OpenVPNトラフィックを非表示にする方法–初心者向けガイド

インターネットの検閲が世界中で厳しくなるにつれて、政府は、VPNを使用して制限を回避することをますます懸念しています。グレートファイアウォールを備えた中国はこの点で特に活発であり、接続がブロックされている中国でVPNを使用している人々から多くの報告がありました。.

問題は、暗号化されたVPNトンネル内のデータを「見る」ことは不可能ですが、ますます洗練されたファイアウォールは、Deep Packet Inspection(DPI)技術を使用して暗号化が使用されていることを判断できることです(使用されているSSL暗号化を検出するなど) OpenVPNによる).

この問題には多くの解決策がありますが、それらのほとんどはある程度の技術的専門知識とサーバー側の構成を必要とします。そのため、この記事では利用可能なオプションの概要を説明します。 VPN信号を非表示にすることが重要であり、ポート443転送(以下を参照)が不十分な場合は、VPNプロバイダーに連絡して、以下に概説するソリューションのいずれかを実装するかどうかを検討する必要があります(または、代わりにプロバイダーを見つけます)このタイプのサポートを既に提供しているAirVPNとして).

TCPポート443を介したポート転送OpenVPN

(クライアント)エンドから簡単に実行でき、サーバー側の実装を必要とせず、ほとんどの場合に機能する最も単純な方法は、OpenVPNトラフィックをTCPポート443経由で転送することです.

OpenVPNはデフォルトでUDPポート1194を使用するため、ファイアウォールがポート1194(および他の一般的に使用されるポート)を監視し、それを使用しようとする暗号化トラフィック(またはそれら)を拒否するのが一般的です。 TCPポート443は、HTTPS(Hypertext Transfer Protocol Secure)、https:// Webサイトを保護するために使用されるプロトコル、および銀行、Gmail、Twitter、その他多くの重要なWebサービスによってインターネット全体で使用されるデフォルトのポートです。.

HTTPSのようにSSL暗号化を使用するOpenVPNの使用は、ポート443での検出が非常に難しいだけでなく、そのポートをブロックするとインターネットへのアクセスが著しく損なわれるため、通常はウェブ検閲者にとって実行可能なオプションではありません.

ポート転送は、カスタムOpenVPNクライアントで最も一般的にサポートされる機能の1つであり、TCPポート443への変更を途方もなく簡単にします。 VPNプロバイダーがそのようなクライアントを提供していない場合は、それらに連絡する必要があります.

残念ながら、OpenVPNで使用されるSSL暗号化は「標準」SSLとまったく同じではなく、高度なディープパケットインスペクション(中国などの場所でますます使用されるタイプ)は、暗号化されたトラフィックが「実際の」SSL / HTPハンドシェイク。そのような場合、検出を回避する別の方法を見つける必要があります.

Obfsproxy

Obfsproxyは、データを難読化レイヤーにラップするように設計されたツールであり、OpenVPN(または他のVPNプロトコル)が使用されていることを検出することを困難にします。最近、主にパブリックTorノードへのアクセスをブロックする中国への対応としてTorネットワークに採用されましたが、Torから独立しており、OpenVPN用に設定できます.

動作するには、クライアントのコンピューター(ポート1194などを使用)とVPNサーバーの両方にobfsproxyをインストールする必要があります。ただし、必要なのは、サーバーで次のコマンドラインを入力することだけです。

obfsproxy obfs2 –dest = 127.0.0.1:1194サーバーx.x.x.x:5573

これにより、obfsproxyはポート1194でリッスンし、ポート1194にローカルで接続し、カプセル化解除されたデータを転送します(x.x.x.xはすべてのネットワーク・インターフェースでリッスンするにはIPアドレスまたは0.0.0.0に置き換える必要があります)。サーバーがリッスンするポートを認識できるように、VPNプロバイダーで静的IPをセットアップすることをお勧めします.

以下に示すトンネリングオプションと比較すると、obfsproxyはトラフィックを暗号化でラップしないため安全ではありませんが、追加の暗号化レイヤーを運んでいないため帯域幅のオーバーヘッドがはるかに低くなります。これは、帯域幅が重要なリソースであることが多いシリアやエチオピアなどの場所のユーザーに特に関連します。 Obfsproxyは、セットアップと構成も多少簡単です.

SSLトンネルを介したOpenVPN

Secure Socket Layer(SSL)トンネルは、OpenVPNの効果的な代替手段として単独で使用できます。実際、多くのプロキシサーバーは接続を保護するためにこれを使用します。 OpenVPNを使用しているという事実を完全に隠すためにも使用できます。.

上記で述べたように、OpenVPNはTLS / SSL暗号化プロトコルを使用します。これは「真の」SSLとはわずかに異なり、洗練されたDPIで検出できます。これを回避するために、暗号化の追加レイヤーでOpenVPNデータを「ラップ」することができます。 DPIはSSL暗号化のこの「外側」のレイヤーに侵入できないため、OpenVPN暗号化の「内部」を検出できません。.

SSLトンネルは通常、マルチプラットフォームのstunnelソフトウェアを使用して作成されます。これは、サーバー(この場合はVPNプロバイダーのVPNサーバー)とクライアント(コンピューター)の両方で構成する必要があります。したがって、SSLトンネリングを使用する場合は、VPNプロバイダーと状況を話し合い、同意した場合は、VPNプロバイダーから構成指示を受け取る必要があります。いくつかのプロバイダーがこれを標準サービスとして提供していますが、これまでにレビューしたのはAirVPNのみです(anonypozは別のプロバイダーです).

データの追加レイヤーが信号に追加されるため、この手法を使用するとパフォーマンスが低下します.

SSHトンネルを介したOpenVPN

これは、OpenVPNで暗号化されたデータがSecure Shell(SSH)暗号化の層でラップされることを除いて、SSLトンネルを介したOpenVPNの使用と非常に似た方法で機能します。 SSHは主にUnixシステムのシェルアカウントにアクセスするために使用されるため、その使用は主にビジネスの世界に制限されており、SSLほど人気はありません.

SSLトンネリングの場合と同様に、VPNプロバイダーに連絡して機能させる必要がありますが、AirVPNは「そのまま」サポートしています.

結論

非常に詳細なパケット検査なしでは、OpenVPN暗号化データは通常のSSLトラフィックのように見えます。これは、TCPポート443経由でルーティングされる場合に特に当てはまります。a)SSLトラフィックが表示されると予想され、b)インターネットを妨害する可能性があります.

しかし、イランや中国などの郡は、人口の無制限のインターネットアクセスを制御することを固く決意しており、OpenVPN暗号化トラフィックを検出するための技術的に印象的な(道徳的に好ましくない場合)対策を実施しています。 OpenVPNを使用して発見されても、そのような国の法律で問題が発生する可能性があるため、これらの状況では、上記の追加の予防措置のいずれかを使用することをお勧めします.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me