Заблокирован сайт vpngate.net со списком vpn серверов от волонтеров. Блокировка датируется началом августа. Тип блокировки похож на реестровый (без url: адрес с доменом), но в реестре сайт не обнаружен.
Блокируют на ТСПУ.
https://bitbucket.org/anticensority/russian-unlisted-blocks/src/master/readme.txt
Большую часть IP-адресов сайта блокируют через RST/ACK, оставшиеся – прежним способом (похож на реестровую блокировку rutracker и др.)
Блокируют сертификаты используемые серверами участников. Пострадал протокол SoftEther на 443 порту без поддержки TLSv1.3.
Возможно задели другие порты и/или протоколы (OpenVPN при обмене ключами c использованием TLSv1.2)
Что насчет SoftEther UDP? Он тоже использует сертификаты? Вроде ему нет нужды маскироваться под TCP. Под QUIC он тоже не косит.
Ethernet over UDP это Ethernet over HTTPS over UDP (TCP-over-UDP) c обфускацией. При желании сертификат можно расшифровать из сетевого трафика, но это же не QUIC. За всеми обфускаторами не угонишься. Вероятно для собранных адресов есть дополнительные блокировки. Например блокируют весь UDP, поскольку порты случайные, или что-то еще (есть где зацепиться).
Есть приложения где проверенные сервера vpngate добавляют бонусом к своим, если родного под Windows не хватило. Приложение == блокировка.
Похоже бинарник vpngate-client не совпадает с публикуемыми сорцами той же версии.
В коде:
UINT size_of_padding = 19;
В бинарнике:
UINT size_of_padding = Rand32() % 19;
Т.е. udp vpngate в фирменной проге тоже не работает? Хоть она и едкая, но… А вы собираете ее? Я собирал линуксовую 5 версию, работает. Но маршрутами надо самому рулить и нет vpngate.
Отличается код, ну может бардак (нет даже доков) или специально для запутывания цензора.
Пока ничего не понятно, но очень интересно. Сертификаты блочат, но неизвестно почему и что за приложение сливает. Сервера участников с SoftEther на 443 поддерживающие TLSv1.3 есть, примерно каждый третий, если японские сервера исключить. Разрыв невелик, чтобы выделять этот признак для блокировки.
Код не должен отличаться, это красный флаг. Они и так вырезали секретные части, отвечающие за скачивание более детального списка, без которого Ethernet over UDP неизвестно куда подключать (порты бывают разные для протоколов, “UDP: Supported” это заглушка)
Найден заблокированный сервер: public-vpn-97.opengw.net. Вероятно, блокировка напрямую связана с VPN Gate, cледов других сервисов не найдено. Блокируют по IP адресу. Другие public-vpn-xxx были доступны, 96 и 98, например, они ничем кроме адреса не отличаются.
del
Все стоящие VPN сервера участников проекта заблокированы на ТСПУ. Правила блокировки разные, что указывает на разные источники адресов. У одних блокируют весь транспортный протокол, других – паттерны протоколов. Похоже РКН добрался до приложений категории Б, использующих чужие сервера. Как минимум два мобильных VPN приложения предлагали проверенные сервера взятые у vpngate.
На сайте проекта заявлено 6k серверов онлайн. Блокируют на ТСПУ 3k адресов.
Сертификаты блочат, но неизвестно почему и что за приложение сливает.
Не знаю, как сейчас, но еще буквально год назад SoftEther элементарно детектировался active probing’ом. То есть подключаясь по HTTP к нему и делая запрос на определенный URL, сервер давал очень характерный ответ, позволяющий понять, что там именно SoftEther.