Problémy s vlastním hostovaným zmatečným VPN

To mě již rok mate. Nainstaloval jsem Wireguard na svůj server a funguje krásně. Nicméně při prvním nastavení jsem měl v plánu obejít školní filtry a jiné věci. K mému překvapení, zloději používají DPI (inspekci hloubkové paketové analýzy) a blokují všechny pokusy o použití VPN. Potvrdil jsem to výzkumem a také pomocí Psiphon 3 (kombinace VPN/proxy), a fungovalo to. Ale Psiphon 3 je velmi pomalý, takže jsem chtěl mít vlastní řešení.

Můj plán byl použít Wireguard (který jsem nastavil s pivpn) pro šifrování, ale mít proxy jako prostředníka pro komunikaci mezi klienty Wireguard, aby použití VPN nemohlo být detekováno DPI a mohl jsem obejít filtry.

Z nějakého důvodu nic souvisejícího s proxy nikdy nefungovalo. To znamená, že jsem se nikdy nemohl připojit. Zkoušel jsem:

Wireguard s Stunnel

Shadowsocks

Wireguard s Tor nebo jak se to jmenuje.

Už jsem odešel ze školy nějakou dobu zpět… ale stále chci tohle vyřešit.

Zakázal jsem firewally, otevřel všechny porty, hostoval na VPS místo osobních počítačů a přesto to nikdy nefungovalo.

Chci pouze pomoci s hostováním VPN (Wireguard nebo OpenVPN), která může být obfuskovaná, aby obešla DPI.

Preferuji Wireguard. Veškerá pomoc je vítána. Omlouvám se, pokud nemám dostatek informací, aby bylo možné zjistit, co se pokazilo, ale nepotřebuji přijít na to, co se pokazilo. Chci to jen nyní zvládnout.

Další zajímavá věc je, že síť defaultně neumožňuje mobilní zařízení. Pokud však náhodně změníte MAC adresu a použijete proxy/VPN, dostanete přístup na internet. Nikdo nebyl chycen, protože software byl distribuován.

Nejsem vůbec obeznámen s VPN, ale běžně používám SSH tunelování k vytváření proxy. Pokud blokují SSH, můžete buď přímo použít SOCKS5 proxy, nebo nastavte nějakou konfiguraci, která směruje veškerý váš provoz přes tuto proxy.

Momentálně mám nastaveno s redsocks, který směruje místní síťový provoz specifických podsítí na odpovídající proxy, takže se mohu snadno připojit ke své místní síti odkudkoli bez přepínání VPN.

Pokud je SSH blokováno, předpokládám, že existuje způsob, jak nastavit SOCKS5 proxy s heslem, a pak je to jen HTTPS provoz.

Vidím, že Shadowsocks nyní funguje, ale neříkáš, čím jsi použil k obfuskování a to je opravdu klíčové. Mohu doporučit xray (také zpětně kompatibilní s v2ray) a/nebo Cloak. Směrování přes CDN jako Cloudflare také pomůže, protože jejich IP rozsahy již mají velký provoz, takže to není tak velký červený praporek jako když veškerý provoz jde přes jedinou rezidenční IP nebo poskytovatele VPS…

Alternativou, která je méně náchylná k problémům s administrátory sítě - protože to skutečně není obcházení jejich firewallu - je jednoduše nastavit webové prostředí nebo vzdálenou plochu jako Mesh Central a procházet na ‘tom’ stolním počítači přes váš prohlížeč. To je obvykle méně nahlíženo jako porušení, a zároveň to chrání váš klient před malwarem, pokud jste na školním zařízení. GL.

Ach, a také jsem nic nepodepsal.

AKTUALIZACE

TŘETÍ pokus je úspěšný

Podařilo se mi úspěšně spustit Shadowsocks. Shadow již podporuje AES256, takže vše v pořádku.

Několik věcí, jsem v Austrálii a termín “scumbag” je zde docela hravý, když to říkám, nemyslím tím, že si myslím, že ti lidé jsou špatní. Zejména když nyní pracuji v IT společnosti a chystám se získat CCNA později tento rok.

K vaší tvrzení, že je to vždy blokováno – zatím nemůže být, používají stejnou technologii jako lidé v Číně, kteří chtějí obejít sledování a cenzuru internetu. Pokud to Čínská lidová republika nemůže zablokovat, pravděpodobně to nedokáže nikdo jiný. Obzvláště když kombinujete VPN a obfuskované proxy, protože odstraňují hlavičky, které by mohly být použity k identifikaci VPN provozu.

P.S. Škola je v oblasti s 4G signálem mrtvé zóny

P.S.S. Škola zjistila problém, protože distribuuji software, který obchází jejich bloky. Pokusili se to blokovat, ale neuspěli a místo toho hrozili vypuštěním nebo horším, když je přistihli. Obfuskování proxy bylo tak účinné, protože vypadalo jako běžný HTTPS provoz a dokonce i uživatelé, kteří používají školní email a heslo k wifi, nebyli nikdy chyceni, protože tento webový provoz nikdy nevypadal podezřele.

P.S.S.S. Nicméně, vypadá to, že jsi sebevědomý. Možná nastavte proxy Shadowsocks ve své vlastní laboratoři a zkuste zjistit, zda zařízení označí provoz jako podezřelý. Mějte na paměti, že bude připojeno 1000 uživatelů, včetně několika Shadowsocks uživatelů, a všichni budou připojeni buď přes port 80 nebo 443.

Ano, použití proxy se SSH jako nástroje pro šifrování by mělo fungovat velmi dobře, pokud SSH běží přes porty HTTP/S. Právě jsem zjistil, že Shadowsocks funguje, což je proxy, která podporuje šifrování, a nastavila jsem jej na port 443.

Díky, ta rada je skvělá. Shadowsocks funguje, ale budu experimentovat s tvými doporučeními. Nemyslím si, že RDP je dobré, protože většinu času je port RDP blokován.

Správně, ale pokud jsem nezletilý, nemohu ani souhlasit s právními dokumenty nebo uzavřít žádnou právní dohodu a myslím, že rodiče nebo opatrovníci nemohou toto argumentovat za mě. Nebo mi něco uniká?

Divné, co všechno jsou schopni udělat jen proto, aby sledovali YouTube na jakékoli Wi-Fi síti, kterou chceme

Ach jo, ano, správně jsem to nečetl. To je skvělý nápad, ale nejsem ochotný vystavovat svůj počítač službám nebo internetu.