Проблемы с VPN ночью 16 июля

Internet censorship all around the world Belarus
1

Добрый день,
ночью 16 июля в Беларуси возможно тестировали блокировку VPN и прочих сервисов. В начале августа должны пройти выборы и проблемы с сетью могут быть связаны с гайками, которые нужно будет закрутить.

Судя по комментариям очевидцев, проблема наблюдалась около часа:

Чекнул логи на Keenetic’е с поднятым IPSec’ом зарубеж. Подключение отвалилось ровно в 01:15:00 и поднялось только в 02:00:42
P.S. Провайдер - beltelecom, сервер на немецком кластере AWS’а.

К сожалению, за час никто не разобрался с чем именно связана проблема, но некоторые люди немного поковырялись:

Disclaimer: это не вымысел, а интерпретация причины неполадок вперемешку с фактами. Chip in если есть другие причины для отгнивания нескольких протоколов, обеспечивающих туннелирование трафика, на несвязанных друг с другом сервисах.

Если мне ничего не приснилось, то сегодня ночью тестировали блокировку VPN. Что сломалось: IPSec и SSH, а также всё, что на него завязано. Например git (в гитхаб не тыкалось) и SFTP.

Примечательно, что некоторые другие сервисы, использующие так или иначе SSH, работали. Тут можно думать разное. Автоматическая пометка remote host как VPN с занесением в блоклист?

SSH блокировался не по dst port. Кидал его на другие порты, на 80, на 443 - бесполезно.

Wireguard выстоял :slight_smile: OpenVPN не успел проверить. PPTP последний раз видел шесть лет назад. (Upd. подтверждают, что OpenVPN тоже отгнил.)

TCP RST атака не используется. В зависимости от L7 протокола происходит первоначальный обмен одим-двумя информационными сообщениями, затем тишина в эфире. Дальше череда Retransmissions и один RST/ACK в пустоту. Точно так же тестировалась блокировка Telegram и Viber несколько недель назад.

Всё длилось примерно час, с часу до двух ночи.

Чем богат: две локальные машины, телефон с IPSec’ом, один удалённый сервер (ssh, ipsec, wireguard), два аплинка (МТС Ethernet, МТС 4G).

P.S. Tor продолжал работать. В случае чего можно SSH завернуть через него, а поверх накатить socks proxy. :joy:
P.P.S. С мест сообщают, что прямо сейчас начал отгнивать Telegram. Ну ладно.

На некоторых ресурсах писали что проблема была «у одного из российских апстримов НЦОТа»
https://dev.by/news/v-belarusi-mogli-testirovat-blokirovanie-vpn

Спасибо

2

Рекомендую сделать «ядерный чемоданчик» на случай блокирования сайтов и протоколов, в виде VPS-сервера с настроенными сервисами:

  • Cloak, с маскировкой под правительственные сайты .by или служебные, вроде connectivitycheck.gstatic.com, www.msftncsi.com.
  • ICMP-туннель, с помощью Hans и аналогичных программ
  • DNS-туннель, с помощью dnstt.

Всё перечисленное нужно настроить заранее, до блокировки. Для DNS-туннеля необходимо купить домен (или создать поддомен на уже существующем), указав IP-адрес в качестве NS-сервера (подробнее см. в документации). Для остального нужен только сам VPS.

Могу сделать контейнер, для быстрой установки на сервер, и образ маршрутизатора виртуальной машины, для установки на десктоп и маршрутизации трафика разных (домашних) устройств через неё, в любой ОС. Нужно?

3

Да, с контейнером будет гораздо проще. Буду очень благодарен

4

A post was split to a new topic: Контейнер для возможного предстоящего отключения интернета в Беларуси