Есть сервер, к которому подключаются пользователи по различным протоколам (РФ<->РФ, поэтому и wireguard и openvpn и, теоретически, всё, что угодно), есть желание как-то защититься от потенциального active probing’а/сканирования (openvpn на стандартном 1194/udp - это же чёткий сигнал, что это vpn сервер).
Для tcp таким портом, как известно, выступает 443, туда можно удобно всё замультиплексировать с помощью haproxy/stunnel/sslh (заодно и ssh, кстати, чтобы туда боты не ломились - а то у меня они его обнаруживают даже на нестандартном порту ;(( ).
Кажется разумным аналогичным образом поступить с UDP..
Как думаете, куда лучше udp пристроить? 53 порт а-ля DNS? 21 (ftp)? smtp/pop3? Где там нынче больше всего данных по udp качают?
PS1 Про port knocking в курсе, но пользователей этим напрягать неохота, плюс это наверно убъёт always-on vpn в андроиде(?), т.к. надо будет сначала выключить ВПН, чтобы постучаться, а потом включить
PS2 Понятно, что если будут перехватывать и анализировать трафик, то это не спасёт - т.е. нужно, чтобы только “выглядело прилично“
UPD: тупо 80/udp или 443/udp, делая вид, что там QUIC?
Все низкие порты сканируются публичными сервисами, если повесить туда овпн то его 100% найдут и на censys будет публично написано. Высокие порты типа 47ххх сканируются меньше. В любом случае это вам ничего не даст, точечных блокировок (кроме тор) ркн не делает, даже если у вас палится десяток впн протоколов на родных портах
Идея в том, чтобы на этом порту по умолчанию отвечал именно “родной“ сервис, т.е. на 443 будет nginx - неужели этот censys сканирует все порты <1024 всеми доступными протоколами? Если нет, то не должен обнаружить…
Да, это скорее перестраховка на случай, если вдруг такие точечные блокировки начнутся.
И dpi уже умеет триггериться после попыток доступа к запрещенным сервисам (блок всего hetzner после попыток в udp трафик). Актив пробинг ркну просто не нужен.
Поэтому пользуйтесь тем что работает не парясь, либо пробрасывайте туннель (порт опенвпн) через vless+tls+finger chrome+port443+nginx (я не вижу схемы которая менее похожа на впн трафик), хотя с ркн неизвестно, они могут и https внезапно блокнуть а остальные протоколы оставить
Спасибо всем! Наверно действительно большого смысла запариваться нет (в конце концов в данный момент работает как есть). Ради интереса потом попробую, наверно, на 443 udp запихнуть, включив сначала HTTP/3 в nginx.
