Usando VPN e nascondendo questo fatto dall'ISP.

3

Il mio ISP ha bloccato un sacco di reti a cui ho bisogno di accedere. Ho installato VPS (unix box) al di fuori della rete del mio ISP e ora posso creare VPN tra il mio router di casa e VPS, ma voglio nascondere questo fatto al mio ISP.

Qui ci sono diversi approcci e le loro debolezze, potresti per favore controllare i miei pensieri?

VPN che funzionano su IP. I loro protocolli sono facili da rilevare (è necessario controllare il campo "protocollo" nell'intestazione IP), sebbene il mio ISP non sia in grado di decrittografare i dati, saprà sicuramente che sto usando VPN.

  • PPTP: utilizza GRE
  • IPSec: utilizza l'intestazione ESP

Sembra che io abbia bisogno di una VPN a livello di applicazione che funzioni su TCP e utilizzi la porta conosciuta per assomigliare a traffico valido. Ne conosco 2:

  • OpenVPN: basato su TLS, così posso usare la modalità TCP e la porta 443 e far credere al mio ISP che sto usando HTTPS. Ma il mio ISP potrebbe tentare di aprire il sito Web e scoprire rapidamente che non è il sito Web in realtà. Per combatterlo, posso usare la destinazione nat su VPS per cambiare dest. porta per qualsiasi IP tranne il mio e avvia server web su questa porta. Quindi, qualsiasi accesso a MY_VPS: 443 da qualsiasi luogo sarà simile al normale sito web. Ma per me funzionerà come VPN. Vedo un problema qui: mantenere una connessione permanente con il sito Web può essere sospetto per il mio ISP. Posso creare un sito Web che utilizza websockets, comet o qualche altra tecnologia per mantenere una connessione permanente (per esempio, per la webchat) e dire al mio ISP che questo è il motivo per cui ho una connessione permanente.

  • Tunneling SSH. Non ho bisogno di DNAT qui: il mio ISP si connette a OpenSSH in esecuzione sul mio VPS e vede prompt "login:" che è assolutamente legale. Posso dire che sono seduto sulla mia casella remota via SSH tutto molto tempo :) Tuttavia, i modelli di traffico differiscono molto per SSH basato sui caratteri (quando digito semplicemente i comandi) e per utilizzarlo come VPN quando scarico file di grandi dimensioni (piccolo Richiesta HTTP seguita da un'enorme risposta HTTP). Il mio ISP può usare queste informazioni. Posso provare a dire che sto scaricando i backup dal mio server tramite SCP o SFTP. Posso anche dire che sto eseguendo il client X11 lì (ssh X11 forwarding) ma potrebbe essere trattato come una specie di VPN. Anche i pattern potrebbero essere un problema per OpenVPN, ma posso dire che il mio sito web ha molti dati da scaricare.

Quale è meglio? È possibile che il mio ISP utilizzi alcuni DPI per scoprire che sto usando la connessione come VPN?

    
posta user996142 20.04.2018 - 01:53
fonte

1 risposta

3

Recentemente mi sono imbattuto in una situazione simile. Una connessione Internet che stavo usando legalmente stava usando un deep packet inspection per impedire l'uso di SSH Tunnel o VPN.

Per ovviare a questo ho impostato un'istanza di ShadowSocks con SSH Tunneling attraverso di essa ( esempio ).

Shadowsocks - offusca il contenuto della connessione rendendo molto più difficile l'ispezione approfondita dei pacchetti per identificare il tipo di traffico (anche se non impossibile).

SSH : fornisce una sicurezza molto migliore rispetto a Shadowsocks e fornisce un mezzo per il tunneling di altri tipi di traffico attraverso di essa.

    
risposta data 20.04.2018 - 07:39
fonte

Leggi altre domande sui tag