17 posts were split to a new topic: Обсуждение: Блокировка протоколов для хостеров на части операторов
До дата-центра FRA-01 , Франкфурт-на-Майне, Германия тоже есть проблемы с WireGuard
Подтверждаю, проблемы с wireguard с доступом до hel1-dc2 (Hetzner, Хельсинки).
Блокируют, по-видимому, все популярные стандартизированные (корпоративные) VPN-протоколы на части провайдеров и в особенности мобильных операторов, возможно, по географической принадлежности AS: если диапазон закреплён не за Россией, то соединение подвергается фильтрации. VPN из-за рубежа внутрь России продолжает работать. Для тестов установил свежую VPS у Ramnode, но проверял не только на ней.
Для всех VPN-протоколов, кроме L2TP, сначала выполняется обнаружение протокола, затем «проверка» протокола (проверка ответа или мониторинг нескольких пакетов в TCP/UDP-сессии), затем происходит разрыв сессии (TCP) или блокировка прохождения трафика по связке srcip-srcport-dstip-dstport (UDP).
Мобильный Теле2 Санкт-Петербург:
- L2TP (UDP 1701, без IPsec): пакеты L2TP Control Message (самые первые пакеты сессии) не доходят до сервера на порт 1701
- IPsec (UDP 500/4500): блокируется прохождение UDP-пакетов после нескольких переданных пакетов во время установления сессии
- PPTP (TCP 1723): разрывается TCP-соединение после отправки сервером ответа Start-Control-Connection-Reply на первый пакет в сессии Start-Control-Connection-Request, до установки GRE-туннеля не доходит
- OpenVPN UDP: блокируется прохождение UDP-пакетов после нескольких переданных пакетов DATA после установки сессии
- OpenVPN TCP: разрывается TCP-соединение после нескольких переданных пакетов DATA после установки сессии
- WireGuard: блокируется прохождение UDP-пакетов после 5 принятых пакетов данных (Transport Data) с сервера
Проводной МТС Кузбасс:
- Блокируется только OpenVPN UDP/TCP, L2TP, WireGuard, но не PPTP и IPsec
- L2TP, в отличие от Теле2, доставляет пакеты на сервер, но ответы сервера блокируются
- WireGuard: блокируется прохождение UDP-пакетов после первого пакета данных (Transport Data) с сервера
Блокировки отличаются от тех, какие применяют для коммерческих VPN-сервисов (вроде ProtonVPN, Windscribe): их фильтруют с самого первого пакета, не позволяя сессии установиться.
Также возможно, на мобильном Ростелекоме правила блокировки иные. Напишите ЛС, кто сможет предоставить канал через компьютер.
08.08.2023-vpn-censorship-test-russia.zip (33.2 KB)
Обойти блокировку сравнительно просто, достаточно нарушить начальное определение протокола, пример для WireGuard: 1, 2.
Без каких-либо официальных заявлений провайдеры блокируют весь проходящий через OpenVPN и WireGuard трафик. Пользователи в РФ в течении всего дня сообщают о разрывах соединений у МТС, Мегафона, Билайна, Таттелекома и Дом.ру. У кого-то пока еще работает SSH.
OpenVPN подключает, но блокируется первым P_DATA пакетом, после успешного хэндшейка. WireGuard блокируется для исходящего запроса (message_type = 1).
Правильно ли понимаю, что блокируются только исходящие из РФ соединения? То есть переворотом соединения (сервер Европа → сервер в РФ) можно пока обойти проблему?
Да, верно.
Мобильный Теле2 Санкт-Петербург:
блокируется wireguard в финку, внутри RU не блокируется
обходится nfqws --dpi-desync=fake --dpi-desync-cutoff=d2 --dpi-desync-any-protocol
блокировка идет после нескольких пакетов (первый пинг проходит)
openvpn по udp на тот же финский сервак блокируется после нескольких пингов.
обходится nfqws --dpi-desync=fake --dpi-desync-cutoff=d2 --dpi-desync-any-protocol --dpi-desync-repeats=10 (минимум 6)
IKEv2 с windows 7 на strongswan на том же финском серваке работает без обхода. Используется udp инкапсуляция
Мегафон Татарстан - блокирует OpenVPN и WG до собственного сервера на Scaleway полностью, даже первый пакет не доходит. Порт нестандартный.
Есть идеи на что сигнатура первого пакета завязана и что можно подкрутить в OpenVPN чтобы её не триггерило?
UPD: просто udp пакеты на тот же сервер и порт не режутся, так что это не полный бан udp за рубеж (иначе много чего сломают, те же DNS, игры и телефонию)
Ростелеком Центр (не мобильный). Работает OpenVPN по TCP. Локация серверов NL, IT.
Еле 2 Центр мобильный. WG локация сервера SW - работает.
WG и openVPN на Hetzner в чистом виде из нескольких городов России по мобильному интернету от разных операторов не достучаться, блокируется. По проводу, пока ок.
За ночь поднял xray. По VLESS подключается и даже летает хорошо. Стабильнее WG пока оказалось, смотрю дальше.
- есть клиенты под разные платформы и довольно легко поднимается, настраивается на клиентах
- как понимаю, все могут подключаться по одному QR и отследить пользователей не очень получится, кто законнектился. Может не дочитал документацию до конца
Сняли блокировки, похоже.
На OVH/Scaleway осталось?
Хм, действительно. Спасибо за наводку.
WireGuard в сторону OVH/Scaleway не доходит, OpenVPN также блокируется после нескольких первых пакетов с данными. Остальные площадки, вроде бы, разблокировали.
wg/openvpn на oracle sweden все еще не работает (я тут походу один им пользуюсь, и проблем с ним больше всего…)
Мтс мобильный и домашний, Москва.
Юзаю outline на арендованной виртуалке в Нидерландах, все отлично
VPS с wireguard, наблюдалась выборочность блокировки пользователя, конкретный случай:
Я со своим товарищем, один и тот же свой vpn, оба с android(12 и 9 у него), в обоих случаях 4g билайн, но: у меня работает, у него нет(Send handshake в логах). При подключении к проводной сети через wifi, у него всё начинало работать. Он активно пользуется wg(каждый день, медиа), я нечасто(просто web, 1-3 раза в неделю). Создаётся впечатление чего-то наподобие галочки “vpn-пользователь” у оператора, либо связки пользователь – сервис.
Нашел подтверждение фильтрации по информации в AS, а не диапазоне.
Сеть 185.255.134.0/24 помечена как российская (и действительно находится в России):
inetnum: 185.255.134.0 - 185.255.134.255
org: ORG-FA790-RIPE
netname: FirstByte
country: RU
А AS как британская:
organisation: ORG-FSL27-RIPE
org-name: FIRST SERVER LIMITED
country: GB
VPN в этом диапазоне блокировался, несмотря на трафик россия-россия.
Ростелеком домашний нужен еще?