d_cert.pem
key /etc/openvpn/keys/celeron-d_privkey.pem
topology subnet
nobind
keepalive 8 60
connect-retry 4
auth SHA1
cipher AES-256-CBC
persist-key
persist-tun
syslog
verb 3
может кто не замыленным взглядом найдёт косяк

Подозреваю, что пров использует особо хитрую блокировку, в которой icmp никак не ограничивается, поэтому я и продолжаю наблюдать хороший пинг, но ограничивается tcp, например режется часть ACK-пакетов. Как я со своей стороны могу это выявить, может tcp-ping какой?

Перемещено hobbit из general

★★★★★

Последнее исправление: sunny1983 (всего исправлений: 1)
Ответ на: комментарий от fresa

Wireguard не менее хорошо детектить научились, тем более он никак это не предотвращает и заморачиваться этим разработчики не собираются, обфускации в протоколе нет и не будет. В openvpn есть, но не на этапе соединения, чем он и палится.

Смена порта не поможет от DPI фильтра на ТСПУ. С openvpn меня спасает заворачивание его в stunnel или ssh, DPI такое пропускает, ибо оба два этих носка ничем снаружи не отличаются от легитимного https или ssh трафика. Тут только «белые списки» могут помешать, но в ближайших планах вроде такой жести не предвидится. Хотя кто знает...

В случае с wireguard пока спасает Амнезия, огромная благодарность ValdikSS за используемую методику сворачивания кукухи у DPI фильтра. Сервер Амнезии кстати можно не поднимать, клиент с Амнезией замечательно коннектится к немодифицированному wireguard серверу. Но это временные успехи, уверен что со временем DPI железки станут умнее и используемая Амнезией методика перестанет работать.

Радикально проблему решают VPN нового поколения рассчитанные на работу в условиях жёсткой цензуры типа V2RAY/XRAY.

Jameson ★★★★★
()
Ответ на: комментарий от Jameson

Wireguard не менее хорошо детектить научились, тем более он никак это не предотвращает и заморачиваться этим разработчики не собираются, обфускации в протоколе нет и не будет.

И правильно делает. И зачем? Трафик от wg можно направить на любой локальный порт, где его ловит https туннель.

kvpfs_2
()
Ответ на: комментарий от Jameson

я в курсе что вг так же отлично детектится но не всеми и не везде, поэтому потратить 10 минут на разворачивание и тест стоит. каждый провайдер в каждом регионе делает всё по своему, так что попытка не пытка

fresa
()
Ответ на: комментарий от maxcom

Да, однажды оно отвалилось, но мне удалось подобрать новые параметры по мануалу. Пока вроде работает. Но кардинально проблему не решает, да. Вот это в текущий момент ещё пенетрирует:

Jc = 3
Jmin = 40
Jmax = 70
S1 = 0
S2 = 0
H1 = 1
H2 = 2
H3 = 3
H4 = 4
Если мой коммерческий VPN пров не озаботится серверами VRAY придётся самому это всё поднимать на VPS... К сожалению итальянских господ мало волнуют проблемы цензуры в других отечествах, точнее они слабо понимают нарастающую серьёзность ситуации.

Обфускацию OpenVPN двумя разными способами и альтернативные IP для подключения они завезли, над внедрением Амнезии в свои VPN клиенты думают, тикет в работе, но не в приоритете. Убедить их в нужности VRAY пока не удалось...

Jameson ★★★★★
()
Последнее исправление: Jameson (всего исправлений: 1)
Ответ на: комментарий от kvpfs_2

И правильно делает. И зачем? Трафик от wg можно направить на любой локальный порт, где его ловит https туннель.

Ну да. Собственно они прямо об этом и пишут, мол экономка должна быть экономкой протокол должен оставаться простым и «чистым», задачи обфускации решаются внешними методами. Понять, простить. Я тащемто с ними согласен.

Jameson ★★★★★
()
Ответ на: комментарий от Jameson

протокол должен оставаться простым и «чистым», задачи обфускации решаются внешними методами.

Да, wg хорош своей простотой, хорошо решает свою одну задачу. Я к нему прикостылил wstunnel, работает без проблем

kvpfs_2
()
Ответ на: комментарий от Flotsky

Не обязательно в юзерспейс. Их гуёвый клиент юзерспейсную реализацию пускает, но никто не запрещает собрать ядрёный модуль и пользоваться awg-quick из amnezia-tools вместо гуйни. Модуль называется amneziawg, со штатным модулем не пересекается, можно оба одновременно юзать например. Насчёт скорости ничего не скажу, на 100mbit канале я разницы не вижу... И думаю разницу нужно не в скорости искать, а в нагрузке на камень.

Jameson ★★★★★
()
Последнее исправление: Jameson (всего исправлений: 1)
Ответ на: комментарий от pekmop1024

Я видимо невнимательно читал про них. Если интерфейса нет, и это просто висящий на порту носок, то конечно это не VPN, это прокси. Но что мешает в этот носок любой «настоящий» VPN завернуть тогда, wg, openvpn, да хоть чёрта лысого. Там же основная фишка как я понял в том, что для наблюдателя «в середине» соединение выглядит как легитимный коннект с каким либо разрешённым цензурой сайтом.

Jameson ★★★★★
()
Последнее исправление: Jameson (всего исправлений: 3)
Ответ на: комментарий от Jameson

В теории - ничего, на практике я не пробовал. Ну, допустим, роутер уже не всякий вытащит эту красоту, а из тех что вытащат - не все вытащат с приемлемой производительностью. Да и подключаться нетривиально.

pekmop1024 ★★★★★
()
Ответ на: комментарий от pekmop1024

Под OpenWRT вроде как реализации есть. Насколько это нагрузит роутер — я не знаю, нужно тестить. Думаю если станет актуально Кинетик в своих прошивках это реализует. Амнезию они весьма быстро добавили.

Jameson ★★★★★
()
Ответ на: комментарий от Jameson

Я как-то ради интереса поднимал на роутере с 128МБ рамы v2ray - это трэшанина, ему памяти банально мало, падает. Но да, есть амнезия, в предудыщих тредах еще xt_wgobfs упоминали - выглядит более перспективно и менее монструозно.

pekmop1024 ★★★★★
()