Блокировка VPN-протоколов на ТСПУ (05.08.2023 - xx.xx.202x)

Internet censorship all around the world Russia
7

Блокируют, по-видимому, все популярные стандартизированные (корпоративные) VPN-протоколы на части провайдеров и в особенности мобильных операторов, возможно, по географической принадлежности AS: если диапазон закреплён не за Россией, то соединение подвергается фильтрации. VPN из-за рубежа внутрь России продолжает работать. Для тестов установил свежую VPS у Ramnode, но проверял не только на ней.

Для всех VPN-протоколов, кроме L2TP, сначала выполняется обнаружение протокола, затем «проверка» протокола (проверка ответа или мониторинг нескольких пакетов в TCP/UDP-сессии), затем происходит разрыв сессии (TCP) или блокировка прохождения трафика по связке srcip-srcport-dstip-dstport (UDP).

Мобильный Теле2 Санкт-Петербург:

  • L2TP (UDP 1701, без IPsec): пакеты L2TP Control Message (самые первые пакеты сессии) не доходят до сервера на порт 1701
  • IPsec (UDP 500/4500): блокируется прохождение UDP-пакетов после нескольких переданных пакетов во время установления сессии
  • PPTP (TCP 1723): разрывается TCP-соединение после отправки сервером ответа Start-Control-Connection-Reply на первый пакет в сессии Start-Control-Connection-Request, до установки GRE-туннеля не доходит
  • OpenVPN UDP: блокируется прохождение UDP-пакетов после нескольких переданных пакетов DATA после установки сессии
  • OpenVPN TCP: разрывается TCP-соединение после нескольких переданных пакетов DATA после установки сессии
  • WireGuard: блокируется прохождение UDP-пакетов после 5 принятых пакетов данных (Transport Data) с сервера

Проводной МТС Кузбасс:

  • Блокируется только OpenVPN UDP/TCP, L2TP, WireGuard, но не PPTP и IPsec
  • L2TP, в отличие от Теле2, доставляет пакеты на сервер, но ответы сервера блокируются
  • WireGuard: блокируется прохождение UDP-пакетов после первого пакета данных (Transport Data) с сервера

Блокировки отличаются от тех, какие применяют для коммерческих VPN-сервисов (вроде ProtonVPN, Windscribe): их фильтруют с самого первого пакета, не позволяя сессии установиться.

Также возможно, на мобильном Ростелекоме правила блокировки иные. Напишите ЛС, кто сможет предоставить канал через компьютер.

08.08.2023-vpn-censorship-test-russia.zip (33.2 KB)

Обойти блокировку сравнительно просто, достаточно нарушить начальное определение протокола, пример для WireGuard: 1, 2.