Туннели которые прикидываются http/imap/ftp

ssh сам по себе может быть как vpn, интересно твоё утверждение что по ssh OpenVpn не работал, это загадачно, что с WireGuard?

Ssh работал в зависимости от провайдера, где-то да, где-то нет.
Да, openvpn через ssh не работал, не буду гадать, почему. Openvpn со включённым tls-crypt, через ssh работало, но не везде.
Wireguard не работал как и все udp, см выше.
Да, есть ssh tun, но это не имеет смысла когда ssh не работает.

что есть «openvpn через ssh»?
и какая разница с точки зрения трафика между «openvpn через ssh» и «Openvpn со включённым tls-crypt, через ssh»?

что есть «openvpn через ssh»?

Пускаешь локально ssh клиент, с ключом -D, он выступает как socks сервер, через который ты лезешь openvpn клиентом.

и какая разница с точки зрения трафика между «openvpn через ssh» и «Openvpn со включённым tls-crypt, через ssh»?

С точки зрения dpi? Хз. Вот только 1 не работало, а 2 таки да. Может у меня руки кривые, но у меня такие наблюдения.

а всякие тунели типа 6to4 не работали? в РФ пока прокатывает, но надо чтоб целевые сайты умели ipv6.

Что говорит пакетный менеджер?

Гмм, не в курсе. Встречал инфу, что ipv6 было отключено полностью, но точно не скажу. Тут оно ipv6 и так редко встречается на провайдерах.

6to4 оно как раз для этого и нужно. У меня тоже нет ipv6, взял тунель от hurricane electric и обнаружил что заблокированный linkedin работает.

но в /etc/gai.conf надо только ipv6 предпочесть, чтоб сначала его использовал.

Пускаешь локально ssh клиент, с ключом -D, он выступает как socks сервер, через который ты лезешь openvpn клиентом.

ssh -D работал, а openvpn через него уже нет? Это на руки похоже или с dns чего-то.

Shadowsocks + v2ray, можно заворотом через cloudflare для частичной защиты от бана по IP

SoftEther VPN умеет через ICMP и DNS.

ssh -D работал, а openvpn через него уже нет? Это на руки похоже или с dns чего-то.

Частенько такое наблюдал подобное, но не с -D, а с -L, когда преступники из спецслужб блокировали мои соединения.

Помогло только сначала завертывание SSH в obfsproxy иначе все редиректы глохли через сколько-то секунд/минут/кбайт.

через ICMP и DNS.

ну и как скорость? лучший результат по DNS 10KB/s.
https://xakep.ru/2018/09/07/dns-tunneling/#toc02.

Shadowsocks

не работало на некоторых провайдерах, проверял в Gost, у него ss:// протокол для клиента и сервера.

Еще раз для неосиливши ОП-пост — хацкерные протоколы не работали, типа shadowsocks и замороченного tcp,obfs. Точно работало то, что прикидывалось обычным валидным TCP протоколом — HTTP, IMAP, FTP. Поэтому я и написал просьбу накидать «camouflage proxy», ( да, оно так называется). Пока только нашел таковые на основе HTTP и websockets.

Поэтому я и написал просьбу накидать «camouflage proxy», ( да, оно так называется). Пока только нашел таковые на основе HTTP и websockets.

Огласите, пожалуйста, весь список.

И как преодолевать таргетированные блокировки до своих серверов через камуфляж? Можно ли их проксировать через паблик прокси? Наверно DPI нетрудно отлавливать проксированные соединения через разные прокси но до одного и того же целевого адреса?

Огласите, пожалуйста, весь список.

Chisel, Gost (там http:// протокол, а не все множество), Stegotorus (не пробовал). Это все эмуляция HTTP клиент/сервер. А поверх этого проброс TCP порта.

И как преодолевать таргетированные блокировки до своих серверов через камуфляж?

А таргетированных и не было, интернет «в принципе» работал, только «частично». Да, если таргетированно заблокировано по IP, тады ой.

Ну и эффект неуловимого Джо — эти софтины (chisel, gost) малоизвестны, это им помогает мимикрировать.

Можно ли их проксировать через паблик прокси?

Мхмм, наверное да, ведь это обычный HTTP : GET/CONNECT

Наверно DPI нетрудно отлавливать проксированные соединения через разные прокси но до одного и того же целевого адреса?

ну наверное, но у меня оно (Chisel, Gost) работало без проксей, через свои сервера. Конечно, если внедрить это в какой-то вундерVPN, то там будет фиксированный набор серверов и их можно отдетектить и заблочить.

Тебе ж сказали - не голый ss, а через v2ray. Оно делает именно то, что ты хочешь.

не голый ss, а через v2ray

и что оно делает? v2ray обычная мультипротокольная прокся. Ну, умеет в HTTP, ок, я выше 2 похожих перечислил. В чем прикол?

P.S. у v2ray увидел 2 киллер фичи - умеет авто переключаться между серверами/методами и умеет роутить разные Ip на разные сервера/напрямую.

Ну, умеет в HTTP, ок, я выше 2 похожих перечислил. В чем прикол?

Так ты вроде это и просил. Я просто шел мимо и увидел что ты путаешь ss + v2ray плагин с голым ss.

https://github.com/shadowsocks/v2ray-plugin

https://github.com/russian-meshnet/shadowsocks-v2ray-cdn

А, ты имап просил, тогда извиняюсь. Но я думаю ссылки выше тебе хватит. Ну а это видел? https://ntc.party/t/topic/599 но имхо колхоз

ssh -D работал, а openvpn через него уже нет? Это на руки похоже или с dns чего-то.

одна бабка мне говорила, что они в DPI научились использовать статистику по трафику для оценки соединения.

Т.е. если начать качать гигабайты в обе стороны через 993/tls например, то его срубят довольно быстро.

А, ты имап просил, тогда извиняюсь.

да, я просил проксю на основе чего-то кроме HTTP. Какой-то обычный протокол с долгими сессиями ( FTP, IMAP .. ).

Образ маскирует интернет-трафик под скачивание почты с Gmail (протокол IMAP с шифрованием, TLS-запросы на imap.gmail.com, порт 993

Опа, а вот это интересно. Правда смущает IMAPS (TLS), TLS может не быть. Ну хоть что-то. Спасибо. Valdikss респект.

P.S. lol, у него там в бэкенде не IMAP+TLS, а HTTPS , правда на порт 993 ну и TLS SNI imap.gmail.com. Все, расходимся.

Т.е. если начать качать гигабайты в обе стороны через 993/tls например, то его срубят довольно быстро.

У меня openvpn через ssh -D даже хендшейк произвести не мог, не то что гигабайты качать.. Добавил tls-crypt к openvpn - взлетело. ХЗ как они это делают.

У меня openvpn через ssh -D даже хендшейк произвести не мог, не то что гигабайты качать.. Добавил tls-crypt к openvpn - взлетело. ХЗ как они это делают.

Я могу поверить, что могут учесть объем трафика через ssh -D и решить, что если он явно больше управляющего, то и глушить. Но вот, чтобы даже сконнектиться не мог не верится. Или руки или какой-то особенности работы openvpn не учли.

А вообще у меня впечатление, что для преодоления продвинутых DPI надо делать собственные неизвестные модификации протоколов и не рассказывать о них, по крайней мере широко, чтобы не дошло до разработчиков или админов DPI.

Не обязательно с большим количеством своего кода, за базу можно и даже нужно брать уже лучшие готовые отлаженные, конечно.

Или руки

возможно. сейчас уже проверить нельзя, интернет включили давно как.

А вообще у меня впечатление, что для преодоления продвинутых DPI надо делать собственные неизвестные модификации протоколов и не рассказывать о них, по крайней мере широко, чтобы не дошло до разработчиков или админов DPI. Не обязательно с большим количеством своего кода, за базу можно и даже нужно брать уже лучшие готовые отлаженные, конечно.

С моей точки зрения нужно заранее позаботиться и сделать сервис для преодоления подобных блокировок, который в том числе будет уметь следующее:

1. Автоматически плодить сервера, т.е. с помощью ZennoPoster, Terraform и т.п. региться на бесплатных VPS, облачных сервисах и развертывать на них нужные сервисы анонимизации и комуфляжа по простой трудноблокируемой команде, на выходе он должен выдавать инфу типа IP:login:pass и т.п.

2. Нужно создать софт для автоматической установки на одноплатники Cortex A7 )+ OpenBSD (без SPECTRE и интель жучков), чтобы любой добропорядочный школьник мог поставить это на одноплатник одним кликом.

Софт должен включать следующие возможности:

1. Несколько вариантов комуфляжа, обфускации, туннелирования
2. Многократное дублирование каналов если режут часть провайдеров, чтобы продолжал работать через остальных
3. Доступ к серверам по аппаратным ключам Nitrokey
4. Удобная панель управления как для создания пачки новых серверов на разных IP разных хостеров, так и для всех остальных возможностей.
5. Возможность легко выбирать и комбинировать используемые способы комуфляжа+обфускации+туннелирования, причем как по шаблону пользователя, так и случайным образом, тоже по шаблону, но внося рандомность в часть настроек, причем можно сделать так, чтобы настройки постоянно мутировали через рандомный промежуток времени.
6. При развертывании серверов должен тоже использоваться рандомный фактор, чтобы серверные VPS мутировали и были труднообнаружимы автоматическими сканерами на зарубежных серверах, потому что наивно думать, что Белорусы заблокировали это все сами без иностранной помощи, это ЗОГ отлаживает блокировки для «Разделяй и властвуй» для наживы на своей монопольной спекуляции между странами и отделения запада в некий другой мир.

Т.е. сам софт ессно только в качестве автоматического админа, а для комуфляжа, обфускации и туннелирования конечно же использовать уже готовые сетевые софтины, чтобы солянку из них могла сварить любая домохозяйка одним кликом, чтобы сама идея блокировки была полностью бессмысленной и противоестественной.

Все это конечно здорово, но «не только лишь все» потянут сделать. Чтобы сделать и отладить это хорошая такая работа, если по честному.

Поэтому я и заговорил про самостоятельную модификацию протокола. Заменить что-то в хендшейке и заново скопилировать не так сложно, а большинство dpi уже может на этом обломаться.

Нужно сделать его тиражным и небесплатным, заложенной рандомности хватит для защиты платежеспособной аудитории, малообеспеченные могут покупать такой роутер в складчину и использовать в своем круге друзей.

Ессно кроме проникающей способности нужно снабдить его опцией добавления различных рандомных анонимизаций вплоть до искусственных отпечатков браузера из Зенки или BAS, чтобы все это было абсолютно недетектируемо и неблокируемо кроме как телепатами.

Я (тот, кто это предложил) бы с удовольствием (потому что сам ни раз был несправедливо и незанно блокируем даже для удаленной работы в то время, как все остальные были незаблокированы даже для развлечений и пустого трепа) взялся бы за написание подобного софта за почасовую оплату и с долей в проекте, если найдутся спонсоры и мракетологи для разработки его монетизации и продвижения.

Кроме того можно добавить опцию антимодератор на форумах, когда бы софт сам там регился и держал бы определенные темы всегда в топах с автоматическим пересозданием всех сообщений в случае удаления темы и/или учетки на форуме, автоматические антикапчи и т.п., полная автоматика в пределах доступного (капмонстер, хрум хрум и и т.п.).

Ну вот есть psiphon, можно использовать его инфраструктуру (тогда ограничение по скорости 1.5 мбпс, в бесплатной версии) или поднимать свою на своих серверах. У него именно что хитрая обфускация по многим протоколам и он у нас в Беларуси работал.

из Минска

может кто знает, есть ли туннели

вдоль границ можно поискать, контрабандисты обычно роют многокилометровые…

Поэтому я пишу не просто Shadowsocks, а Shadowsocks + v2ray

v2ray - плагин, заворачивающий SS в мимикрию под HTTPS. Теоретически оно даже в качестве отдельного транспорта может использоваться, но я пишу о решении, которым пользовался сам.

Ну, умеет в HTTP, ок, я выше 2 похожих перечислил. В чем прикол?

Во-первых, надо всё-таки различать HTTP и HTTPS. Любой нешифрованный протокол может быть распарсен DPI на предмет нецелевого использования. Именно поэтому, с появлением DPI основным транспортом для маскировки стал HTTPS(и TLS вообще), в котором нельзя считать содержимое пакетов и проанализировать используется ли протокол по назначению или для проксирования.

Во-вторых именно для связки ss+v2ray были инструкции, позволяющие использовать cloudflare как дополнительный промежуточный сервер. Что усложняет блокировки по IP - ведь на том же адресе находятся и другие полезные сайты.

И да, HTTPS на сегодня основной интернет траффик, поэтому кроме совсем странных случаев вероятнее отключение (вмешательство в работу) других протоколов.

http точно , возможно websockets

Можно взять Shadowsocks (он на питоне) и сделать передачу через ws, возможно DPI и не спалит.

Я в свое время делал через штопор на 443 порту. Но скороть адова была.

Если у каждого неуловимого Джо свой сервер, шанс таргетированной блокировки очень мал.

Именно поэтому, с появлением DPI основным транспортом для маскировки стал HTTPS(и TLS вообще), в котором нельзя считать содержимое пакетов и проанализировать используется ли протокол по назначению или для проксирования.

Всю жизь спецслужбы занимались незаметным MITM SSL трафа прямо на узлах провайдеров, а тут вдруг хопа и нельзя считать содержимое пакетов, как они докатились до такого? Или вы проверяете отпечаток серверного ключа?

Попробуй обмануть DPI, фрагментируя пакеты

https://github.com/bol-van/zapret

под офтопик: https://github.com/ValdikSS/GoodbyeDPI

Для того, чтобы сделать MITM SSL надо иметь (иметь возможность выпустить) закрытый ключ сертификата для сервера. Это то, что собирались делать в Казахстане, но у них не получилось.

Так что если не страдать паранойей в духе «все власти в сговоре и имеют доступ к закрытым ключам корневых сертификатов» - они таки не могут MITM SSL.

HTTPS на сегодня основной интернет траффик, поэтому кроме совсем странных случаев вероятнее отключение (вмешательство в работу) других протоколов.

именно HTTPS и пошёл под DPI-рубильник в Беларуси. /0 читать не пробовал?

https://thinktanks.by/publication/2020/08/09/belorusskuyu-versiyu-sayta-platf...

и там был https, да

1. На нескольких провайдерах https не работал вообще весь, читай тред и оп-пост, а http работал. Поэтому твои советы про https не имеют смысла.
2. Их dpi ещё не доросла до блокирования http энкапсуляции, оно работало. Вангую, что и imap, ftp бы тоже прокатило.

Вот воистину: каждый генерал готовится к прошедшей войне…

В качестве системного подхода блокировка https при возможности инкапсуляции в нешифрованные протоколы - это что-то из области анекдота. Это могло быть разовым результатом криво настроенного блокировщика, но в продолжительном времени любая инкапсуляция в нешифрованные протоколы будет распознаваться и блокироваться (если цель конечно заблокировать, а не запутать).

в продолжительном времени любая инкапсуляция в нешифрованные протоколы будет распознаваться и блокироваться

Доаа, особенно в случае инкапсуляции внутри стеганографии.

На уровне isp тупо спуфнули днс запись и поставили http заглушку. Вот и вся магия. Без подмены ключей. Наверное у повторных посетителей браузер ругался на hsts.