Il mio ISP ha bloccato un sacco di reti a cui ho bisogno di accedere. Ho installato VPS (unix box) al di fuori della rete del mio ISP e ora posso creare VPN tra il mio router di casa e VPS, ma voglio nascondere questo fatto al mio ISP.
Qui ci sono diversi approcci e le loro debolezze, potresti per favore controllare i miei pensieri?
VPN che funzionano su IP. I loro protocolli sono facili da rilevare (è necessario controllare il campo "protocollo" nell'intestazione IP), sebbene il mio ISP non sia in grado di decrittografare i dati, saprà sicuramente che sto usando VPN.
- PPTP: utilizza GRE
- IPSec: utilizza l'intestazione ESP
Sembra che io abbia bisogno di una VPN a livello di applicazione che funzioni su TCP e utilizzi la porta conosciuta per assomigliare a traffico valido. Ne conosco 2:
-
OpenVPN: basato su TLS, così posso usare la modalità TCP e la porta 443 e far credere al mio ISP che sto usando HTTPS. Ma il mio ISP potrebbe tentare di aprire il sito Web e scoprire rapidamente che non è il sito Web in realtà. Per combatterlo, posso usare la destinazione nat su VPS per cambiare dest. porta per qualsiasi IP tranne il mio e avvia server web su questa porta. Quindi, qualsiasi accesso a MY_VPS: 443 da qualsiasi luogo sarà simile al normale sito web. Ma per me funzionerà come VPN. Vedo un problema qui: mantenere una connessione permanente con il sito Web può essere sospetto per il mio ISP. Posso creare un sito Web che utilizza websockets, comet o qualche altra tecnologia per mantenere una connessione permanente (per esempio, per la webchat) e dire al mio ISP che questo è il motivo per cui ho una connessione permanente.
-
Tunneling SSH. Non ho bisogno di DNAT qui: il mio ISP si connette a OpenSSH in esecuzione sul mio VPS e vede prompt "login:" che è assolutamente legale. Posso dire che sono seduto sulla mia casella remota via SSH tutto molto tempo :) Tuttavia, i modelli di traffico differiscono molto per SSH basato sui caratteri (quando digito semplicemente i comandi) e per utilizzarlo come VPN quando scarico file di grandi dimensioni (piccolo Richiesta HTTP seguita da un'enorme risposta HTTP). Il mio ISP può usare queste informazioni. Posso provare a dire che sto scaricando i backup dal mio server tramite SCP o SFTP. Posso anche dire che sto eseguendo il client X11 lì (ssh X11 forwarding) ma potrebbe essere trattato come una specie di VPN. Anche i pattern potrebbero essere un problema per OpenVPN, ma posso dire che il mio sito web ha molti dati da scaricare.
Quale è meglio? È possibile che il mio ISP utilizzi alcuni DPI per scoprire che sto usando la connessione come VPN?