Как скрыть openVPN ?

Уже устал менять айпишники. На серваке всего человек 8-10.

Настрой сервер и повесить на 443 порт.

Именно на этом порту и весит

port 443 proto udp dev tun user nobody group nogroup persist-key persist-tun keepalive 10 120 topology subnet server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt push «dhcp-option DNS 8.8.8.8» push «dhcp-option DNS 8.8.4.4» push «redirect-gateway def1 bypass-dhcp» dh none ecdh-curve prime256v1 tls-crypt tls-crypt.key crl-verify crl.pem ca ca.crt cert server_0q32pm2RCRFgA122.crt key server_0q32pm2RCRFgA122.key auth SHA256 cipher AES-128-GCM ncp-ciphers AES-128-GCM tls-server tls-version-min 1.2 tls-cipher TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256 client-config-dir /etc/openvpn/ccd status /var/log/openvpn/status.log verb 3

Юзай шадовсокс или ваергвард тогда. Что за провайдер блочит овпн?

не провайдер, он же написал

На серваке всего человек 8-10.

У хостера всего скорее политика никаких VPN но тс не читал.

open создавал для товарища и его семьи они в Туркменистане . А там с этим полная жопа . Провайдер там один Туркментелеком он всех и блочит.

Юзай шадовсокс или ваергвард тогда

С Хостером всё в порядке. Всё было прочитано. У меня территории РФ всё пашет на ура. Проблемы именно у моего товарища.

Дело в том что нужен именно опен. Так как стоит и на пк ина мобилках у всей ихней семьи . шадовсокс или ваергвард даже не знаю как себя там поведут. Сам не там поэтому проверить не могу.

см сюда https://2ch.hk/s/res/2982756.html

шадовсокс клиент элементарно ставится на мобильные ос

а сервер настраивается проще некуда

За инструкцию спасибо. А именно опенвпн как то можно замаскировать ? Может какие та настройки есть для этой великой державы ???

Эти ребята обещали обфускацию протокола из коробки:

https://en.amnezia.org/

P.S. Лично юзал только более ранние версии.

Спасибо огромное буду тестить .

shadowsocks

так и у shadowsocks есть плагины-обфускаторы

port 443 proto udp
udp

Замените на tcp. Я не сильно удивлен, что у прова что-то срабатывает на 443/udp. И что бы два раза не вставать, повесьте ещё один инстанс на udp только не на порту <1024, куда нибудь повыше. С большей вероятностью, что-то да будет работать. Я такую связку использую много лет. Если не брать места с http proxy only, то первый или второй вариант срабатывает.

говорят tls-crypt-v2 помогает

Ходи на впн сервер через обфусцированный хттпс прокси.

Можно попробовать настроить сервер в режиме preshared key, без сертификатов. DPI может только передачу сертификатов обнаружить, а без них траффик вообще не будет содержать опознаваемые маркеры.

Очень интересно можно по подробней с этого момента .

конечно можно, используй ssh tunneling

У меня был опыт работы с VPS провайдером, который имел привычку влазить на виртуальные машины клиентов и посылать kill процессам по их именам. Отвадил переименованием бинарника. Работало. Правда, это был не VPN, а другое приложение.

майнер)?

У него tls-crypt включен, там не будет маркеров передачи сертификатов.

Ты используешь 443 порт и передаёшь там не HTTP/2, не TLS, естественно это видно.

Что исправить чтоб не видели меня

https://www.tunnelblick.net/cOpenvpn_xorpatch.html

https://community.openvpn.net/openvpn/wiki/Openvpn24ManPage

port-share

Мальчик ты дебил? Я тебе уже выше ответил.

Если б мне поставили задачу «забанить любой впн», я бы тупо смотрел на клиентов, у которых 90%+ трафика идёт на единственный адрес и банил бы его не вдаваясь ни в какие детали с ключами, портами, заголовками и сертификатами.

Очень хорошо, что вам не ставят такую задачу. А то бы к люлям остановили работу кучи предприятий.

Ну так если предприятие в интересном государстве типа туркменистана работает через впн - оно либо приближенное к императору либо тоже подлежит забану.

Ну так если предприятие в интересном государстве типа туркменистана работает через впн - оно либо приближенное к императору либо тоже подлежит забану.

Мне кажется, что вы говорите не правду.

Бывает.

1. Debian 11
2. OpenVPN 2.5.x
3. TLS 1.3
4. Tls-crypt-v2

Для удобства:

1. https://github.com/angristan/openvpn-install
2. https://github.com/TinCanTech/easy-tls

Но shadowsocks проработпет максимум неделю потом ip заблокируют.