Смысл, ты уже спалился.

stunnel

	
SSL Tunnel are done with stunnel, a multiplatform SSL Tunneling Proxy, open-source released under
GNU GPL 2 license.
Under Windows we provide a portable .zip version.

Secure Sockets Layer (SSL), are cryptographic protocols that provide communication security over the Internet. OpenVPN is already a VPN solution based on SSL/TLS. However, Deep Packet Inspection lets your ISP recognize the you are using an OpenVPN connection. Adding an additional SSL to connect OpenVPN over SSL is useful in all cases in which you wish to have all the security and features of OpenVPN, while at the same time you don't want to let your ISP know that you're using OpenVPN, at the price of a performance hit.

Advantages:

    OpenVPN typical fingerprint can not be detected anymore. Useful if you live in a country which tries to disrupt OpenVPN connections when detected.
    Contrarily to a «classic» SSL tunnel, there's no need to configure each application in order to have it tunneled.

Disadvantages:

    Performance hit

сорри, это был ответ TCу

очевидно, что единственный вариант — это дропать всё кроме определенных айпишников.
как намутить ограниченное кол-во айпишников для мобильных клиентов уже другой вопрос.

Интересно. Правда вроде это ориентировано против DPI, но vpn у людей похоже банили просто после сканирования. И вот этого я не понимаю. Вроде бы какого-то ответа сервера без валидного сертификата или пароля вообще нет, соединение тупо разрывается.

- использовать «нормального» хостера

- port knocking

- ограничение доступа по ип/подсетям

да куча вариантов

Да здравствует Чебурнет товарищи! Ура! Ура! Ура!

- использовать «нормального» хостера

заканчиваются, их активно банят

- ограничение доступа по ип/подсетям

а мобильник без vpn-а пускать ? или в мобильный интернет не ходить, а как же публичные сети.

очевидно, что единственный вариант — это дропать всё кроме определенных айпишников.

К сожалению не вариант, именно потому что

как намутить ограниченное кол-во айпишников для мобильных клиентов уже другой вопрос.

А также бывает нужно выходить через разные wi-fi в разных местах. Притом не для обхода даже блокировок, а для безопасности от владельцев точек.

Да и просто нет гарантий, что IP сохранятся. Статика нынче не везде. Можно самого себя заблокировать.

если айпишник не откликается, то вреда не будет от его блокировки

а мобильник без vpn-а пускать ? или в мобильный интернет не ходить, а как же публичные сети.

https://en.wikipedia.org/wiki/Port_knocking

The primary purpose of port knocking is to prevent an attacker from scanning a system for potentially exploitable services by doing a port scan, because unless the attacker sends the correct knock sequence, the protected ports will appear closed.

Зачем ты сопротивляешься?

Как скрыть факт наличия прокси/vpn

openvpn stunnel openvpn over shadowsocks openvpn xor patch openvpn over obfsproxy

Как скрыть факт наличия прокси/vpn (комментарий)

port-knocking

надо просто сделать приложение для телефона или поглядеть, что уже есть.

openvpn stunnel, openvpn over shadowsocks, openvpn xor patch, openvpn over obfsproxy

для чужих обратившихся к твоему vps надо открывать сайт-визитку

- port knocking

Почитал по диагонали про port knocking

Вроде очень неплохая штука, но как я уже вижу с проблемами.

Вопрос все же еще и о том, как они умудряются так четко палить запароленные сервисы и нельзя ли тут что подкрутить.

и нельзя ли тут что подкрутить.

да банить надо роботов, которые сканят. Не защищаться, а нападать :)

stunel/sstp со стороны провайдера выглядят как https соединение

да банить надо роботов, которые сканят. Не защищаться, а нападать :)

Не так просто как кажется. Сканировать могут распределенно, а банить всех, кто пробовал подключиться глупо, можно и себя так забанить. Если же ввести исключение для отдельных IP, так проще сразу пытаться белые IP для сервера ставить.

Гм по ссылке если я правильно понимаю сканируют на предмет ОТКРЫТЫХ проксей/vpn ?

ну значит будет чербурнет, лол. А телеграм продолжит работать

Да речь сейчас даже не о том, как это со стороны провайдера выглядит, а что каким-то образом умудряются просто сканированием выявлять. Ну вот я проделал эксперимент, подключился телнетом к запароленному vpn. Тупо черный экран и ничего, через некоторое время соединение закрыто. Что они могли выявить не очень понимаю, но что-то выявили же или пострадавшие чего-то не договаривают.

подключился телнетом к запароленному vpn. Тупо черный экран и ничего,

так ты пошли туда приветствие openvpn, оно и ответит соответстввующе. Вот stunnel позволяет маскировать под https. Вешаешь на 443 порт и всё

Что ты под словом открытых имеешь ввиду? Если публичных, то как раз необязательно. Пошли жалобы владельцев своих частных запароленных проксей/vpn через которые только они ходили или даже не ходили.

«сканируется интернет на предмет прокси и VPN сервисов, позволяющих получить доступ к Telegram.» А как это достигается технически? Что за сканер такой ? - через который видно, что в vpn туннеле идет коннект к серверам telegram. Или они вообще всех хостеров банят, т.к. там могут быть средства анонимизации?

а что каким-то образом умудряются просто сканированием выявлять

сканируют пользовательский трафик и смотрят не похожли он на ipsec/pptp/l2pt/opnvpn и блокируют адрес назначения. У меня на домашнем роутере несколько vpn, пока все норм.

Ну вот я проделал эксперимент, подключился телнетом к запароленному vpn.

Телнетом? Меняй пароль, ну так на всякий случай.

Тупо черный экран и ничего, через некоторое время соединение закрыто.

Бред какой-то, а что за провайдер?

так ты пошли туда приветствие openvpn, оно и ответит соответстввующе.

Не пробовал. Точно специальное приветствие будет? Ну тогда ясно, конечно.

Вот stunnel позволяет маскировать под https. Вешаешь на 443 порт и всё

Уменьшает производительность, о чем вроде прямо сказано.

Просто думаю можно ли взять готовый или доработать vpn-сервер, чтобы никаких открытых приветствий не было. Не пойму даже почему так не сделали.

IMHO достаточно просто поставить на нестандартные порты - вряд ли кто будет сканировать все подряд

сканируют пользовательский трафик и смотрят не похожли он на ipsec/pptp/l2pt/opnvpn и блокируют адрес назначения. У меня на домашнем роутере несколько vpn, пока все норм.

Они (пока что) физически не могут пользовательский трафик сканировать. Они порты у хостера сканируют.

Телнетом? Меняй пароль, ну так на всякий случай.

А при чем тут пароль, я его даже не вводил, просто способ посмотреть на открытый порт.

Бред какой-то, а что за провайдер?

А что должно быть?

Минкомсвязи: Россия не намерена создавать свой файрвол по примеру китайского

Заместитель министра связи и массовых коммуникаций России Алексей Волин опроверг сообщения о намерениях правительства создать российский файрвол (сетевой фильтр) по блокировке доступа жителей страны к части интернет-ресурсов по примеру существующего в Китае.

«Это пустые опасения. При том, что мы активно дружим с Китаем и обмениваемся информацией по поводу развития медиарынка, — заявил Волин агентству “РИА Новости”.— Мы всегда исходили из того, что Россия есть Россия, Китай есть Китай. Мы никогда не пойдем по китайскому пути в отношении интернета. У нас свой российский путь и никакой речи о создании российского файрвола сегодня не идет».

Алексей Волин также напомнил, что создание подобного файрвола требует значительных финансовых вложений.

«Надо помнить о том, что штука эта крайне дорогая и затратная. Более того, находясь в Китае, могу точно сказать, что любой человек, у кого будет желание получить доступ к запрещенным в Китае интернет-ресурсам в течение 7 минут, этот доступ получит без всяких проблем.»

- новость https://news.mail.ru/politics/33293904/

Ты читал исходный пост? Говорят, что и на нестандартном нашли.

ну поставь туда что-то нестандартное например shadowsocks или softethervpn или вообще wireguard.

А что должно быть?

Ничего не должно быть

Они порты у хостера сканируют.

И определяют какой сервис там висит?

или проксируй openvpn через nginx с авторизацей

в печь. Они просто не осилят, зато поднасрать всегда могут

интересно на сколько скорость просядет при таком способе.

Мы никогда не пойдем по китайскому пути в отношении интернета

Я правильно понял, что выбран путь КНДР, а не Китая?

Socks5 over ssh.

ssh -f -N -D 127.0.0.1:1080 sshtunnel@vps-ip -p 22

нинасколько

Можно ещё по объёму трафика отследить. Это если через vpn что-то активно качают.

Ну ничего и нет.

Когда говорят «мы никогда» нередко это означает, что уже думают над этим.

OpenVPN с опциями tls-auth или tls-crypt по UDP так не насканишь т.к. оно игнорирует пакеты, которые не подписаны/не зашифрованы конкретным ключем.

Покупай у провайдера белый статистический IP и бань все остальные IP, отличные от твоего. Рандомный IP пускать только по ssh, если его запретят, то и доступа к серверам не будет. Будет Северная Корея.

Но от РКН это не спасет. Они уже банят подсети по маскам /10.

В течении пары лет перейдут на /0 и белые списки.

Скрывай / не скрывай, а всё равно ты, как на ладоне.

Почитай, что такое netflow, fingerprinting и dpi.

PS: нестандатрные порты — карго-культ мамкиных какиров, не слушай их. Ничего они не дают.

дефолтный порт, сигнатура начала соединения и всё такое

Вот в Китае, предположительно, великий файервол банит неопознанные соединения, если по ним регулярно идёт много трафика. Т.е. сначала всё работает, а потом скорость падает в 0 и впн превращается в тыкву