Блокировка сайта VPN Gate

Заблокирован сайт vpngate.net со списком vpn серверов от волонтеров. Блокировка датируется началом августа. Тип блокировки похож на реестровый (без url: адрес с доменом), но в реестре сайт не обнаружен.

Блокируют на ТСПУ.
https://bitbucket.org/anticensority/russian-unlisted-blocks/src/master/readme.txt

На мобильном операторе Мегафон сайт vpngate.net не открывается даже через GoodbyeDPI.

Большую часть IP-адресов сайта блокируют через RST/ACK, оставшиеся – прежним способом (похож на реестровую блокировку rutracker и др.)

Блокируют сертификаты используемые серверами участников. Пострадал протокол SoftEther на 443 порту без поддержки TLSv1.3.
Возможно задели другие порты и/или протоколы (OpenVPN при обмене ключами c использованием TLSv1.2)

Что насчет SoftEther UDP? Он тоже использует сертификаты? Вроде ему нет нужды маскироваться под TCP. Под QUIC он тоже не косит.

Ethernet over UDP это Ethernet over HTTPS over UDP (TCP-over-UDP) c обфускацией. При желании сертификат можно расшифровать из сетевого трафика, но это же не QUIC. За всеми обфускаторами не угонишься. Вероятно для собранных адресов есть дополнительные блокировки. Например блокируют весь UDP, поскольку порты случайные, или что-то еще (есть где зацепиться).

Есть приложения где проверенные сервера vpngate добавляют бонусом к своим, если родного под Windows не хватило. Приложение == блокировка.


Похоже бинарник vpngate-client не совпадает с публикуемыми сорцами той же версии.

В коде:

					UINT size_of_padding = 19;

В бинарнике:

					UINT size_of_padding = Rand32() % 19;

Т.е. udp vpngate в фирменной проге тоже не работает? Хоть она и едкая, но… А вы собираете ее? Я собирал линуксовую 5 версию, работает. Но маршрутами надо самому рулить и нет vpngate.
Отличается код, ну может бардак (нет даже доков) или специально для запутывания цензора.

Пока ничего не понятно, но очень интересно. Сертификаты блочат, но неизвестно почему и что за приложение сливает. Сервера участников с SoftEther на 443 поддерживающие TLSv1.3 есть, примерно каждый третий, если японские сервера исключить. Разрыв невелик, чтобы выделять этот признак для блокировки.

Код не должен отличаться, это красный флаг. Они и так вырезали секретные части, отвечающие за скачивание более детального списка, без которого Ethernet over UDP неизвестно куда подключать (порты бывают разные для протоколов, “UDP: Supported” это заглушка)

Найден заблокированный сервер: public-vpn-97.opengw.net. Вероятно, блокировка напрямую связана с VPN Gate, cледов других сервисов не найдено. Блокируют по IP адресу. Другие public-vpn-xxx были доступны, 96 и 98, например, они ничем кроме адреса не отличаются.

del