Закрытый VPN

Oct. 23rd, 2021 07:18 pm
phd_ru: (Default)
[personal profile] phd_ru
Когда я приехал в гостиницу и подключился к местному WiFi, я заметил, что OpenVPN подключается далеко не сразу, примерно один раз на 10 попыток. Небольшая отладка показала, что пакеты UDP не всегда проходят. Я переключился на TCP (зайдя на сервера по ssh), но стало ещё хуже: на обе стороны приходит reset и OpenVPN вообще перестал соединяться.

Я отключил OpenVPN и на обоих сторонах запустил socat на порту 1194. Никаких проблем — клиент шлёт текст, сервер принимает, порты открыты. Запускаю OpenVPN — на обе стороны приходит reset.

Подозреваю DPI. Значит, они уже добрались до OpenVPN.

Для эксперимента решил пустить OpenVPN поверх SOCKS5. Работает без проблем. Т.е. OpenVPN+SSH (и наверняка OpenVPN+HTTPS) пока работает.

Глупо пускать OpenVPN поверх SOCKS5, который бегает поверх ssh. Наверное проще будет наладить VPN напрямую посредством ssh -w. У меня когда-то были недоотлаженные скрипты для этого. Вот я сел после пляжа и за 2 дня их доотладил. Теперь у меня есть второй вариант VPN.

Что делать с телефоном, пока непонятно, там у меня только OpenVPN.
Tags:
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Date: 2021-10-23 04:33 pm (UTC)
vitus_wagner: My photo 2005 (Default)
From: [personal profile] vitus_wagner

Что делать с телефоном - Termux ставить.

Date: 2021-10-23 10:00 pm (UTC)
phd_ru: (Default)
From: [personal profile] phd_ru
Termux у меня есть, я в нём обычно ping/traceroute запускаю, и изредка ssh. Но ssh -w требует рута, а где взять?

Date: 2021-10-24 08:14 am (UTC)
vitus_wagner: My photo 2005 (Default)
From: [personal profile] vitus_wagner

Ну наверняка на 4Pda.ru (апрещеенном Роскомпозором) напиано, где взять рута для твоего телефона.

А еще есть https://play.google.com/store/apps/details?id=com.artoftunnel.shelltun

Праавда оно какое-то подозрительное по описанию.

А https://airvpn.org/forums/topic/13486-ssh-tunneled-vpn-on-stock-android/ вот тут предлагают идею пропихивать openvpn через ssh port forwarding. В принципе для этого рут уже не нужно. НУ и как ты делал на десктопе - ssh -D + openvpn в socks-режиме должно с термуксовским ssh работать.

Edited Date: 2021-10-24 08:14 am (UTC)

Date: 2021-10-24 04:55 pm (UTC)
phd_ru: (Default)
From: [personal profile] phd_ru
> ssh -D + openvpn в socks-режиме

Не работает по вине OpenVPN — оно громко (с запись в лог) игнорирует опцию socks-proxy. :-(

Date: 2021-10-24 06:08 pm (UTC)
vitus_wagner: My photo 2005 (Default)
From: [personal profile] vitus_wagner

А у тебя openvpn с f-droid или с Google Play? Они разные и что не работает в одной, может работать в другой.

Date: 2021-10-25 07:08 am (UTC)
phd_ru: (Default)
From: [personal profile] phd_ru
OpenVPN Connect с Google Play.

Date: 2021-10-27 08:12 pm (UTC)
phd_ru: (Default)
From: [personal profile] phd_ru
Попробовал port forwarding. Запускаю в Termux

ssh -L localhost:1194:phdru.name:1194 -N [email protected]

Добавляю в OpenVPN конфигурацию remote localhost 1194. Запускаю — ssh падает с ошибкой "Broken pipe". Я удивился, поставил ConnectBot по совету с AirVPN. Настроил port forwarding, соединяюсь, запускаю OpenVPN — ConnectBot отключается.

Протестировал на ноутбуке — никаких проблем. Загадка. В логе на сервере ничего нет: логин виден, больше ничего.

Я поэкспериментирую с пробросом портов без OpenVPN, буду искать, в чём проблема.

Date: 2021-10-30 02:50 pm (UTC)
phd_ru: (Default)
From: [personal profile] phd_ru
Вернулся домой, повторил эксперимент с ssh -L. OpenVPN не работает: ssh падает. Значит, это уже не проблема с DPI, это какие-то проблемы ConnectBot и ssh в Termux.

Date: 2021-10-24 08:22 am (UTC)
vitus_wagner: My photo 2005 (Default)
From: [personal profile] vitus_wagner

Вот еще вариант. Правда, готового APK нет, самому компилировать придется. Но вроде ровно то что надо - обертка вокруг ssh vpn, использующая android VPN API

https://github.com/Belval/ki4a/

Date: 2021-10-23 06:07 pm (UTC)
beldmit: (Default)
From: [personal profile] beldmit
Если для начала сменить порт на что-то более другое - не спасёт?

Date: 2021-10-23 10:01 pm (UTC)
phd_ru: (Default)
From: [personal profile] phd_ru
Я попробую, но сомневаюсь. DPI не на номера портов смотрит, а протокол угадывает. :-(

Date: 2021-10-23 10:17 pm (UTC)
dmarck: (Default)
From: [personal profile] dmarck
443 я подозреваю они заманаются DPIить (хотя, говорят, Китай справляется)

Date: 2021-10-24 06:50 am (UTC)
phd_ru: (Default)
From: [personal profile] phd_ru
У меня почему-то на всех серверах 443 порт занят! ;-)

Date: 2021-10-24 08:15 am (UTC)
vitus_wagner: My photo 2005 (Default)
From: [personal profile] vitus_wagner

Оpenvpn прекрасно умеет делить 443 порт с вебсервером.

Date: 2021-10-24 09:14 am (UTC)
beldmit: (Default)
From: [personal profile] beldmit
Расскажи, кстати

Date: 2021-10-24 09:41 am (UTC)
vitus_wagner: My photo 2005 (Default)
From: [personal profile] vitus_wagner

читать в man openvpn на тему --port-share Там все очень просто.

  1. Делаешь чтобы твой веб-сервер слушал например на 127.0.0.4:443, а на внешнем интерфейсе на 443 слушала openvpn.
  2. openvpn в конфиге пиешешь port-share 127.0.0.4 443.

Дальше если тебе на 443 порт внешнего интерфейся приходит не openvpn-клиент, а браузер, openvpn молча проксирует это соединение куда сказано.

Date: 2021-10-24 12:05 pm (UTC)
beldmit: (Default)
From: [personal profile] beldmit
Спасибо, не знал

Date: 2021-10-24 02:28 pm (UTC)
phd_ru: (Default)
From: [personal profile] phd_ru
Вау, офигительно, спасибо!

Date: 2021-10-24 07:00 pm (UTC)
beldmit: (Default)
From: [personal profile] beldmit
Мой коллега ещё рекомендует посмотреть на опцию tls-crypt

Date: 2021-10-25 07:09 am (UTC)
phd_ru: (Default)
From: [personal profile] phd_ru
Это я использую. Но спасибо.

Date: 2021-10-24 07:11 am (UTC)
beldmit: (Манул)
From: [personal profile] beldmit
DPI смотрят на всё, что не зашифровано.

Date: 2021-10-24 07:13 am (UTC)
phd_ru: (Default)
From: [personal profile] phd_ru
Ну вот у меня в OpenVPN не проходит TLS handshake.
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Profile

phd_ru: (Default)
phd_ru
Персональные странички

May 2025

S M T W T F S
     123
4 5 678910
1112 13141516 17
1819202122 2324
25262728293031

Most Popular Tags

Page Summary

Style Credit

Expand Cut Tags

No cut tags
Page generated May. 29th, 2025 09:53 am
Powered by Dreamwidth Studios
OSZAR »