LINUX.ORG.RU
ФорумAdmin

Помогите настроить OPENVPN c обфускацией

 ,


3

4

Ребят, подскажите по братски. Есть сервер с OPENVPN для частной ЛОКАЛЬНОЙ сети между компами (10 шт) Доступ идет чисто как локалка чтобы работало пару прог типа базы данных. Вот такой конфиг сервера и клиента

port 1194
proto udp
dev tap
#crl-verify /etc/openvpn/crl.pem
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh.pem
server 172.28.55.0 255.255.255.0
route 172.28.55.1 255.255.255.0
push «route 172.28.55.1 255.255.255.0»
client-config-dir /etc/openvpn/ccd
keepalive 10 120
tls-auth /etc/openvpn/ta.key 0
cipher AES-256-CBC
persist-key
persist-tun
client-to-client
push «dhcp-option DNS 172.28.0.1»
sndbuf 524288
rcvbuf 524288
push «sndbuf 524288»
push «rcvbuf 524288»
duplicate-cn
verb 4

. . .

Клиенты

. . .

client
remote ip.мое.го.серва 1194 
dev tap
proto udp
auth-nocache
nobind
persist-key
persist-tun
cipher AES-256-CBC
sndbuf 524288
rcvbuf 524288
verb 3
key-direction 1
<ca>
-----BEGIN CERTIFICATE-----
123
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
123
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
123
-----END PRIVATE KEY-----
</key>
<tls-auth>
-----BEGIN OpenVPN Static key V1-----
123
-----END OpenVPN Static key V1-----
</tls-auth>

Все работало более чем идеально, но в связи с тестами ТПСУ компы не видят друг друга. Помогите с настройками обфускации. чтобы на клиентских компах не ставить ничего нового.



Последнее исправление: Wosh (всего исправлений: 1)

OpenVPN не умеет в обфускацию. Пути сейчас такие:
Раз: читать, учиться, перенимать опыт китайцев и арабов.
Два: откат к нулевым – вся твоя айтишечка внутри страны и/или офиса.

  1. Поднимаешь xray-сервер где-то рядом с твоим OpenVPN сервером. Используй vless протокол.

  2. Всем клиентам раздаешь Nekobox клиента xray и настройки подключения к твоему xray-серверу.

  3. На клиенте в конфиг OpenVPN вносишишь изменения:

    route <ip_твоего_openvpn_сервера> 255.255.255.255 net_gateway
socks-proxy 127.0.0.1 <порт_твоего_nekobox_proxy_на_клиенте>

  4. Ждешь ответного гудка.

BOOBLIK ★★★
()

Используйте обфускатор, например Shapeshifter Dispatcher или какой-то другой. Правда вышеназванный обфускатор не так давно вроде как отказался от протокола obfs4, но это не точно.

Ну или пример классического obfsproxy:

1. На стороне сервера можно сделать как-то так:

В конфиге openvpn сервера:

port 1194

Запуск приложения обфускации в терминале:

#obfsproxy –log-file=obfsproxy.log –log-min-severity=info obfs2 –dest=127.0.0.1:1194 –shared-secret= server 0.0.0.0:21194

2. На стороне клиента так:

К конфиге openvpn клиента:

remote <YOUR-VPN-SERVER> 21194
socks-proxy-retry
socks-proxy 127.0.0.1 10194

Запуск приложения-обфускатора на стороне клиента:

#obfsproxy –log-file=obfsproxy.log –log-min-severity=info obfs2 –shared-secret= socks 127.0.0.1:10194

ChAnton ★★
()
Последнее исправление: ChAnton (всего исправлений: 9)
Ответ на: комментарий от BOOBLIK

Раз: читать, учиться, перенимать.

Это точно, читать, учиться и учиться читать, и конечно учиться искать-) Разбираться в тематике с самых азов, особенно прежде чем задавать подобные вопросы.

Два: откат к нулевым – вся твоя айтишечка внутри страны и/или офиса.

Это не столько «откат к нулевым», сколько скорее возврат к правильным подходам к построению безопасной инфраструктуры, как минимум.

ChAnton ★★
()
Последнее исправление: ChAnton (всего исправлений: 1)

Что бы наверняка, запустите ovpn на 443/tcp. Ну или поменяйте udp port.

чтобы на клиентских компах не ставить ничего нового.

Однако оба варианта потребуют изменения конфига у клиентов.

ЗЫ На будущее, изначально не стоило ovpn запускать на дефолтном порту.

anc ★★★★★
()
Ответ на: комментарий от Wosh

А почему не стоило ovpn запускать на дефолтном порту?

Бывает что блокируют. Уже не вспомню в какой стране с такой фигней столкнулись впервые, это произошло больше 10 лет назад.

anc ★★★★★
()
Ответ на: комментарий от vvn_black

но дней десять назад у меня не работал опенвпн даже завернутый в ssh-туннель.

Подробности в студию. В смысле как оно було? Кто на ком стоял и как именно не работал? Вы старожил, но и на старуху... надеюсь поняли.

anc ★★★★★
()
Ответ на: комментарий от anc

Как у всех, один город разные провайдеры, работает все годами. В один момент на паре провайдеров соединение с сервером устанавливается, а трафик внутри виртуальной сети «не ходит», при этом на других работает как и раньше.

Внутрь пакетов я не лез, только попробовал поднять дубль TCP-сервера и завернуть трафик в туннель, не помогло, картина та же.

Заработало само позже.

Upd. Из особенностей, примерно раз в 5 минут узлы внутри сети начинали видеть друг друга, но не больше 10 секунд.

vvn_black ★★★★★
()
Последнее исправление: vvn_black (всего исправлений: 1)
Ответ на: комментарий от anc

Провайдер: не блокирует anc’у OpenVPN
anc: вешает OpenVPN на tcp/443

Провайдер: всё еще не блокирует OpenVPN
anc: получилось!

BOOBLIK ★★★
()
Последнее исправление: BOOBLIK (всего исправлений: 1)
Admin