Обсуждение: Блокировка VPN-протоколов на ТСПУ (05.08.2023 - xx.xx.2024)

c5sa · April 17, 2024, 3:36am

Подскажите пожалуйста, где можно про openvpn over xtls почитать? Как настроить такое?

sakontwist · April 17, 2024, 6:50am

Для начала надо запустить работающий канал xtls, вот примеры Xray-examples/VLESS-TCP-XTLS-Vision-REALITY at main · XTLS/Xray-examples · GitHub
Затем на сервере нужно повесить wireguard или openvpn на локальный порт (можно добавить на loopback дополнительный IP или просто на 127.0.0.1)
Затем на клиенте сделать listener и отправлять его в xtls-туннель. Цепляться нужно соответственно на этот listener. Пример на Xray:

{
  "inbounds": [
    {
      "tag":"in_wg",
      "listen": "127.0.0.1","port": "8086",
      "protocol": "dokodemo-door",
      "settings": {
        "address": "127.0.0.1",
        "port": 8085,
        "network": "udp"
      }
    }
  ]
}

Здесь address - это уже точка подключения на сервере. Затем через routing отправляем этот порт на сервер через xtls:

          {
                "inboundTag": ["in_wg"],
                "outboundTag": "vless-vps6"
          }

После этого просто подключаемся к локальному порту клиента и происходит магия:

[Peer]
PublicKey = xxx
AllowedIPs = xxx
Endpoint = 127.0.0.1:8086
PersistentKeepalive = 15 # это чтобы не падал туннель и проходила "обратка"

Кстати удобно на сервере на loopback повесить адрес из диапазона AllowedIPs - тогда он будет сразу маршрутиться корректно и можно достигать сервера и портов на нем без дополнительных плясок. И xray/vpn не будут падать из-за отсутствия адресов, потому что адреса физических и vpn-адаптеров не используются.

sakontwist · April 17, 2024, 6:54am

Ну и кстати, на openvpn все проще, клиента можно настроить подключаться через socks-inbound, который уже уходит в туннель xtls.

remote 127.0.0.1 1096
proto udp
dev tun
fast-io

topology subnet
ifconfig xxxxx

socks-proxy <socks-ip> 1080

bunkerfox · May 7, 2024, 8:13pm

На таттелекоме с сегодняшнего дня режется sstp, похоже в ходе борьбы с дудосерами…

P4H · May 9, 2024, 4:08pm

OVPN через Surfshark не работает сегодня. Заблочили совсем или временно в честь праздника?
TCP/UDP ничего не коннектит

Uporoty · May 9, 2024, 6:26pm

Фигня какая-то написана. Через 443 порт работает так же обычный HTTPS. Без active probing’а или ещё какого-либо очень нетривиального анализа SSTP от HTTPS со стороны не отличить, одного только факта коннекта на 443 порт явно недостаточно (они таким образом заблокируют буквально весь интернет).

Скорее всего, имеется в виду что они порезали коннекты на 443 на абонентские адреса.

bunkerfox · May 9, 2024, 9:12pm

Uporoty · May 9, 2024, 9:21pm

Опять же, брехню пишут. Что значит “возможно в исключениях”? SSTP - это и есть HTTPS-трафик. Снаружи неотличим. И тоже 443 порт.

В любом случае, без информации о том, откуда именно и куда именно идёт подключение (какие AS и в каком именно направдении), каким именно клиентом, помогает ли смена порта, ходит ли на тот же порт простой HTTPS например к Nginx/Caddy, и дампов трафика рассуждать по одному шакальному скриншоту и ответам бестолковой техподдержки (SSTP связан с DDoS, охотно верим, ага), нет смысла.

Momoro · May 9, 2024, 10:57pm

у нескольких провайдеров, которыми пользовался, сегодня тоже surfshark перестал работать через openvpn

P4H · May 10, 2024, 7:10am

написал им в суп, сказали что знают о проблеме, предложили с их китайского сайта скачать файлы коннекта и так же попробовать WG, но у меня все по нулям, так же в их оф дискорде народ активно пишет из РФ, надеюсь на скорое решение

P4H · May 10, 2024, 4:03pm

Может быть кто-то подскажет, ставлю WireGuard, заливаю туда SurShark профиль (проверяли люди из г. Киров, провайдер Ростелеком как и у меня, работает Таиланд-Бангкок и Англия-Манчестер), все по инструкции и только я нажимаю activate, как прога коннектится (зеленая галка), а интернет обрубает в ноль, как будто провод выдернули из компа. Как только отключаю - интернет появляется снова. VPN само собой не работает ни так ни сяк.

Чел в оф дискорде шарка сказал что у него (он в Китае) завелся VPN через фирменное приложение SurfShark на телефоне, выставил профиль WG и сервер Хьюстон. Попровал у себя, у меня завелся так же (Москва МТС мобильный, Ростелеком дома), но только на протоколе IKEv2, Хьюстон сервак.

Думаю ок, попробую скачаю фирменную прогу шарка на комп. Поставил, выбрал Хьюстон, профиль WG (IKEv2 отсутствует) и у меня так же произошла обрубка интернета. Такое впечатление что у меня комп не воспринимает WG или что то надо в настройках где то подкрутить, я просто не разбираюсь в этом. Может кто подскажет?

artenox · May 10, 2024, 4:14pm

Коннект есть, интернета нет - типичный симптом блокировки wireguard протокола провайдером. wireguard шлюз не отпускает даже в случае таких затыков, чем и хорош. Соответственно интернет пропадает, т.к. протокол блокируется.
Просто провайдер видимо несколько первых пакетов разрешает, соединение (handshake/рукопожатие) успевает установиться, а потом блок.

P4H · May 10, 2024, 4:16pm

Принял, спасибо за разъяснение

Momoro · May 10, 2024, 4:55pm

насколько я понимаю, через openvpn и wireguard одинакого, к surfshark сейчас можно подключиться только по нескольким предоставляемым surfshark’ом айпи.
поэтому есть смысл поставить wireguard (имхо, он для этого удобнее) и проверять все айпи из всех стран, что предоставляет surfshark

P4H · May 10, 2024, 5:07pm

у меня WG рубит на корню любые сервера Серфа даже рабочие, как я написал, отрубка интернета на корню куда бы не присоединялся при соединении через WG, везде где есть WG профиль, программа и что то с ней связанное, то сразу словно интернет из сети в ноль, как сказали выше это вина провайдера, заблочил все, спасибо Ростелеком )) Если что то мастерить кастомное, то я тупой и не разбираюсь ни в чем, если Серф не найдет возможность как то обойти через OpenVPN как это всегда было до вчерашнего дня, то возьму другого платника, hidemy.name VPN пока тестирую бесплатный период

Uporoty · May 10, 2024, 6:42pm

Если не разбираетесь, но есть желание заиметь что-то более кастомное и устойчивое к блоктровкам, то см. Amnezia

P4H · May 10, 2024, 6:59pm

спасибо, надо будет почитать что это и как это работает

P4H · May 10, 2024, 9:46pm

SurfShark (iOS), протокол IKEv2, по вафле к домашнему Ростелекому - РАБОТАЕТ!!!
SurfShark (iOS), протокол IKEv2, мобильный MTS - НЕ РАБОТАЕТ!!!

Если выставить протоколы OVPN UDP/TCP и WG - НЕ РАБОТАЕТ!!!

Интересно, на долго ли Ростелеком разблокировал протокол IKEv2 и как жалко, что его нет на компе в SurfShark приложении

P4H · May 11, 2024, 8:32am

Удалось запустить SurfShark по протоколу IKEv2 в Win 11 через ручную настройку, теперь вопрос как долго это все проработает

Если после создания при коннекте будет ошибка Policy match, то делаем следующее

If you are not able to connect and get “Policy match error” follow these steps:
Open “Run” window while pressing Windows button+R on your keyboard at the same time. Type in regedit.
Then, navigate to this directory – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters
Now right click on right side empty space and create a new DWORD (32bit) file named NegotiateDH2048_AES256
Right click on new created registry file and click on “Modify… “, then in the value data field enter the value of 2 and click OK.

khorovodoved · May 12, 2024, 5:12am

Попробуйте AmneziaWG клиент поставить, импортировать туда ваш конфиг и выставить в нем JC, Jmin и Jmax как тут советуют: Мы добрались до ядра, или новые возможности AmneziaWG / Хабр
По идее, должно заработать тогда.