Как правильно использовать VPN

afhh723 — 06.01.2025

ну если я притендую хоть на какое-то понимание области ИКТ, то придется сразу сделать шаг назад это точно не VPN. эта штука будет создавать прямой трафик, который видно.

теорию вопроса можно найти здесь. и тут мне подумалось. я всегда ругался на использование VPN для обхода блокировок. ну зачем? хотя популярность это средство приобрело видимо потому, что не требует каких либо знаний от пользователей. уверен мало кто знает что обозначают эти 3 магические буквы.

но раскрою секрет: VPN это Virtual Private Network. т.е. назначение технологии получение доступа к некой частной сети, а все остальное там делается поскольку постольку. например совершенно не обязательно, что VPN шифрует трафик. например для доступа к корпоративной сети это важно. может использоваться l2tp/ipsec. но это все же частный случай.

хотя VPN как правило надежно скрывает трафик до точки подключения и поэтому может использоваться как средство обхода блокировок.

что я предлагаю. сейчас почти все блокировки основаны на отбрасывании первого пакета установления защищенного соединения. либо отбрасываются пакеты с некоторые SNI либо версии протокола TLS.

что можно сделать. поднять тоннель за пределы ТСПУ (можно даже использовать приватные адреса) и швырнуть через этот тоннель один единственный пакет - нам нужно просто преодолеть ТСПУ. т.е. у отправителя пакета адрес который вам выдал провайдер.

первый пакет по такому кривому пути долетит до сервера, а дальше трафик пойдет естественным образом.

это дает возможность строить "VPN" соединение с огромной пропускной способностью т.к. через сервер проходит не полностью всё TLS соединение, а один единственный пакет.

не достатком же будет что весь остальной трафик кроме первого пакета идет естественным образом и его видно.

можно ли это легко поломать? да можно, но пусть РКН догадывается сам как.

вообще говоря это может реализовать любой провайдер при помощи PBR. у его клиентов просто резко заработает все. метод применим для преодоления любых систем фильтрации трафика основанных на DPI.

суть можно выразить словами:

fwd ${gate1} ip6 from ${lan} to any 443 tcpflags ack via ${inet} out

• ${lan} - заинтересованные адреса
• ${inet} интерфес смотрящий в интернет
• ${gate1} адрес шлюза которым может быть конечная точка тоннеля или сетевой адрес иного шлюза.

для провайдера это дает возможность подключить всю сеть через одно единственное подключение VPN.

хотя в случае провайдера я бы делал не так.

во-первых я бы отзеркалил трафик. чтобы ТСПУ благополучно что-то отбрасывала.

а из отзеркаленого трафика выделил бы нужные пакеты и мелко бы их нарубил - эти пакеты ТСПУ преодолеют.

вот и получается ТСПУ радостно что-то отбрасывает, но нам на это пофиг.

Оставить комментарий

Популярные посты:

geta

Как часто сливать биотуалет: периодичность обслуживания и рекомендации

scinquisitor

Как живут люди без фантазии

artur_s

Беглец. Повесть. - 3.

gatilov_v

Пещера гигантских кристаллов.

bmpd

Александру Ходаковскому присвоено звание генерал-майора

pro100_mica

Память дня, Борис Хмельницкий

anna_bpguide

359. Но это всё не важно

antyzhulik

Егор Чинахов снова в строю!

sadalskij

От героев былых времен не осталось порой имен...

• Архив