Slik omgås VPN-blokker – En guide

I denne artikkelen diskuterer vi måter å omgå VPN-blokker. Å bruke en VPN er en fin måte å slå internettsensur på. Under normale omstendigheter er alt du trenger å koble til en VPN-server som ligger et sted som ikke er sensurert, og du har usensurert tilgang til internett.

Problemet er selvfølgelig at denne funksjonen til VPN-er er kjent. Og som et resultat, prøver de som ville sensurere Internett ditt også å blokkere bruken av VPN-er for å omgå sensuren...

Internett-sensur

Internett-sensur kommer i mange former og størrelser. Vanlige eksempler inkluderer:

Regjeringssensur av politiske og / eller sosiale årsaker

Klassiske eksempler inkluderer den store brannmuren i Kina og statlig sensur i Iran. UAE har også nylig truffet overskriftene for å kriminalisere bruken av VPN-er og lignende for å omgå dens sensurbegrensninger. For mer informasjon om hvordan du bruker en VPN for å omgå sensur i disse landene, se vår VPN for UAE og VPN for China guider.

Regjeringssensur av copyright-årsaker

Det blir stadig mer vanlig at myndighetene blokkerer tilgang til nettsteder som anses å fremme eller lette piratkopiering av copyright. Denne sensuren er spesielt vanlig i europeiske fylker, der Storbritannia leder anklagen. Russland har også nylig utbedret sin innsats for å blokkere tilgang til piratkopiert innhold.

Arbeid

Mange arbeidsplasser prøver å forhindre at ansatte får tilgang til innhold som kan gjøre andre kolleger urolige eller krenke dem (se Ikke trygt for arbeid). Eller som sannsynligvis vil distrahere dem fra jobb (for eksempel å chatte på sosiale medier). Slike begrensninger er vanligvis ganske forståelige i sammenheng med et arbeidsmiljø.

Skoler og høyskoler

Det er vanlig at utdanningsinstitusjoner blokkerer tilgang til webinnhold. Når elevene er mindreårige, er dette uten tvil rettferdiggjort. Det er imidlertid mindre slik ved universiteter og høyere utdanningsinstitusjoner der de fremmøtte er voksne. Oppfatningen om sensur ved høyere utdanningsinstitusjoner er faktisk mer enn litt ironisk!

Porno, sosiale medier og nettsteder koblet til brudd på opphavsretten er vanligvis hovedmålene. Det er imidlertid ikke uvanlig at politisk innhold sensureres.

Sensurert internett

Enda mer bekymringsfull er det å nekte ungdom tilgang til viktig informasjon knyttet til sosiale spørsmål som rusrådgivning, seksuell helse, rasedisk og / eller seksuell diskriminering, mobbing og mer.

Nettsteder som blokkerer VPN-er

Det blir stadig mer vanlig at mediastreaming-nettsteder blokkerer seere som bruker VPN-er, omgå geo-begrensninger som er plassert på tjenestene deres. De viktigste eksemplene inkluderer Hulu, US Netflix og BBC iPlayer.

Netflix prøver å blokkere VPN-brukere

Årsaken til slike blokker er nesten alltid fordi rettighetshavere ønsker å maksimere fortjenesten sin ved å kunstig adskille verdensmarkedet.

Juridiske hensyn

VPN-blokker blir satt på plass av en grunn, og personene som plasserer dem ser vanligvis et svakt syn på innsatsen for å unngå sine blokker..

Når det er sagt, selv i land der VPN-er er blokkert (som Kina og Iran), er bruken av dem nesten aldri ulovlig. Dette betyr at å unngå VPN-blokker nesten aldri vil få deg i problemer med loven.

Et bemerkelsesverdig unntak fra denne generelle regelen er UAE, som nylig har kunngjort at alle som blir fanget ved å bruke en VPN risikerer en bot på opptil 2 millioner UAE Dirham (over US $ 500.000) og / eller fengselstid. Hvor strengt dette håndheves i praksis gjenstår å se, men forsiktighet anbefales sterkt når du prøver å unngå VPN-blokker i UAE.

Selv om bruk av VPN og omgåelse av VPN-begrensninger vanligvis ikke er ulovlig, kan innholdet du får tilgang til når du bruker VPN naturligvis være.

Sikkerhetshensyn

Når du bruker et privat WiFi- eller LAN-nettverk, har eieren av det nettverket all lovlig rett til å begrense hva du kan gjøre når du er koblet til nettverket deres. Dette inkluderer skole, universitet, kontor og hjemmenettverk osv.

Sjansene for å bli fanget med å unngå VPN-begrensninger i slike nettverk er vanligvis ganske slanke, men kan potensielt føre til suspensjon, sparking og andre disiplinære tiltak..

Det er derfor verdt å vurdere nøye om fordelen ved å unndra seg VPN-blokker rettferdiggjør potensielle problemer, hvis du blir fanget.

Slik fungerer VPN-blokker

VPN-bruk kan forhindres på flere måter, og organisasjoner som ser alvorlig på å sperre VPN-er kombinerer ofte teknikker.

Legg merke til at med unntak av Kina (hvor all Internett-trafikk til og fra Kina er begrenset til bare 3 myndighetskontrollerte tilgangspunkter), blir regjerings VPN-blokker (og sensur) nesten alltid faktisk utført av ISPer etter regjeringens anvisning.

Vanlige taktikker for VPN-blokker inkluderer:

Blokkerer tilgang til VPN-nettsteder

Hvis du ikke har tilgang til nettstedet til en VPN-leverandør, kan du ikke registrere deg for tjenesten eller laste ned programvaren. Denne formen for sensur strekker seg vanligvis til VPN-vurderingsnettsteder (for eksempel ProPrivacy.com) og andre nettsteder som er dedikert til metoder for å unndra seg sensur.

Selv om det sjelden er den eneste taktikken som brukes, er blokkering av tilgang til VPN-nettsteder et veldig vanlig tillegg til andre metoder som brukes.

Blokkering av IP-er fra kjente VPN-servere

Det er ikke så vanskelig å oppdage IP-adressene til VPN-serverne som brukes av VPN-leverandører. Og blokker deretter tilgangen til dem.

Dette er den klart mest vanlige metoden for å forhindre VPN-bruk, og når den brukes sammen med å blokkere tilgang til VPN-nettsteder, er det vanligvis omfanget av de fleste VPN-blokker..

Gitt det store antallet VPN-leverandører der ute, og vanskeligheten med å følge med på å endre server-IP-adresser, nøyer de fleste organisasjoner seg med å forby bare de mer populære VPN-tjenestene. Dette betyr at brukere av mindre og mindre kjente VPN-tjenester ofte kan "skli under radaren".

Portblokkering

Som standard bruker OpenVPN port 1194 (UDP, selv om dette lett kan endres til TCP). Andre VPN-protokoller bruker forskjellige porter. En enkel, men effektiv måte å blokkere VPN-er, er å bruke en brannmur til å blokkere disse portene.

Dyp pakkeinspeksjon (DPI)

Dyp pakkeinspeksjon er "en form for datanettverkspakkefiltrering som undersøker datadelen (og muligens også overskriften) på en pakke når den passerer et inspeksjonspunkt." Ulike teknologier brukes til DPI, med varierende effektivitetsnivå.

Data innkapslet av VPN-protokoller er imidlertid ganske lett å oppdage ved å bruke til og med ganske grunnleggende DPI-teknikker. Innholdet i pakkene forblir sikkert kryptert, men DPI kan bestemme at det er kryptert ved hjelp av en VPN-protokoll.

Å bruke DPI for å oppdage VPN-trafikk er definitivt et steg opp i alvorlighetsgrad fra den delen av organisasjonen som utfører DPI.

Enkle løsninger

Bruk en mobilforbindelse

OK, så dette vil ikke fungere for å unngå regjeringsblokker, men det vil fungere skoler, høyskoler, på jobb, etc. Og det er ofte den enkleste løsningen. I stedet for å bruke en VPN for å få tilgang til innhold som er blokkert i det lokale nettverket, er det bare å få tilgang til det på din mobile enhet ved å bruke din mobile (mobil) forbindelse.

Dette betyr at du må betale de vanlige mobildatakostnadene dine, men det lar deg sjekke Facebook-kontoen din uten med liten innsats og liten sjanse for å komme i trøbbel for den.

Prøv en annen VPN-leverandør og / eller servere

Som allerede nevnt, er det en viktig oppgave å holde oversikt over alle IP-adresser som tilhører alle VPN-leverandører. Bytte til en lavere profil VPN-tjeneste er derfor ofte nok til å unndra seg IP-blokker. Selv om noen IP-er som tilhører en bestemt VPN blokkert, kan det å fungere bare å endre til forskjellige som drives av samme leverandør.

Noen VPN-leverandører resirkulerer regelmessig sine IP-adresser. Dette gjør det viktig å følge med på endringene og blokkere de nye IP-ene. Denne taktikken blir ofte referert til som et spill "whack-a-mole". Det er verdt å spørre leverandøren din om dette er noe den gjør.

Ikke mange VPN-leverandører støtter for øyeblikket IPv6 (Mullvad er den eneste jeg vet om). Dette er imidlertid nesten sikker på å endre seg, ettersom nye IPv4-adresser blir utilgjengelige. IPv6 utvider enormt antall tilgjengelige IP-adresser. Dette betyr at etter hvert som IPv6 blir mer adoptert, vil enkle IP-blokker bli mindre og mindre effektive.

Rull din egen VPN

Et mer ekstremt, men svært effektivt alternativ er å kjøre din egen VPN-server og deretter koble til den fra det sensurerte stedet.

Siden VPN-serveren tilhører deg, gir dette ikke de vanlige personvernfordelene ved å bruke en kommersiell VPN-tjeneste. Det gir deg imidlertid din helt egen unike VPN IP-adresse, som ikke blir blokkert.

OpenVPN installert på en VPS

Du kan konfigurere en hjemme-PC for å fungere som din personlige VPN-server, eller leie og konfigurere en VPS (som også er bra for geospoofing). Hvis det å virke for vanskelig å rulle din egen VPN på en VPS, kan PrivatePackets.io gjøre det tunge løftet for deg.

Dedikerte IP-adresser

Noen VPN-er har dedikerte IP-adresser. Dette betyr at i stedet for å dele en IP med mange andre brukere, får du tildelt en unik IP (omtrent som om du ruller din egen VPN). Fordi denne IP-en er unik for deg, er det svært usannsynlig å bli blokkert av nettsteder som Netflix og BBC iPlayer. Som med å rulle din egen VPN har imidlertid ikke personvernfordelene ved å bruke en delt IP-adresse.

Fjern blokkering av iPlayer med en VPN

Kom forberedt

Når du besøker steder som Kina, er en av de mest effektive taktikkene ganske enkelt forberedt! Registrer deg for en VPN-tjeneste og last ned programvaren før du besøker. Selv når tilgang til tilgang til VPN-leverandørers nettsteder er blokkert, er det ofte ikke VPN-tilkoblinger i seg selv.

Hvis du ikke har klart å komme forberedt (eller aldri hatt muligheten), kan alternative sensurer-busting teknologier brukes til å få tilgang til VPN-nettsteder. Du kan deretter registrere deg og laste ned programvaren deres.

Tor nettverk

Tor er flinkere til å gi anonymitet enn det er ved sensur-busting. Dette er på grunn av den enkle tilgangen til Tor-noder kan blokkeres. Tor-broer kan brukes til å omgå IP-blokker på Tor-noder, og obfsproxy (se nedenfor) kan brukes til å skjule Tor-trafikk fra Deep-pakkeinspeksjon.

Tor-nettleseren

Shadowsocks (kinesisk: 影 梭)

Dette "er en åpen kildekode-proxy-applikasjon, mye brukt i fastlands-Kina for å omgå Internett-sensur. ”Det er et open source anti-GFW-verktøy / protokoll / server laget av en kinesisk utvikler. I utgangspunktet er det en SOCKS5-proxy som er tilgjengelig for de fleste store plattformer.

Bølge

Dette ligner Shadowsocks, men er bare tilgjengelig for iOS.

Lahana

Lahana er avledet fra Tor, og er designet for å løse Tor's problem med lett blokkerte avkjøringsnoder ved å gjøre det "dumt enkelt" å sette opp nye noder. Lahana var designet for å beseire sensur i Tyrkia, men skal også fungere godt i mange andre sensurssituasjoner.

Psiphon

Denne bruker en kombinasjon av VPN, SSH og obfuscation teknologier for å omgå sensur. Hvis du for eksempel støter på en blokkering når du bruker VPN, kan du bytte til SSH eller tilslørt SSH (SSH +) i stedet. Noe av det beste med Psiphon er at hvis du finner Psiphon-nettstedet blokkert, kan du be om at programvaren blir sendt til deg via e-post.

Psiphon Windows SSH

Faktisk vil de fleste VPN-leverandører også være glade for at du kan registrere deg og laste ned programvaren deres via e-post. Bare spør.

Endre portnumre

Mange tilpassede VPN-klienter lar deg endre porten de bruker. Dette er en god måte å beseire havneblokkering. De to mest populære valgene for port å bruke er:

TCP-port 80 - dette er porten som brukes av all "normal" ukryptert Internett-trafikk. Det er med andre ord porten som brukes av HTTP. Blokkering av denne porten blokkerer effektivt internett, og blir derfor nesten aldri gjort. Ulempen er at selv de mest primitive DPI-teknikkene vil oppdage VPN-trafikk ved bruk av denne porten.

TCP-port 443 - dette er porten som brukes av HTTPS, den krypterte protokollen som sikrer alle sikre nettsteder. Uten HTTPS ville ingen form for online handel, for eksempel shopping eller bank, være mulig. Det er derfor svært sjelden at denne porten blir blokkert.

Og som en ekstra bonus blir VPN-trafikk på TCP-port 443 dirigert i TLS-krypteringen som brukes av HTTPS. Dette gjør det mye vanskeligere å få øye på å bruke DPI. TCP-port 443 er derfor den foretrukne porten for å unngå VPN-blokker.

Mange VPN-leverandører tilbyr muligheten til å endre portnumre ved hjelp av deres tilpassede programvare (spesielt når du bruker OpenVPN-protokollen).

Selv om din ikke gjør det, støtter faktisk mange VPN-leverandører OpenVPN ved å bruke TCP-port 443 på servernivå. Du kan bytte til den med en enkel redigering til OpenVPN-konfigurasjonsfilen (.ovpn). Det er derfor verdt å spørre VPN-leverandøren din om dette.

Et annet alternativ er å bruke SSTP-protokollen (hvis tilgjengelig), som bruker TCP-port 443 som standard.

Avanserte løsninger

Noen VPN-leverandører tilbyr mer avanserte VPN-blokkeringsløsninger designet for å beseire mer sensitive DPI-teknikker. Slike teknikker analyserer pakkestørrelse og / eller tidtaking for å oppdage OpenVPNs ganske særegne håndtrykk, selv når de er gjemt bak HTTPS.

Veldig følsom (og derfor også veldig kostbar, og sjelden brukt) DPI kan til og med oppdage VPN-bruk når du bruker taktikken beskrevet nedenfor. Det er to grunnleggende tilnærminger til avansert VPN-skjul:

tunnel / SSL-tunneling

stunnel er et open source-plattformprogram som lager TLS / SSL-tunneler. TLS / SSL er krypteringen som brukes av HTTPS, så VPN-tilkoblinger (vanligvis OpenVPN) dirigert gjennom disse TLS / SSL-tunnelene er derfor veldig vanskelige å skille bortsett fra vanlig HTTPS-trafikk.

Dette er fordi OpenVPN-dataene er pakket inn i et ekstra lag med TLS / SSL-kryptering. Siden DPI-teknikker ikke klarer å trenge gjennom dette “ytre” krypteringslaget, er de ikke i stand til å oppdage OpenVPN-krypteringen “inni”.

SSL-tunneler lages vanligvis ved hjelp av stunnel-programvaren. Dette må konfigureres på både VPN-serveren og datamaskinen din. Det er derfor nødvendig å diskutere situasjonen med VPN-leverandøren din hvis du vil bruke SSL-tunneling (en installasjonsveiledning er tilgjengelig her for referanse).

AirVPN SSH SSL-tuneller

AirVPN er den eneste VPN-leverandøren jeg kjenner til som tilbyr stunnelfunksjonalitet "ut av boksen" ved å bruke den tilpassede open source-programvaren. Jeg er ellers ikke kjent med Anonyproz, men den kan konfigureres for stunnel, og andre tilbydere kan også tilby denne funksjonen.

SSH-tunneling

Dette ligner på SSL-tunneling, bortsett fra at VPN-dataene er pakket inn i et lag med SSH-kryptering (Secure Shell) i stedet. SSH brukes primært for tilgang til skallkontoer på UNIX-systemer. Bruken av den er hovedsakelig begrenset til næringslivet, og er ikke i nærheten så populær som SSL.

Som med SSL-tunneling, må du snakke med VPN-leverandøren din for å få det til å fungere. Igjen støtter AirVPN det "ut av boksen".

SSH-tunneling bruker PuTTY telnet / SSH-klienten, og en relativt enkel installasjonsveiledning finner du her.

Obfsproxy (og lignende teknologier)

Obfsproxy er et verktøy utviklet for å pakke inn data i et tilsløringslag. Dette gjør det vanskelig å oppdage at OpenVPN (eller annen VPN-protokoll) blir brukt.

Det er vedtatt av Tor-nettverket, i stor grad som et svar på at Kina blokkerer tilgangen til offentlige Tor-noder. Den er uavhengig av Tor, og kan konfigureres for OpenVPN .

For å fungere, må obfsproxy installeres på både klientens datamaskin (ved hjelp av for eksempel port 1194) og VPN-serveren. Alt som kreves er imidlertid at følgende kommandolinje legges inn på serveren:

obfsproxy obfs2 –dest = 127.0.0.1: 1194 server x.x.x.x: 5573

Dette forteller obfsproxy å lytte på port 1194 (for eksempel), koble seg lokalt til port 1194 og videresende de innkapslede dataene til den (x.x.x.x bør erstattes med din IP-adresse eller 0.0.0.0 for å lytte på alle nettverksgrensesnitt). Det er sannsynligvis best å konfigurere en statisk IP med VPN-leverandøren din, slik at serveren vet hvilken port å lytte på.

Sammenlignet med tunnel og SSH-tunneling, er obfsproxy ikke like sikker. Dette er fordi det ikke pakker inn trafikken i kryptering. Det er imidlertid noe enklere å konfigurere og konfigurere, og har en mye lavere båndbredde overhead siden den ikke har et ekstra lag med kryptering. Dette kan være spesielt relevant for brukere på steder som Syria eller Etiopia, der båndbredde ofte er en kritisk ressurs.

Noen leverandører kan bruke alternative teknologier som ligner på obsfproxy. BolehVPN bruker for eksempel XOR-obfuskasjon for dets "xCloak" servere.

Tillegg

En merknad om UAE

Ovennevnte avanserte løsninger for VPN-blokkering vil sannsynligvis forhindre at VPN-bruk blir oppdaget ved hjelp av DPI-teknikker (selv om De forente arabiske emirater har investert mye i avanserte internettovervåkingssystemer).

Det antas imidlertid at UAE ISP også kan opprettholde en omfattende database med VPN-server-IP-er. De kan lett være i stand til å bestemme at du bruker en VPN ganske enkelt etter IP-en du kobler til (omtrent som nettsteder som Netflix gjør).

I virkeligheten virker det lite sannsynlig at du blir tiltalt bare for å bruke en VPN for å se Netflix i UAE. Hvis du forbanner myndighetene på en eller annen måte, kan det at du bruker en VPN, gi dem et farlig våpen å bruke mot deg.

Vi anbefaler alltid ekstrem forsiktighet når du vurderer å bruke VPN i UAE.

En merknad på nettsteder som blokkerer VPN-brukere

Denne formen for blokkering kan være utfordrende å overvinne. Det kan være effektivt å velge en lavere profilert VPN-leverandør, eller en som jevnlig resirkulerer sine IP-er. Prøving og feiling er nøkkelen her.

Vi anbefaler på det sterkeste at du drar full nytte av alle gratis forsøk og tilbakebetalingsgarantier som tilbys. Dette vil tillate deg å finne ut selv hvilke VPN-tjenester som fungerer for innholdet du vil streame.

Husk at en tjeneste som fungerer i dag kan bli blokkert i morgen. Så det er lurt å betale for en måneds abonnement om gangen. Dette er nesten alltid dyrere enn å betale årlig. Men hvis tjenesten blir blokkert (uten noen feil), vil du ikke sitte igjen med et års abonnement som er ubrukelig for deg!

Det kan også være verdt å se på smarte DNS-løsninger, i stedet for å bruke en VPN. Smarte DNS-tjenester kan også blokkeres, men dette er vanskeligere å gjøre og det er mindre sannsynlig at det vil skje. Færre smarte DNS-tjenester er forbudt enn VPN-tjenester.

Noen VPN-tjenester, for eksempel AirVPN, bruker fancy DNS-ruting. Dette lar deg koble til tjenester som amerikanske Netflix og iPlayer, selv når du ikke er koblet til servere i henholdsvis USA eller Storbritannia! Dette er ikke alltid 100% effektivt, men er likevel imponerende.

Konklusjon

De aller fleste VPN-blokker er ganske enkle å overvinne ved hjelp av litt sidetankegang. Selv der det brukes sofistikerte og svært følsomme Deep Packet inspection-teknikker, er teknologier som stunnel og obfsproxy svært effektive.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me