Hur man döljer OpenVPN-trafik – En nybörjarguide

När internetcensur skärper över hela världen blir regeringar mer och mer bekymrade över att förhindra användning av VPN för att kringgå deras begränsningar. Kina har med sin stora brandvägg varit särskilt aktivt i detta avseende, och det har funnits många rapporter från personer som använder ett VPN i Kina som har förbindelserna blockerade.

Problemet är att även om det är omöjligt att "se" informationen i en krypterad VPN-tunnel, kan allt mer sofistikerade brandväggar använda Deep Packet Inspection (DPI) tekniker för att bestämma att kryptering används (för att upptäcka till exempel SSL-kryptering som används av OpenVPN).

Det finns ett antal lösningar på detta problem, men de flesta av dem kräver en viss teknisk expertis och konfigurering på serversidan, varför den här artikeln helt enkelt är en introduktion till tillgängliga alternativ. Om att dölja din VPN-signal är viktig för dig och vidarebefordran av Port 443 (se nedan) är otillräcklig, bör du kontakta din VPN-leverantör för att diskutera om de är villiga att implementera en av lösningarna som beskrivs nedan (eller alternativt hitta en leverantör, t.ex. som AirVPN, som redan erbjuder denna typ av support).

Port Forward OpenVPN via TCP port 443

Överlägset den enklaste metoden, en som enkelt kan utföras från din (klienten) slut, kräver ingen implementering på serversidan och kommer att fungera i de flesta fall är att vidarebefordra din OpenVPN-trafik genom TCP-port 443.

OpenVPN använder som standard UDP-port 1194, så det är vanligt att brandväggar övervakar port 1194 (och andra vanliga portar) och avvisar krypterad trafik som försöker använda den (eller dem). TCP-port 443 är standardporten som används av HTTPS (Hypertext Transfer Protocol Secure), protokollet som används för att säkra https: // webbplatser, och används över hela internet av banker, Gmail, Twitter och många fler viktiga webbtjänster.

Användningen av OpenVPN, som HTTPS använder SSL-kryptering, är inte bara mycket svårt att upptäcka via port 443, men att blockera den porten skulle allvarligt krama åtkomst till internet och är därför vanligtvis inte ett praktiskt alternativ för webbcensorer..

Port vidarebefordran är en av de vanligaste funktionerna i anpassade OpenVPN-klienter, vilket gör löjligt enkelt att byta till TCP-port 443. Om din VPN-leverantör inte levererar en sådan klient, bör du kontakta dem.

Tyvärr är SSL-krypteringen som används av OpenVPN inte exakt samma som 'standard' SSL och avancerad Deep Packet Inspection (av den typ som allt oftare används på platser som Kina) kan säga om krypterad trafik överensstämmer med den 'riktiga' SSL / HTP-handskakning. I sådana fall måste alternativa metoder för att undvika detektering hittas.

Obfsproxy

Obfsproxy är ett verktyg som är utformat för att radera in data i ett obduktionslager, vilket gör det svårt att upptäcka att OpenVPN (eller andra VPN-protokoll) används. Det har nyligen antagits av Tor-nätverket, till stor del som ett svar på att Kina blockerar åtkomst till offentliga Tor-noder, men det är oberoende av Tor och kan konfigureras för OpenVPN.

För att fungera måste obfsproxy installeras på både klientens dator (med t.ex. port 1194) och VPN-servern. Allt som då krävs är dock att följande kommandorad matas in på servern:

obfsproxy obfs2 –dest = 127.0.0.1: 1194-server x.x.x.x: 5573

Detta berättar för obfsproxy att lyssna på port 1194, ansluta lokalt till port 1194 och vidarebefordra de inkapslade data till den (x.x.x.x bör ersättas med din IP-adress eller 0.0.0.0 för att lyssna på alla nätverksgränssnitt). Det är nog bäst att konfigurera en statisk IP med din VPN-leverantör så servern vet vilken port att lyssna på.

Jämfört med de tunneleringsalternativ som presenteras nedan är obfsproxy inte lika säker, eftersom den inte slår in trafiken i kryptering, men den har en mycket lägre bandbreddskostnad eftersom den inte har ett extra lager av kryptering. Detta kan vara särskilt relevant för användare på platser som Syrien eller Etiopien, där bandbredd ofta är en kritisk resurs. Obfsproxy är också något lättare att konfigurera och konfigurera.

OpenVPN genom en SSL-tunnel

En SSL-tunnel (Secure Socket Layer) kan på egen hand användas som ett effektivt alternativ till OpenVPN, och faktiskt använder många proxyservrar en för att säkra sina anslutningar. Det kan också användas för att helt dölja det faktum att du använder OpenVPN.

Som vi noterade ovan använder OpenVPN ett TLS / SSL-krypteringsprotokoll som skiljer sig något från 'sant' SSL, och som kan upptäckas av sofistikerade DPI: er. För att undvika detta är det möjligt att 'linda in' OpenVPN-data i ett ytterligare krypteringslager. Eftersom DPI inte kan penetrera detta "yttre" lager av SSL-kryptering, kan de inte upptäcka OpenVPN-krypteringen "inuti"..

SSL-tunnlar tillverkas vanligtvis med hjälp av programvaran med flera plattformarstunnlar, som måste konfigureras både på servern (i detta fall din VPN-leverantörs VPN-server) och klienten (din dator). Det är därför nödvändigt att diskutera situationen med din VPN-leverantör om du vill använda SSL-tunneling och få konfigurationsinstruktioner från dem om de håller med. Några leverantörer erbjuder detta som en standardtjänst, men AirVPN är den enda som vi hittills har granskat (anonypoz är en annan).

Att använda denna teknik medför en prestandahit, eftersom ett extra lager data läggs till signalen.

OpenVPN genom en SSH-tunnel

Detta fungerar på ett mycket liknande sätt som att använda OpenVPN genom en SSL-tunnel, förutom att den OpenVPN-krypterade informationen är insvept i ett lager av Secure Shell (SSH) -kryptering istället. SSH används främst för att få åtkomst till shell-konton på Unix-system, så användningen är huvudsakligen begränsad till affärsvärlden och är ingenstans nära så populär som SSL.

Liksom med SSL-tunneling, måste du prata med din VPN-leverantör för att få den att fungera, även om AirVPN stöder den "ur lådan".

Slutsats

Utan mycket djup paketkontroll ser OpenVPN-krypterad data ut precis som vanlig SSL-trafik. Detta är särskilt sant om det dirigeras via TCP-port 443, där a) du kan förvänta dig att se SSL-trafik och b) blockera den skulle hindra internet.

Länder som Iran och Kina är emellertid mycket beslutna att kontrollera befolkningens ocensurerade tillgång till internet och har infört tekniskt imponerande (om det är moraliskt stötande) åtgärder för att upptäcka OpenVPN-krypterad trafik. Eftersom till och med upptäckt med OpenVPN kan du få problem med lagen i sådana länder, är det i dessa situationer en mycket bra idé att använda en av de ytterligare försiktighetsåtgärderna som beskrivs ovan.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me