Обсуждение: Блокировка VPN-протоколов на ТСПУ (05.08.2023 - xx.xx.2024)

Помимо предположений есть что-то? Если это выжимка из комментариев, то такое себе утверждение на данный момент. Отвалы на мобильных операторах, например, так что не полностью “интернет”.

И, нет, это не охранительство, но лишь попытка не разгонять панику.

Вот мой конфиг (клиент под iOS), какие опции разнятся с вашим?

client
dev tun
remote example.com 12345 udp

connect-retry-max 3
resolv-retry 5
tls-timeout 10
hand-window 120
replay-window 256 60

nobind
persist-key
persist-tun
explicit-exit-notify
verb 3

cipher AES-256-CBC
auth SHA512

remote-cert-tls server

<ca>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</ca>

<cert>
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
    Signature Algorithm: sha256WithRSAEncryption
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
        X509v3 extensions:
            X509v3 Basic Constraints: 
                CA:FALSE
            X509v3 Subject Key Identifier: 
            X509v3 Authority Key Identifier: 
            X509v3 Extended Key Usage: 
                TLS Web Client Authentication
            X509v3 Key Usage: 
                Digital Signature
    Signature Algorithm: sha256WithRSAEncryption
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</cert>

<key>
-----BEGIN PRIVATE KEY-----
-----END PRIVATE KEY-----
</key>


<tls-crypt>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
-----END OpenVPN Static key V1-----
</tls-crypt>

Еще раз проверил.
все же блокируется после 7 пингов. утром вроде не было, даже iperf делал, но может я ошибся

лекарство нашел такое : послать 6 или более фейк пакетов (лучше 10 для надежности из-за возможных потерь) с той же связкой ip и портов
в понятиях nfqws это выглядит так : --dpi-desync=fake --dpi-desync-any-protocol --dpi-desync-cutoff=d2 --dpi-desync-repeats=10 --dpi-desync-ttl=3

то есть DPI смотрит в пределах 6 первых пакетов по “соединению”, потом отпускает и добавляет в allow list

то же самое можно сделать с помощью nping, если зафиксировать udp source port в клиенте

Увы, на ios это все проблематично :frowning:

Нашел Packet Generator в AppStore который умеет слать UDP пакеты, отправил несколько - безрезультатно

Важно, чтобы source port совпадал у пингера и клиента. Сначала пингер, затем вскоре клиент (таймаут udp не более неск минут)
Яблочники в их золотой клетке будут страдать первыми.
Опыт Туркменистана показывает, что на яблоке можно использовать openconnect с отключенным udp.
Он примечателен тем, что вся его сессия обернута с самого начала в TLS, и распознать можно или актив пробингом, или фингерпринтом TLS сессии (клиенты используют gnutls). Что пока, скорее всего, не сделано

Возможна ли настройка контейнера Антазапрет для установки на свои ВПС, которая поможет обходить такую блокировку?
Учитывая что публичный Антизапрет у многих работает.

Опыт Туркменистана показывает, что на яблоке можно использовать openconnect с отключенным udp.
Он примечателен тем, что вся его сессия обернута с самого начала в TLS, и распознать можно или актив пробингом

У Openconnect-сервера недавно вышла новая версия 1.2.0 и там теперь есть базовая защита от active probing’а.

А для ios есть openconnect клиент разве?

Для iOS есть оригинальный цисковский AnyConnect-клиент, и он совместим с опенсорсным сервером.

Где-то я тут читал, что кто-то из ОПСОСов не тарифицировал трафик, если абонент сообщал, что это VPN. Похоже, что статистику специально собирали.

Если не ошибаюсь, такая “услуга” с безлимитным впн была у йоты

Могли быть разные ТСПУ (даже если сидели с одной соты).

За несколько часов проверок с разных мест, разницы не было

Еще кстати, на этом же vps/vpn ранее, 5 авг и 26 июл на проводном интернете временно отбрасывались нестандартные порты(кроме 22/80/443), в соседней ветке отписывался подробнее.

Ну что я вам могу сказать, котики. Три дня игр в кошки мышки привели к следующему сетапу - берём у какого-нить российского провайдера самую мелкую VPS’ку, ставим туда любой понравившийся нам протокол. Дальше берём VPS’ку за пределами РФ.

А теперь самое главное - настраиваем между серверами какой-нить не попсовый протокол, благо в открытом доступе их сейчас много больше одного. Ну и дальше всё как по нотам - коннектируемся к эндпоинту в РФ, благо внутри VPN пока не лочат, и по туннелю на свободу с чистой совестью. Пусть и не очень быстро, зато без товарища майора.

Уже несколько дней видно вал жалоб — VPN стали блокировать еще больше и еще лучше, теперь ударили по частным серверам, которые люди поднимают за границей для себя, своих друзей и близких. Блокировка теперь идет «по протоколу» — то есть Роскомнадзор больше не ищет вражеские сервера в интернете, а прямо по характеру подключения понимает, что у вас там внутри нехороший VPN, который надо заблокировать.
В России стали блокировать VPN по протоколам (через DPI). Этот более эффективно, чем блокировка по IP. И тут к слову миллиардер Алишер Усманов хочет с санкций Запада соскочить — а именно он поставлял властям РФ оборудование для DPI-блокировок.

Возможно это был по-прежнему удар по публичным VPN, только более радикальный и эффективный. Ведь количестово пользователей публичных сервисов значительно превышает число владельцев собственных серверов. Количество публичных ВПН наверное измеряется тысячами и появляются все новые. Поэтому выявлять и блокировать каждый непросто, вместо этого эффективнее блокировать сразу протоколы.

Инструкцию - в студию!

Проверяли наличие IKE_AUTH Initiator Request (с полным разбором и проверкой размеров), а блокировали уже после N-следующих датаграмм с любым содержимым. При этом проверяли помимо стандартных портов (которые не меняются через конфиги можно поменять) множество других, но не все.

Похожие проверки, но проверяли еще Message ID. Возможно используют гибрид, разбор после совпадения паттернов.