Kısıtlayıcı bir güvenlik duvarı üzerinden OpenVPN nasıl kullanılır?

13

Şu anda, öncelikle aşırı kısıtlayıcı bir güvenlik duvarı üzerinden bağlantı için kişisel bir VPS üzerinde OpenVPN kurmaya çalışıyorum. Aşağıda belirtilen tüm kurulumlar, makul düzeyde güvenlik duvarı bağlantısıyla kullanıldığında çalışır.

Denedim:

  1. Standart bağlantı noktasında çalışan OpenVPN
  2. 443 numaralı bağlantı noktasında çalışan OpenVPN (OpenVPN'i VPS'deki komut satırından manuel olarak başlatıyorum ve sunucunun bağlantının hemen kapatıldığını bildirdiğini görüyorum, bunun güvenlik duvarındaki DPI sonucu olduğunu varsayıyorum)
  3. OpenVPN'e erişmek ve DPI'dan kaçmak için 443 numaralı bağlantı noktasında çalışan STunnel. Bu en başarılı olanıdır ve bağlantı zorla kapatılmadan önce VPN üzerinden ~ 10-20 saniye boyunca bir bağlantı ve internet erişimi sağlar.

Deneyebileceğim başka bir şey var mı?

networking  security  vpn  firewall 
RL Stine
kaynak
1
Sevgili efendim, bir VPN çalıştırmanızı önlemek için bu kadar uzun süren hangi "kişisel VPS" sağlayıcınız var ?! Ayrıca, VPS'yi bir OpenVPN sunucusu olarak mı kullanmaya çalışıyorsunuz, yoksa istemciyi mi yapmak istiyorsunuz?
allquixotic
Woops! Daha açık olmalıydım. VPS sağlayıcısı Linode ve kesinlikle hiçbir şeyi engellemiyorlar. ;) Sorun şu ki, internet erişimi ciddi şekilde güvenlik duvarı olan bir istemciden (dizüstü bilgisayarım) VPN'ye bağlanıyorum.
RL Stine
1
Genel olarak bir VPN çözümü, belirttiğiniz gibi durum bilgisi olan paket denetimi yapan herhangi bir şey tarafından kolayca kolayca algılanacaktır. Güçlü bağlantı kesme, stunnel'in https bağlantısına bakan ve "bir dakika bekleyin, standart HTTP istek / yanıt bağlantıları neredeyse o kadar da konuşkan değil!" - özünde sıkışıp kaldınız. Yine de bir HTTPS proxy'sini deneyebilirsiniz; belki bir
HTTPlet
3
Bir şirket güvenlik duvarı tarafından uygulanan kısıtlamaları atlamanın büyük olasılıkla şirket politikasını ihlal ettiğini aklınızda bulundurmak isteyebilirsiniz. Sorun hakkında güvenlik duvarı yöneticisiyle konuşmanızı öneririz.
Ansgar Wiechers

Yanıtlar:

11

Uzun bir süre sonra kesilen bağlantılar bazen saniyede bayt başına bir sınırlama türünü gösterir. VPN bağlantınızın yavaşlayıp yavaşlamayacağını görmeye çalışın. Ayrıca UDP için OpenVPN'i yapılandırdıysanız TCP'yi deneyin (443 UDP engellenebilir, 443 TCP tespit edilmeyebilir).

SSL kullanan tanınmış bir siteyi ziyaret edin ve sertifikayı kontrol edin. Sonra evde de aynısını yapın. Eşleşmezlerse, konumunuz şeffaf bir HTTPS SSL proxy kullanıyor ve aslında HTTPS trafiğinizi görebiliyor.

443 numaralı bağlantı noktası olmayan bir şeyin bu kadar yakından izlenmemesi olasıdır. 22 deneyin.

Kulağa aptal gelebilir, ancak 80 numaralı port üzerinden yapmayı deneyin ve ne elde ettiğinizi görün. Trafiğin HTTP istekleri gibi görünmesi için sizinle VPS arasında bir HTTP tüneli oluşturmayı da deneyebilirsiniz.

Eğer deli hissediyorsanız iyot deneyin .

LawrenceC
kaynak
2
+1, ama özellikle iyot için!
0xC0000022L
5

Sanırım stunnel metodunun neden böyle davrandığını biliyorum. Stunnel sunucusu için bir "statik yol" ayarlamak için net çünkü. Bunu açıklayayım. Bir openvpn sunucusuna bağlandığınızda, yönlendirme tablonuzu değiştirir ve openvpn paketleri hariç tüm paketlerinizi vpn üzerinden yönlendirir. Aslında openvpn sunucu ip adresiniz için bir rota ekleyecektir. Ancak, openvpn sunucunuza bağlanmak için stunnel kullandığınızda, openvpn'yi bir geri döngü arayüzüne bağlayacaksınız ve sunucunuzun vpn'nizin dışında bir yolu yoktur, bu nedenle stunnel paketleri sunucuya gitmek istiyor ve vpn'nize ve vpn paketlerinize gidiyor stunnel için :)

Bu yüzden sunucu IP'nize vpn'nizin (ev yönlendiricinizin) dışına giden bir rota eklemeniz gerekir.

Ve yöntem bağlantı noktası 443 i ganna ile ilgili sorun için belki SPI veya DPI kullanarak güvenlik duvarı ve kolayca https (ssl) paketlerinden farklı openvpn paketleri yapabilirsiniz söylüyorlar. Bu yüzden en iyi yol stunnel kullanmaktır veya güvenlik duvarı SSL paketlerini engelliyorsa, baypas etmek için obfsproxy veya fteproxy kullanmak daha iyidir.

(bu yazı eski olduğunu biliyorum ama aynı sorun hakkında haftalarca cevap arıyordum, bu yüzden bu konuda öğrendiklerimi paylaşmak istedim)

Reza Askari
kaynak
Bu soruya bir cevap sağlamaz. Bir yazardan eleştiri veya açıklama istemek için gönderilerinin altına bir yorum bırakın - her zaman kendi yayınlarınıza yorum yapabilirsiniz ve yeterli bir üne sahip olduğunuzda herhangi bir yazı hakkında yorum yapabilirsiniz .
Ramhound
3

Reza Askari'nin cevabı tam olarak üçüncü sorunun cevabı idi. Bu hem Linux bilgisayarımda hem de Android'de oluyor.

Bilgisayarda, OpenVPN'e bağlanmadan önce

sudo openvpn --config configFile.ovpn

Stunnel sunucusunu OpenVPN tünelinden kaldırmak için bir kural eklemelisiniz.

sudo /sbin/ip route add stunnel_ip via default_gateway_ip

Ardından OpenVPN sunucunuza bağlanın. İşiniz bittiğinde bu kuralı şu yollarla kaldırabilirsiniz:

sudo /sbin/ip route del stunnel_ip

Unutmamak için işleri daha kolay hale getirmek için, kuralı ekleyecek ve OpenVPN'i çalıştıracak bir kabuk betiği oluşturun, OpenVPN çıktığında kural silinecektir:

sudo /sbin/ip route add stunnel_ip via default_gateway_ip

sudo openvpn --config configFile.ovpn

sudo /sbin/ip route del stunnel_ip

Android'de "Arne Schwabe" tarafından "Android için OpenVPN" istemcisini ve "Balint Kovacs" tarafından "SSLDroid" kullanın.

Sonra OpenVPN istemcisinde, "SSLDroid" i stunnelden geçen VPN profilinden hariç tutun.

Reza'nın cevabını veya yorumunu oylamak isterdim, ancak bu itibar puanı kuralı beni engelledi.

0x00FE
kaynak
1

Hiç denemedim (bu yüzden işe yarayıp yaramadığını biliyorum!) Ama 443'ün üzerinde ssh tünel kullanarak bir çekim yapın ve OpenVPN'inizi tünelden çalıştırın. Proxy hizmetlerini kullanmak için 443'ü dinlemek için ekstra bir uzak ana bilgisayara ihtiyacınız olabilir, ancak burada bir örnek varsa http://www.anonyproz.com/openvpnsshtunnel.pdf [Editör notu: Bu Wayback Makinesi bağlantısı daha güvenli olabilir], ancak bu aynı zamanda Google için de geçerlidir:

https://www.google.com/search?q=ssh%20tunnel%20openvpn .

İnsanları bu yaklaşımı proxy olarak kullanacaklarını da biliyorum, çünkü işverenleri popüler olduklarında dice.com gibi iş sitelerine erişimi engelledi.

MDMoore313
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.