Проблемы с VPN ночью 16 июля

Добрый день,
ночью 16 июля в Беларуси возможно тестировали блокировку VPN и прочих сервисов. В начале августа должны пройти выборы и проблемы с сетью могут быть связаны с гайками, которые нужно будет закрутить.

Судя по комментариям очевидцев, проблема наблюдалась около часа:

Чекнул логи на Keenetic’е с поднятым IPSec’ом зарубеж. Подключение отвалилось ровно в 01:15:00 и поднялось только в 02:00:42
P.S. Провайдер - beltelecom, сервер на немецком кластере AWS’а.

К сожалению, за час никто не разобрался с чем именно связана проблема, но некоторые люди немного поковырялись:

Disclaimer: это не вымысел, а интерпретация причины неполадок вперемешку с фактами. Chip in если есть другие причины для отгнивания нескольких протоколов, обеспечивающих туннелирование трафика, на несвязанных друг с другом сервисах.

Если мне ничего не приснилось, то сегодня ночью тестировали блокировку VPN. Что сломалось: IPSec и SSH, а также всё, что на него завязано. Например git (в гитхаб не тыкалось) и SFTP.

Примечательно, что некоторые другие сервисы, использующие так или иначе SSH, работали. Тут можно думать разное. Автоматическая пометка remote host как VPN с занесением в блоклист?

SSH блокировался не по dst port. Кидал его на другие порты, на 80, на 443 - бесполезно.

Wireguard выстоял :slight_smile: OpenVPN не успел проверить. PPTP последний раз видел шесть лет назад. (Upd. подтверждают, что OpenVPN тоже отгнил.)

TCP RST атака не используется. В зависимости от L7 протокола происходит первоначальный обмен одим-двумя информационными сообщениями, затем тишина в эфире. Дальше череда Retransmissions и один RST/ACK в пустоту. Точно так же тестировалась блокировка Telegram и Viber несколько недель назад.

Всё длилось примерно час, с часу до двух ночи.

Чем богат: две локальные машины, телефон с IPSec’ом, один удалённый сервер (ssh, ipsec, wireguard), два аплинка (МТС Ethernet, МТС 4G).

P.S. Tor продолжал работать. В случае чего можно SSH завернуть через него, а поверх накатить socks proxy. :joy:
P.P.S. С мест сообщают, что прямо сейчас начал отгнивать Telegram. Ну ладно.

На некоторых ресурсах писали что проблема была «у одного из российских апстримов НЦОТа»

Спасибо

Рекомендую сделать «ядерный чемоданчик» на случай блокирования сайтов и протоколов, в виде VPS-сервера с настроенными сервисами:

  • Cloak, с маскировкой под правительственные сайты .by или служебные, вроде connectivitycheck.gstatic.com, www.msftncsi.com.
  • ICMP-туннель, с помощью Hans и аналогичных программ
  • DNS-туннель, с помощью dnstt.

Всё перечисленное нужно настроить заранее, до блокировки. Для DNS-туннеля необходимо купить домен (или создать поддомен на уже существующем), указав IP-адрес в качестве NS-сервера (подробнее см. в документации). Для остального нужен только сам VPS.

Могу сделать контейнер, для быстрой установки на сервер, и образ маршрутизатора виртуальной машины, для установки на десктоп и маршрутизации трафика разных (домашних) устройств через неё, в любой ОС. Нужно?

Да, с контейнером будет гораздо проще. Буду очень благодарен

A post was split to a new topic: Контейнер для возможного предстоящего отключения интернета в Беларуси