Помогите понять почему захромал openvpn

Очевидно же, что РКН заблокировал OpenVPN.

я бы попробовал сменить порт или поднять тот же вг и проверить. овпн очень хорошо сейчас научились детектить и блокировать

Я бы повесил на 443-й порт и посмотрел как оно будет.

Wireguard не менее хорошо детектить научились, тем более он никак это не предотвращает и заморачиваться этим разработчики не собираются, обфускации в протоколе нет и не будет. В openvpn есть, но не на этапе соединения, чем он и палится.

Смена порта не поможет от DPI фильтра на ТСПУ. С openvpn меня спасает заворачивание его в stunnel или ssh, DPI такое пропускает, ибо оба два этих носка ничем снаружи не отличаются от легитимного https или ssh трафика. Тут только «белые списки» могут помешать, но в ближайших планах вроде такой жести не предвидится. Хотя кто знает...

В случае с wireguard пока спасает Амнезия, огромная благодарность ValdikSS за используемую методику сворачивания кукухи у DPI фильтра. Сервер Амнезии кстати можно не поднимать, клиент с Амнезией замечательно коннектится к немодифицированному wireguard серверу. Но это временные успехи, уверен что со временем DPI железки станут умнее и используемая Амнезией методика перестанет работать.

Радикально проблему решают VPN нового поколения рассчитанные на работу в условиях жёсткой цензуры типа V2RAY/XRAY.

Я бы повесил на 443-й порт и посмотрел как оно будет.

Если это DPI фильтр на ТСПУ гадит — не поможет. OpenVPN палится процессом установления соединения, на порты фильтрующая железка вообще не смотрит, она отлавливает начало сессий по любым портам и делает выводы об используемом протоколе на основе анализа нескольких первых пакетов. И если это openvpn, wireguard, l2tp или ipsec — вмешивается в трафик делая работу туннеля невозможной. Выглядит это так: соединение с сервером устанавливается, данные по тоннелю не проходят, тоннель отваливается по таймауту (если он конечно настроен).

Спорить не буду, но для начала я бы попробовал. У ТС стандартный порт.

Билайн, то-же самое где-то с неделю назад. Отвалились openvpn, wireguard, даже l2tp+ipsec

Зато крюк что-угодно на московскую VPS и уже с неё далее в заграницу пока работает, на московской VPS даже yt не заблокирован, но может это мне с VPS повезло, не знаю.

Тут советовали amnezia wireguard, надо будет самому попробовать как нибудь…

я бы попробовал сменить порт или поднять тот же вг и проверить

вг тоже умеют, аутлайн живет без проблем на данный момент.

Wireguard не менее хорошо детектить научились, тем более он никак это не предотвращает и заморачиваться этим разработчики не собираются, обфускации в протоколе нет и не будет.

И правильно делает. И зачем? Трафик от wg можно направить на любой локальный порт, где его ловит https туннель.

И если это openvpn, wireguard, l2tp или ipsec — вмешивается в трафик делая работу туннеля невозможной

Я вот задумываюсь уже несколько месяцев. А если мне необходимо для легальных целей поднять локальную сеть между разными офисами в разных городах в одной стране, какую технологию VPN использовать?

С ходу нагуглить ничего не получилось. Пробрасываю порты по старинке.

я в курсе что вг так же отлично детектится но не всеми и не везде, поэтому потратить 10 минут на разворачивание и тест стоит. каждый провайдер в каждом регионе делает всё по своему, так что попытка не пытка

какую технологию VPN использовать

Никакую. Плати провайдеру бабло за белый IP. Прежде всего VPN блокируют ради увеличения прибыли провайдеров, а уже во вторую очередь ради борьбы с нелегальщиной.

внутри страны проблемы с ВПН могут быть только из-за каких-либо ковровых блокировок. в таком случае нужно обращаться к провайдеру как организация и говорить что тебе это надо, пусть перестраивают фильтры. есть же белые списки организаций у ркн

А если мне необходимо для легальных целей поднять локальную сеть между разными офисами в разных городах в одной стране, какую технологию VPN использовать?

Если эта страна РФ, то я слышал, что вроде как у РКН есть белые списки организаций, для которых они VPN-трафик не ломают. Попасть в такой список может юр. лицо, при официальном обращении в РКН, и, в некоторых случаях, после - к провайдеру. Но это только слухи.

Вот именно из-за блокировок проблемы есть.

Плачу, но это всё равно не то.

AmneziaWG уже научились блокировать.

Если это DPI фильтр на ТСПУ гадит — не поможет. OpenVPN палится процессом установления соединения, на порты фильтрующая железка вообще не смотрит, она отлавливает начало сессий по любым портам и делает выводы об используемом протоколе на основе анализа нескольких первых пакетов. И если это openvpn, wireguard, l2tp или ipsec — вмешивается в трафик делая работу туннеля невозможной. Выглядит это так: соединение с сервером устанавливается, данные по тоннелю не проходят, тоннель отваливается по таймауту (если он конечно настроен).

Наблюдаю у себя то, что ты описал 1 в 1. А если вместо openvpn использовать протоколы, в которых нет процесса установления соединения как такового, а сразу начинается отправка трафика, зашифрованного алгоритмом AES?

А если мне необходимо для легальных целей поднять локальную сеть между разными офисами в разных городах в одной стране

Если не заработает то стучите по голове прову(провам, если они разные) на вполне легальных основаниях «У меня не работает ваш интернет».
ЗЫ Из личного опыта, сколько-то лет назад одной почти гос конторе прилетало письмо сверху на тему перечислить для чего используется VPN, на каких объектах, к какому прову подключены. Было там что-то про ОПСОСов или нет точно не помню, так как все объекты стационарные и на все заведена опта то вопрос мобильных меня не парил.
Т.е. темой, что vpn используется не только для обхода блокировок, таки озаботились наверху. Насколько наверху не знаю, прилетало толи от департамента ЖКХ, толи от департамента ИТ ДС. Озаботились ли они сами или им с федерального уровня спустили я не интересовался.

Любую. ТСПУ занимаются только трансграничной передачей.

Никакую. Плати провайдеру бабло за белый IP.

А какое отношение белый IP имеет к задаче «поднять локальную сеть между разными офисами в разных городах в одной стране»? Белый IP понадобиться в любом случае. И таки по моей практике для юриков один белый IP выделяют из каробки (при подключении) платить за него не надо.

Плати провайдеру бабло за белый IP.

Плачу, но это всё равно не то.

Какие жадные провы в Мурманске, прям жуть.

А какое отношение белый IP имеет к задаче «поднять локальную сеть между разными офисами в разных городах в одной стране»?

Если у всех устройств, которые автор хочет подсоединить к своей локале, будут белые IP, то тогда и сама локалка не понадобится.

Если у всех устройств, которые автор хочет подсоединить к своей локале, будут белые IP, то тогда и сама локалка не понадобится.

Ну допустим у всех устройств белые ip, но вот беда, ТС легче не стало. Предлагаю наморщить ум и догадаться, что именно я имею ввиду.

Да, однажды оно отвалилось, но мне удалось подобрать новые параметры по мануалу. Пока вроде работает. Но кардинально проблему не решает, да. Вот это в текущий момент ещё пенетрирует:

Jc = 3
Jmin = 40
Jmax = 70
S1 = 0
S2 = 0
H1 = 1
H2 = 2
H3 = 3
H4 = 4

Обфускацию OpenVPN двумя разными способами и альтернативные IP для подключения они завезли, над внедрением Амнезии в свои VPN клиенты думают, тикет в работе, но не в приоритете. Убедить их в нужности VRAY пока не удалось...

И правильно делает. И зачем? Трафик от wg можно направить на любой локальный порт, где его ловит https туннель.

Ну да. Собственно они прямо об этом и пишут, мол экономка должна быть экономкой протокол должен оставаться простым и «чистым», задачи обфускации решаются внешними методами. Понять, простить. Я тащемто с ними согласен.

Если эта страна РФ, то я слышал, что вроде как у РКН есть белые списки организаций, для которых они VPN-трафик не ломают. Попасть в такой список может юр. лицо, при официальном обращении в РКН, и, в некоторых случаях, после - к провайдеру. Но это только слухи.

Есть такое. Но нужно документально обосновать зачем твоей конторе это нужно, например подтвердить официально наличие заграничных офисов\филиалов или работающих «за рубежом» сотрудников. И совершенно непредсказуемо как там в дальнейшем это повернётся в отношении лиц физических и юридических.

А если мне необходимо для легальных целей поднять локальную сеть между разными офисами в разных городах в одной стране, какую технологию VPN использовать?

Любую тащемто. Внутри страны проблем быть не должно. Если они есть — это косяк провайдера. Пинайте техподдержку, отказываются решать — пинайте министерство, оно провайдера отымеет грозной бумажкой. Это реально работает кстати.

Плати провайдеру бабло за белый IP.

У кого чего болит, тот о том и говорит. Ни при чём тут белый IP, ну вот вообще. У меня все IP белые, толку то. Насчёт прибылей ты бредишь, у провайдера от этих блокировок сплошная убыль, технический головняк, возросшее давление на саппорт и перебегающие к конкурентам в поисках «лучшей жизни» абоненты. Провайдеры «в позе рака» стоят и всей этой ситуации мягко говоря не рады.

Спрошу тут чтобы тем не плодить.
AmneziaWG вроде в userspace работает, сильно оно медленнее обычного WG?

протокол должен оставаться простым и «чистым», задачи обфускации решаются внешними методами.

Да, wg хорош своей простотой, хорошо решает свою одну задачу. Я к нему прикостылил wstunnel, работает без проблем

Не обязательно в юзерспейс. Их гуёвый клиент юзерспейсную реализацию пускает, но никто не запрещает собрать ядрёный модуль и пользоваться awg-quick из amnezia-tools вместо гуйни. Модуль называется amneziawg, со штатным модулем не пересекается, можно оба одновременно юзать например. Насчёт скорости ничего не скажу, на 100mbit канале я разницы не вижу... И думаю разницу нужно не в скорости искать, а в нагрузке на камень.

А если мне необходимо для легальных целей поднять локальную сеть между разными офисами в разных городах в одной стране, какую технологию VPN использовать?

услуга VPN от «Ростелекома»

V2RAY/XRAY

Всё бы ничего, да это скорее туннель точка-точка, причем весьма ограниченный в применении (socks прокси). Впном эта штука не является.

Это является VPNом в терминологическом смысле. Соединение точка-точка тоже вполне себе network, виртуальная и приватная. Тебе именно multipoint VPN важен?

Не является, конечно. Интерфейсов нет, L3 повесить не на что.

Я видимо невнимательно читал про них. Если интерфейса нет, и это просто висящий на порту носок, то конечно это не VPN, это прокси. Но что мешает в этот носок любой «настоящий» VPN завернуть тогда, wg, openvpn, да хоть чёрта лысого. Там же основная фишка как я понял в том, что для наблюдателя «в середине» соединение выглядит как легитимный коннект с каким либо разрешённым цензурой сайтом.

В теории - ничего, на практике я не пробовал. Ну, допустим, роутер уже не всякий вытащит эту красоту, а из тех что вытащат - не все вытащат с приемлемой производительностью. Да и подключаться нетривиально.

Под OpenWRT вроде как реализации есть. Насколько это нагрузит роутер — я не знаю, нужно тестить. Думаю если станет актуально Кинетик в своих прошивках это реализует. Амнезию они весьма быстро добавили.

Я как-то ради интереса поднимал на роутере с 128МБ рамы v2ray - это трэшанина, ему памяти банально мало, падает. Но да, есть амнезия, в предудыщих тредах еще xt_wgobfs упоминали - выглядит более перспективно и менее монструозно.

Не подходит. Устройств очень много. Некоторые подключены к интернету из локальной сети другой организации, некоторые через SIM МегаФон.

Ну ты просто поставь VPN АХАХАХАХА

Это скорее обёртка для того же OpenVPN.

услуга VPN от «Ростелекома»

А что в неё включено? Обещание не блокировать протоколы которые используются для vpn? Обещание добазариться с провом другой стороны, чтобы они тоже не блокировали? Обещание добазариться со всеми провоми в цепочке? Что-то ещё ?

Почему? SOCKS5 самостоятельно вполне себе нормально работает

Там как настроишь, так и будет. Можно носком торчать, можно сразу порт выставлять и к нему как с серверу подключаться.

Короче. openvpn хоть tcp, хоть udp на любом порту блокируется, wireguard тоже блокируется. amnezia не пробовал, странный там способ установки на сервер, нужно давать ssh-доступ установщику. Что не блокируется - это openvpn внутри ssh-тоннеля. РКН не совсем дураки, чтобы ssh блокировать, я думаю эту лазейку оставят. Возможно ещё socks5, но не пробовал.

Я писал в тп провайдера, посоветовали обращаться в Роскомнадзор за разъяснениями. Кстати кажется ни в одной официальной публикации Роскомнадзора не сказано о блокировке openvpn и wireguard. И к чему интересно ркн всех склоняет, чтобы отказывались от свободного openvpn в пользу проприетарного vipnet?

Плати провайдеру бабло за белый IP

как оно поможет? у меня белый статический ИП, впн блокируют всем, но пока не всегда успешно, поэтому у некоторых всё ещё работает

А с чего ты решил что склоняет тебя к чему то именно РКН? И с чего ты решил что нужны какие то официальные публикации где то?