Столкнулся с такой же проблемой Невозможность авторизоваться в приложении ExpressVPN в России - #2 by mark17. Не получается даже авторизоваться. Подскажите, пожалуйста, при помощи zapret-a с этим можно что-то сделать? Если можно, очень прошу поделиться стратегий. Сам полный нуб.
авторизуйся через любой другой впн
Роскомнадзор рекомендует владельцам российских частных виртуальных сетей (virtual private network, VPN) отказаться при передаче данных от иностранных протоколов шифрования, а в случае технической необходимости их использования обратиться с заявлением в Центр мониторинга и управления сетью связи общего пользования (ЦМУ ССОП).
Что значит “иностранные протоколы шифрования”? Отказаться от VPN вообще? Окей, откажемся от PPTP, L2TP, IKEv2, SSTP и т. д. Первые два часто используют провайдеры для аутентификации.
Сертификаты свои будут. Протокол останется имхо
Вас ист дас?)
переходим все на випнет)
Может ли отличить ТСПУ OpenVPN c TLS prekey от OpenVPN с стрибогом и кузнечиком? )
Подскажите, пож., а куда ставить zapret в случае ipsec? Имеет значение на какой энд-поинт?
Да. С клиента блокируются ISAKMP пакеты на любой порт. Если не пробить на клиенте, сервер ничего не получает.
Да тут не понять, кто клиент, а кто сервер. Два равноценных эндпоинта, любой может инициировать коннект (по траффику на определенный IP стартует).
А блокируется в любом случае, независимо от инициатора.
Из-за бугра в RU не блокируют. Из RU в забугор блокируют.
Из этого и стоит исходить.
Но если есть возможность, лучше с обоих концов фейкануть
То есть “клиент” - это с точки зрения DPI выходит. Куда он смотрит, тот и клиент. Понятно. Начинать нужно с “клиента” видимо.
Не подскажете, как определить политику для опенврт (от ремитор)? Там вэб-интерфейс, инструменты отсутствуют…
Я рассуждал в логике подключение домашнего юзера к VPN серверу.
Там обычно NAT и роли четко определены.
Если обмен идет между двумя эндпоинтами без NAT, там идет сначала UDP 500 для IKE, а UDP 4500 может не быть. Вместо него прямой ESP без UDP инкапсуляции.
Не проверял блокируется ли IP protocol 50. Если да, можно форсировать UDP инкапсуляцию и фейковать ее. Или использовать ipobfs для проксоривания номера протокола, если оба конца на linux
50 инкапсулирован. Проработало сутки-другие. потом все.
Изделие remmitor ни разу не смотрел.
Но суть в перехвате портов udp 500+4500 и профиле вида --filter-udp=500,4500 --dpi-desync=fake --dpi-desync-any-protocol. cutoff, если нет connbytes
у ремиттора тот же запрет, просто скомпиллированный в пакеты для оврт. +вэб интерфейс.
А как анализ непосредственно в запрете запустить? Там blockcheck только http/https/quic/tls-ы запрашивает. А как с ipsec-ом быть?
blockcheck не рассчитан на ipsec.
Руками проверять. Да там и варианов нет, кроме fake или ipfrag2
Смотрю это…
Хотя, имеет ли смысл обфусцировать UDP, если инкапсулированный 50 тоже не пропускает?
Имеет. udp 500 все равно есть. Можно и udp проксорить номер протокола. Правда, при этом потом придется ловить пакеты через u32 filter или payload expression на другом конце. Или над пейлоадом поиздеваться