Насколько помнится, для блокировки соединения ipsec достаточно заблокировать стандартно используемые (без возможности сменить) порты 500, 4500. Что возможно и делается на пограничном оборудование РФ?
У меня тоже заблокировали.
Обходится одним фейком на udp 500 и udp 4500.
Дополнительная сложность, которая может привести к кажущейся неработе метода на винде.
Винда всегда шлет пакеты с source port 500 и 4500. Он не меняется.
Если в NAT уже нет записи, то порт обычно остается тот же самый при проходе через роутер.
Даже если отказался от подключения, он все равно на тот же IP шлет раз в минуту какую-то ерунду, поддерживая запись conntrack на роутере и на DPI.
Таким образом если 1 раз зафейлился, блок связки ip-port может оставаться очень долго.
Помогает только на некоторое время заблокировать эти порты на роутере, потом натравливаем zapret с any-protocol, и оно подключается. Или комп перезагрузить, чтобы он забыл про пинки
По слухам, таким блоком, корпоратов заставляю регистрировать свои туннели в РКН. На цисках с фейками сложнее.
Столкнулся с такой же проблемой Невозможность авторизоваться в приложении ExpressVPN в России - #2 by mark17. Не получается даже авторизоваться. Подскажите, пожалуйста, при помощи zapret-a с этим можно что-то сделать? Если можно, очень прошу поделиться стратегий. Сам полный нуб.
авторизуйся через любой другой впн
Роскомнадзор рекомендует владельцам российских частных виртуальных сетей (virtual private network, VPN) отказаться при передаче данных от иностранных протоколов шифрования, а в случае технической необходимости их использования обратиться с заявлением в Центр мониторинга и управления сетью связи общего пользования (ЦМУ ССОП).
Что значит “иностранные протоколы шифрования”? Отказаться от VPN вообще? Окей, откажемся от PPTP, L2TP, IKEv2, SSTP и т. д. Первые два часто используют провайдеры для аутентификации.
Сертификаты свои будут. Протокол останется имхо
Вас ист дас?)
переходим все на випнет)
Может ли отличить ТСПУ OpenVPN c TLS prekey от OpenVPN с стрибогом и кузнечиком? )
Подскажите, пож., а куда ставить zapret в случае ipsec? Имеет значение на какой энд-поинт?
Да. С клиента блокируются ISAKMP пакеты на любой порт. Если не пробить на клиенте, сервер ничего не получает.
Да тут не понять, кто клиент, а кто сервер. Два равноценных эндпоинта, любой может инициировать коннект (по траффику на определенный IP стартует).
А блокируется в любом случае, независимо от инициатора.
Из-за бугра в RU не блокируют. Из RU в забугор блокируют.
Из этого и стоит исходить.
Но если есть возможность, лучше с обоих концов фейкануть
То есть “клиент” - это с точки зрения DPI выходит. Куда он смотрит, тот и клиент. Понятно. Начинать нужно с “клиента” видимо.
Не подскажете, как определить политику для опенврт (от ремитор)? Там вэб-интерфейс, инструменты отсутствуют…
Я рассуждал в логике подключение домашнего юзера к VPN серверу.
Там обычно NAT и роли четко определены.
Если обмен идет между двумя эндпоинтами без NAT, там идет сначала UDP 500 для IKE, а UDP 4500 может не быть. Вместо него прямой ESP без UDP инкапсуляции.
Не проверял блокируется ли IP protocol 50. Если да, можно форсировать UDP инкапсуляцию и фейковать ее. Или использовать ipobfs для проксоривания номера протокола, если оба конца на linux
50 инкапсулирован. Проработало сутки-другие. потом все.
Изделие remmitor ни разу не смотрел.
Но суть в перехвате портов udp 500+4500 и профиле вида --filter-udp=500,4500 --dpi-desync=fake --dpi-desync-any-protocol. cutoff, если нет connbytes
у ремиттора тот же запрет, просто скомпиллированный в пакеты для оврт. +вэб интерфейс.
А как анализ непосредственно в запрете запустить? Там blockcheck только http/https/quic/tls-ы запрашивает. А как с ipsec-ом быть?