Jak ominąć bloki VPN – przewodnik

W tym artykule omawiamy sposoby obchodzenia bloków VPN. Korzystanie z VPN to świetny sposób na pokonanie cenzury internetowej. W normalnych okolicznościach wszystko, co musisz zrobić, to połączyć się z serwerem VPN znajdującym się gdzieś, który nie jest cenzurowany, a ty masz nieocenzurowany dostęp do Internetu.


Problem polega oczywiście na tym, że ta funkcja VPN jest dobrze znana. W rezultacie ci, którzy ocenzurowaliby twój Internet, również próbują zablokować korzystanie z VPN w celu ominięcia cenzury...

cenzura internetowa

Cenzura internetowa ma wiele kształtów i rozmiarów. Typowe przykłady to:

Rządowa cenzura z powodów politycznych i / lub społecznych

Klasyczne przykłady to Wielka Zapora ogniowa Chin i państwowa cenzura w Iranie. ZEA także niedawno trafiło na pierwsze strony gazet za kryminalizację korzystania z VPN i tym podobne, aby ominąć ograniczenia cenzury. Więcej informacji na temat korzystania z VPN w celu obejścia cenzury w tych krajach można znaleźć w naszych przewodnikach po VPN dla Zjednoczonych Emiratów Arabskich i VPN dla Chin.

Rządowa cenzura z powodów związanych z prawami autorskimi

Coraz częściej rządy blokują dostęp do stron internetowych uważanych za promujące lub ułatwiające piractwo praw autorskich. Ta forma cenzury jest szczególnie powszechna w hrabstwach europejskich, a Wielka Brytania przewodzi. Rosja również ostatnio zwiększyła wysiłki w celu zablokowania dostępu do pirackich treści.

Praca

Wiele miejsc pracy próbuje uniemożliwić pracownikom dostęp do treści, które mogą denerwować lub obrażać innych współpracowników (patrz Niebezpieczne w pracy). Lub który może odciągnąć ich od pracy (np. Rozmowy w mediach społecznościowych). Takie ograniczenia są zwykle całkiem zrozumiałe w kontekście środowiska pracy.

Szkoły i uczelnie wyższe

Instytucje edukacyjne często blokują dostęp do treści internetowych. Gdy uczniowie są nieletni, jest to prawdopodobnie uzasadnione. Jest tak mniej na uniwersytetach i uczelniach wyższych, w których studenci są osobami dorosłymi. W rzeczywistości pojęcie cenzury w szkołach wyższych jest więcej niż trochę ironiczne!

Pornografia, media społecznościowe i strony internetowe powiązane z naruszeniem praw autorskich są zwykle głównymi celami. Nierzadko jednak cenzura treści politycznych jest cenzurowana.

Ocenzurowany internet

Jeszcze bardziej niepokojące jest odmawianie młodym ludziom dostępu do ważnych informacji związanych z kwestiami społecznymi, takimi jak porady dotyczące narkotyków, zdrowie seksualne, dyskryminacja rasowa i / lub seksualna, zastraszanie i inne.

Witryny blokujące sieci VPN

Coraz częściej serwisy do strumieniowego przesyłania multimediów blokują widzów korzystających z sieci VPN, którzy omijają ograniczenia geograficzne nakładane na ich usługi. Najważniejsze przykłady to Hulu, US Netflix i BBC iPlayer.

Netflix próbuje zablokować użytkowników VPN

Przyczyną takich bloków jest prawie zawsze to, że właściciele praw autorskich chcą maksymalizować swoje zyski poprzez sztuczną segregację rynku światowego.

Względy prawne

Bloki VPN są wprowadzane z jakiegoś powodu, a ludzie, którzy je umieszczają, zwykle słabo oceniają wysiłki mające na celu ich uniknięcie.

To powiedziawszy, nawet w krajach, w których VPN są zablokowane (takich jak Chiny i Iran), ich użycie prawie nigdy nie jest nielegalne. Oznacza to, że omijanie bloków VPN prawie nigdy nie spowoduje kłopotów z prawem.

Godnym uwagi wyjątkiem od tej ogólnej zasady są ZEA, które niedawno ogłosiło, że każdy przyłapany na korzystaniu z VPN ryzykuje karę pieniężną w wysokości do 2 milionów ZEA Dirham (ponad 500 000 USD) i / lub czas więzienia. Jak rygorystycznie jest to egzekwowane w praktyce, dopiero się okaże, ale zdecydowanie zaleca się ostrożność podczas próby uniknięcia blokad VPN w ZEA.

Oczywiście, chociaż korzystanie z VPN i omijanie ograniczeń VPN nie jest zwykle nielegalne, per se, treść, do której uzyskujesz dostęp podczas korzystania z VPN, może być.

Względy bezpieczeństwa

Korzystając z prywatnej sieci Wi-Fi lub LAN, właściciel tej sieci ma pełne prawo do ograniczenia tego, co możesz zrobić po podłączeniu do jego sieci. Dotyczy to sieci szkolnej, uniwersyteckiej, biurowej i domowej itp.

Szanse na przyłapanie na unikaniu ograniczeń VPN w takich sieciach są zwykle dość niewielkie, ale potencjalnie mogą skutkować zawieszeniem, zwolnieniem i innymi środkami dyscyplinarnymi.

Dlatego warto dokładnie rozważyć, czy korzyści wynikające z unikania bloków VPN uzasadniają potencjalne problemy, na wypadek gdybyś został złapany.

Jak działają bloki VPN

Używaniu VPN można zapobiec na wiele sposobów, a organizacje, które poważnie myślą o blokowaniu VPN, często łączą techniki.

Należy pamiętać, że z wyjątkiem Chin (gdzie cały ruch internetowy do iz Chin jest ograniczony tylko do 3 kontrolowanych przez rząd punktów dostępu), rządowe bloki VPN (i cenzura) są prawie zawsze faktycznie wykonywane przez dostawców usług internetowych na polecenie rządu.

Typowe taktyki dla bloków VPN obejmują:

Blokowanie dostępu do stron VPN

Jeśli nie możesz uzyskać dostępu do witryny dostawcy VPN, nie możesz zarejestrować się w jego usłudze ani pobrać oprogramowania. Ta forma cenzury zwykle obejmuje witryny z recenzjami VPN (takie jak ProPrivacy.com) i inne witryny poświęcone metodom unikania cenzury.

Chociaż rzadko jest to jedyna zastosowana taktyka, blokowanie dostępu do stron VPN jest bardzo częstym dodatkiem do innych stosowanych metod.

Blokowanie adresów IP znanych serwerów VPN

Nietrudno jest znaleźć adresy IP serwerów VPN używanych przez dostawców VPN. A następnie zablokuj dostęp do nich.

Jest to zdecydowanie najczęstsza metoda zapobiegania korzystaniu z VPN, a gdy jest stosowana razem z blokowaniem dostępu do stron VPN, zwykle obejmuje większość blokad VPN.

Biorąc pod uwagę dużą liczbę dostawców VPN i trudność w śledzeniu zmiany adresów IP serwerów, większość organizacji decyduje się na zablokowanie tylko bardziej popularnych usług VPN. Oznacza to, że użytkownicy mniejszych i mniej znanych usług VPN często „wpadają pod radar”.

Blokowanie portów

Domyślnie OpenVPN używa portu 1194 (UDP, chociaż można go łatwo zmienić na TCP). Inne protokoły VPN używają różnych portów. Dlatego prostym, ale skutecznym sposobem blokowania sieci VPN jest użycie zapory ogniowej w celu zablokowania tych portów.

Głęboka kontrola pakietów (DPI)

Głęboka inspekcja pakietów to „forma filtrowania pakietów w sieci komputerowej, która sprawdza część danych (i ewentualnie także nagłówek) pakietu przechodzącego przez punkt kontroli”. W DPI stosowane są różne technologie o różnym poziomie skuteczności.

Dane hermetyzowane przez protokoły VPN są jednak dość łatwe do wykrycia przy użyciu nawet dość podstawowych technik DPI. Zawartość pakietów pozostaje bezpiecznie zaszyfrowana, ale DPI może stwierdzić, że zostało zaszyfrowane przy użyciu protokołu VPN.

Używanie DPI do wykrywania ruchu VPN jest zdecydowanie poważniejszym krokiem ze strony organizacji wykonującej DPI.

Proste rozwiązania

Użyj połączenia mobilnego

Ok, więc to nie zadziała w celu uniknięcia bloków rządowych, ale będzie działać w szkołach, na uczelniach, w pracy itp. I jest to często zdecydowanie najłatwiejsze rozwiązanie. Zamiast używać sieci VPN do uzyskiwania dostępu do treści zablokowanych w sieci lokalnej, wystarczy uzyskać do niej dostęp na urządzeniu mobilnym za pomocą połączenia mobilnego (komórkowego).

Oznacza to, że będziesz musiał uiścić zwykłe opłaty za transmisję danych w sieci komórkowej, ale pozwoli ci to sprawdzić swoje konto na Facebooku bez większego wysiłku i niewielkiej szansy na kłopoty..

Wypróbuj innego dostawcę VPN i / lub serwery

Jak już wspomniano, śledzenie wszystkich adresów IP należących do wszystkich dostawców VPN jest ogromnym zadaniem. Przejście na usługę VPN o niższym profilu jest zatem często wystarczające, aby uniknąć blokowania pustych adresów IP. Nawet jeśli niektóre adresy IP należące do określonej sieci VPN są zablokowane, po prostu zmiana na inne adresy obsługiwane przez tego samego dostawcę może działać.

Niektórzy dostawcy VPN regularnie przetwarzają swoje adresy IP. Utrudnia to śledzenie zmian i blokowanie nowych adresów IP. Taktyka ta jest często określana jako gra „whack-a-mole”. Warto zapytać swojego dostawcę, czy to coś, co robi.

Niewielu dostawców VPN obecnie w pełni obsługuje IPv6 (Mullvad jest jedynym, o którym wiem). To prawie na pewno się zmieni, ponieważ nowe adresy IPv4 stają się niedostępne. IPv6 znacznie zwiększa liczbę dostępnych adresów IP. Oznacza to, że wraz z upowszechnieniem się protokołu IPv6 proste bloki IP będą coraz mniej skuteczne.

Rzuć własną VPN

Bardziej ekstremalną, ale wysoce skuteczną opcją jest uruchomienie własnego serwera VPN, a następnie połączenie się z nim z cenzurowanej lokalizacji.

Ponieważ serwer VPN należy do Ciebie, nie zapewnia to zwykłych korzyści prywatności związanych z korzystaniem z komercyjnej usługi VPN. Zapewnia jednak Twój własny unikalny adres IP VPN, który nie zostanie zablokowany.

OpenVPN zainstalowany na VPS

Możesz skonfigurować komputer domowy, aby działał jako osobisty serwer VPN, lub wypożyczyć i skonfigurować VPS (który jest również świetny do geofizjofonu). Jeśli uruchomienie własnej sieci VPN na VPS wydaje się zbyt trudne, PrivatePackets.io może zrobić dla ciebie ciężkie podnoszenie.

Dedykowane adresy IP

Niektóre sieci VPN oferują dedykowane adresy IP. Oznacza to, że zamiast współdzielić adres IP z wieloma innymi użytkownikami, przypisywany jest unikalny adres IP (podobnie jak w przypadku tworzenia własnej sieci VPN). Ponieważ ten adres IP jest unikalny dla Ciebie, jest mało prawdopodobne, aby został zablokowany przez strony internetowe takie jak Netflix i BBC iPlayer. Podobnie jak w przypadku rozwijania własnej sieci VPN, nie zapewnia ona korzyści w zakresie prywatności przy korzystaniu ze wspólnego adresu IP.

Odblokuj iPlayer za pomocą VPN

Przyjdź przygotowany

Odwiedzając miejsca takie jak Chiny, jedna z najskuteczniejszych taktyk jest po prostu przygotowana! Zarejestruj usługę VPN i pobierz jej oprogramowanie przed wizytą. Nawet gdy dostęp do stron internetowych dostawców VPN jest zablokowany, same połączenia VPN często nie są.

Jeśli nie przyszedłeś przygotowany (lub nigdy nie miałeś okazji), możesz skorzystać z alternatywnych technologii eliminujących cenzurę, aby uzyskać dostęp do stron VPN. Następnie możesz zarejestrować się i pobrać ich oprogramowanie.

Sieć Tor

Tor jest lepszy w zapewnianiu anonimowości niż w niszczeniu cenzury. Wynika to z łatwości, z jaką można zablokować dostęp do węzłów Tora. Mosty Tora mogą być używane do omijania bloków IP w węzłach Tora, a obfsproxy (patrz poniżej) może służyć do ukrywania ruchu Tora przed głęboką inspekcją pakietów.

Przeglądarka Tor

Shadowsocks (chiński: 影 梭)

To "jest aplikacją proxy typu open source, szeroko stosowaną w Chinach kontynentalnych w celu obejścia cenzury internetowej. ”Jest to narzędzie / protokół / serwer anty-GFW typu open source stworzony przez chińskiego programistę. Zasadniczo jest to serwer proxy SOCKS5, który jest dostępny na większości głównych platform.

Przypływ

Jest to podobne do Shadowsocks, ale jest dostępne tylko na iOS.

Lahana

Pochodząca z Tora Lahana została zaprojektowana, aby rozwiązać problem Tora z łatwo blokowanymi węzłami wyjściowymi, czyniąc „głupio łatwym” konfigurowanie nowych węzłów. Lahana została zaprojektowana, aby pokonać cenzurę w Turcji, ale powinna również dobrze działać w wielu innych sytuacjach cenzury.

Psiphon

Wykorzystuje kombinację technologii VPN, SSH i zaciemniania, aby ominąć cenzurę. Jeśli na przykład napotkasz blok podczas korzystania z VPN, możesz zamiast tego przełączyć się na SSH lub zaciemniony SSH (SSH +). Jedną z najlepszych rzeczy w Psiphon jest to, że jeśli witryna Psiphon jest zablokowana, możesz poprosić o przesłanie oprogramowania pocztą e-mail.

Psiphon Windows SSH

W rzeczywistości większość dostawców VPN z przyjemnością pozwoli ci zarejestrować się i pobrać swoje oprogramowanie za pośrednictwem poczty elektronicznej. Po prostu zapytaj.

Zmień numery portów

Wiele niestandardowych klientów VPN umożliwia zmianę używanego portu. To dobry sposób na pokonanie blokowania portów. Dwie najpopularniejsze opcje wyboru portu to:

Port TCP 80 - jest to port używany przez cały „normalny” nieszyfrowany ruch internetowy. Innymi słowy, jest to port używany przez HTTP. Zablokowanie tego portu skutecznie blokuje dostęp do Internetu i dlatego prawie nigdy nie jest wykonywane. Minusem jest to, że nawet najbardziej prymitywne techniki DPI wykryją ruch VPN za pomocą tego portu.

Port TCP 443 - jest to port używany przez HTTPS, szyfrowany protokół, który zabezpiecza wszystkie bezpieczne strony internetowe. Bez HTTPS żadna forma handlu online, taka jak zakupy lub bankowość, nie byłaby możliwa. Dlatego bardzo rzadko zdarza się, aby ten port był blokowany.

Jako dodatkowy bonus ruch VPN na porcie TCP 443 jest kierowany wewnątrz szyfrowania TLS używanego przez HTTPS. To znacznie utrudnia wykrycie za pomocą DPI. Port TCP 443 jest zatem preferowanym portem do omijania bloków VPN.

Wielu dostawców VPN oferuje możliwość zmiany numerów portów za pomocą własnego oprogramowania (szczególnie przy użyciu protokołu OpenVPN).

Nawet jeśli nie, wielu dostawców VPN faktycznie obsługuje OpenVPN za pomocą portu TCP 443 na poziomie serwera. Możesz przełączyć się na to za pomocą prostej edycji pliku konfiguracyjnego OpenVPN (.ovpn). Dlatego warto zapytać o to swojego dostawcę VPN.

Inną opcją jest użycie protokołu SSTP (jeśli jest dostępny), który domyślnie korzysta z portu TCP 443.

Zaawansowane rozwiązania

Niektórzy dostawcy VPN oferują bardziej zaawansowane rozwiązania blokowania VPN zaprojektowane w celu pokonania bardziej czułych technik DPI. Takie techniki analizują rozmiar pakietu i / lub czas, aby wykryć dość charakterystyczny uścisk dłoni OpenVPN, nawet jeśli jest ukryty za HTTPS.

Bardzo wrażliwe (a zatem także bardzo drogie i rzadko używane) DPI mogą nawet wykryć użycie VPN podczas korzystania z taktyk opisanych poniżej. Istnieją 2 podstawowe podejścia do zaawansowanego ukrywania VPN:

tunelowanie stunnel / SSL

stunnel to wieloplatformowy program typu open source, który tworzy tunele TLS / SSL. TLS / SSL to szyfrowanie używane przez HTTPS, dlatego połączenia VPN (zwykle OpenVPN) kierowane przez te tunele TLS / SSL są zatem bardzo trudne do odróżnienia od zwykłego ruchu HTTPS.

Wynika to z faktu, że dane OpenVPN są opakowane w dodatkową warstwę szyfrowania TLS / SSL. Ponieważ techniki DPI nie są w stanie przeniknąć tej „zewnętrznej” warstwy szyfrowania, nie są w stanie wykryć szyfrowania OpenVPN „wewnątrz”.

Tunele SSL są zwykle wykonywane przy użyciu oprogramowania stunnel. Należy to skonfigurować zarówno na serwerze VPN, jak i na komputerze. Dlatego konieczne jest omówienie sytuacji z dostawcą VPN, jeśli chcesz korzystać z tunelowania SSL (instrukcje instalacji są dostępne tutaj w celach informacyjnych).

AirVPN SSH SSL tunele

AirVPN to jedyny znany mi dostawca VPN, który oferuje funkcjonalność stunnel „od razu po wyjęciu z pudełka” za pomocą niestandardowego oprogramowania typu open source. Nie jestem zaznajomiony z Anonyprozem, ale można go skonfigurować do stunnela, a inni dostawcy mogą również oferować tę funkcję.

Tunelowanie SSH

Jest to podobne do tunelowania SSL, z tą różnicą, że dane VPN są opakowane w warstwę szyfrowania Secure Shell (SSH). SSH służy przede wszystkim do uzyskiwania dostępu do kont powłoki w systemach UNIX. Jego użycie jest ograniczone głównie do świata biznesu i nie jest tak popularne jak SSL.

Podobnie jak w przypadku tunelowania SSL, musisz porozmawiać z dostawcą VPN, aby go uruchomić. Ponownie, AirVPN obsługuje go „po wyjęciu z pudełka”.

Tunelowanie SSH korzysta z klienta telnet / SSH PuTTY, a stosunkowo prosty przewodnik konfiguracji można znaleźć tutaj.

Obfsproxy (i podobne technologie)

Obfsproxy to narzędzie zaprojektowane do owijania danych w warstwę zaciemniającą. Utrudnia to wykrycie, że używany jest OpenVPN (lub inny protokół VPN).

Została przyjęta przez sieć Tor, głównie w odpowiedzi na blokowanie przez Chiny dostępu do publicznych węzłów Tor. Jest jednak niezależny od Tora i można go skonfigurować dla OpenVPN .

Aby działać, obfsproxy musi być zainstalowany zarówno na komputerze klienta (używając na przykład portu 1194), jak i na serwerze VPN. Jednak wszystko, co jest wtedy wymagane, to wpisanie następującego wiersza poleceń na serwerze:

obfsproxy obfs2 –dest = 127.0.0.1: serwer 1194 x.x.x.x: 5573

To każe obfsproxy nasłuchiwać na porcie 1194 (na przykład), aby połączyć się lokalnie z portem 1194 i przesłać do niego zdekapsułkowane dane (x.x.x.x należy zastąpić adresem IP lub 0.0.0.0, aby nasłuchiwać na wszystkich interfejsach sieciowych). Prawdopodobnie najlepiej jest ustawić statyczny adres IP u swojego dostawcy VPN, aby serwer wiedział, na którym porcie nasłuchiwać.

W porównaniu z tunelowaniem stunnel i SSH, obfsproxy nie jest tak bezpieczny. Wynika to z faktu, że nie zawija ruchu w szyfrowaniu. Jest jednak nieco łatwiejsze do skonfigurowania i skonfigurowania, i ma znacznie mniejszy narzut przepustowości, ponieważ nie przenosi dodatkowej warstwy szyfrowania. Może to być szczególnie istotne dla użytkowników w miejscach takich jak Syria lub Etiopia, gdzie przepustowość jest często kluczowym zasobem.

Niektórzy dostawcy mogą korzystać z alternatywnych technologii podobnych do niejasnego. Na przykład BolehVPN używa zaciemnienia XOR "xCloak" serwery.

Uzupełnienie

Uwaga na temat ZEA

Powyższe zaawansowane rozwiązania w zakresie blokowania VPN prawdopodobnie zapobiegną wykrywaniu użycia VPN przez techniki DPI (chociaż Zjednoczone Emiraty Arabskie dużo inwestują w zaawansowane systemy nadzoru Internetu).

Uważa się jednak, że dostawca usług internetowych w ZEA może również prowadzić rozległą bazę danych adresów IP serwerów VPN. Mogą łatwo ustalić, czy korzystasz z VPN po prostu na podstawie adresu IP, z którym się łączysz (podobnie jak strony internetowe, takie jak Netflix).

W rzeczywistości wydaje się mało prawdopodobne, że będziesz ścigany tylko za korzystanie z VPN do oglądania Netflix w Zjednoczonych Emiratach Arabskich. Jeśli jednak wkurzysz władze w jakiś sposób, fakt, że korzystasz z VPN, może dać im niebezpieczną broń do użycia przeciwko tobie.

Zawsze zalecamy szczególną ostrożność przy rozważaniu korzystania z VPN w ZEA.

Uwaga na stronach internetowych, które blokują użytkowników VPN

Ta forma blokowania może być trudna do pokonania. Wybór niższego dostawcy VPN lub takiego, który regularnie odzyskuje swoje adresy IP, może być skuteczny. Kluczem jest tutaj próba i błąd.

Zdecydowanie zalecamy, abyś w pełni wykorzystał wszelkie oferowane bezpłatne wersje próbne i gwarancje zwrotu pieniędzy. Pozwoli ci to dowiedzieć się, które usługi VPN działają dla treści, które chcesz przesyłać strumieniowo.

Pamiętaj, że usługa, która działa dzisiaj, może zostać jutro zablokowana. Warto więc płacić miesięcznie za abonament. Jest to prawie zawsze droższe niż płacenie rocznie. Ale jeśli usługa zostanie zablokowana (nie z własnej winy), nie pozostanie ci roczna subskrypcja, która jest dla ciebie bezużyteczna!

Warto również przyjrzeć się rozwiązaniom Smart DNS zamiast VPN. Inteligentne usługi DNS można również blokować, ale jest to trudniejsze i mniej prawdopodobne. Mniej usług Smart DNS jest zabronionych niż usługi VPN.

Niektóre usługi VPN, takie jak AirVPN, wykorzystują wymyślny routing DNS. Dzięki temu możesz łączyć się z usługami takimi jak US Netflix i iPlayer, nawet jeśli nie masz połączenia z serwerami w USA lub Wielkiej Brytanii (odpowiednio)! Nie zawsze jest to w 100% skuteczne, ale robi wrażenie.

Wniosek

Zdecydowana większość bloków VPN jest dość łatwa do pokonania przy użyciu nieco bocznego myślenia. Nawet tam, gdzie stosowane są zaawansowane i bardzo czułe techniki głębokiej inspekcji pakietów, technologie takie jak stunnel i obfsproxy są bardzo skuteczne.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me