С помощью DPI. Обойти путем оборачивания в ssl, stunnel например.

Спасибо, сейчас почитаю про DPI, потом ещё спрошу.

Почитал про DPI. Что-то зловещее
Опишу свою проблему по-подробнее. У меня есть VDS. На нём OpenVPN. К нему через OpenVPN подключён сервер видеонаблюдения (с серым IP), чтобы из вне можно было наблюдать за камерами. А также есть несколько (3-5) пользователей, использующих OpenVPN на этом же VDS для игр по сети и для серфинга.Всё прекрасно работало. И вдруг с нового года OpenVPN не подключается ни с одного компьютера. Сомневаюсь, что мой провайдер использует DPI. Как ещё он может блокировать работу OpenVPN?

P/s Проверял работу OpenVPN на двух бесплатных сервисах (т.е IP и порты менялись). Тоже не подключается.

tcpdump посмотреть как устанавливается соединение не пробовал?

Можно по-подробнее. Я ещё не совсем рублю в этих делах. Или совсем не рублю :) Как надо смотреть? Запустить tcpdump (с какими параметрами?), а затем openvpn, что дальше, на что внимание обратить. Или как-то можно в файл записать? потом сюда выложить? Под виндой у меня есть wireshark. С ним можно как-то посмотреть? Извините за столько вопросов

ну на серваке запусти:

apt-get install tcpdump ## Установи tcpdump
tcpdump -i eth0 port 443 ## заставь tcpdump слушать 443 порт. У тебя же там OpenVPN висит

потом пробуй прицепиться к серваку и смотри что он тебе выплевывает, потом вдумчиво анализируй

Спасибо. tcpdump уже установлен. Попробую. Потом отпишусь

Запустил tcpdump на сервере и пытаюсь к нему подсоединиться OpenVPN-ом:

 # tcpdump -n -i venet0:0 port 443
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on venet0:0, link-type LINUX_SLL (Linux cooked), capture size 65535 bytes
11:55:03.487659 IP 217.174.234.2.35896 > xx.xxx.xxx.xxx.443: Flags [S], seq 1566935300, win 29200, options [mss 1440,sackOK,TS val 61826350 ecr 0,nop,wscale 1], length 0
11:55:03.487791 IP xx.xxx.xxx.xxx.443 > 217.174.234.2.35896: Flags [S.], seq 3534607657, ack 1566935301, win 14480, options [mss 1460,sackOK,TS val 4233932361 ecr 61826350,nop,wscale 7], length 0
11:55:03.628611 IP 217.174.234.2.35896 > xx.xxx.xxx.xxx.443: Flags [.], ack 1, win 14600, options [nop,nop,TS val 61826386 ecr 4233932361], length 0
11:55:04.487594 IP 217.174.234.2.35896 > xx.xxx.xxx.xxx.443: Flags [P.], seq 1:17, ack 1, win 14600, options [nop,nop,TS val 61826600 ecr 4233932361], length 16
11:55:04.487704 IP xx.xxx.xxx.xxx.443 > 217.174.234.2.35896: Flags [.], ack 17, win 114, options [nop,nop,TS val 4233933361 ecr 61826600], length 0
11:55:04.488508 IP xx.xxx.xxx.xxx.443 > 217.174.234.2.35896: Flags [P.], seq 1:29, ack 17, win 114, options [nop,nop,TS val 4233933362 ecr 61826600], length 28
11:55:04.618921 IP 217.174.234.2.35896 > xx.xxx.xxx.xxx.443: Flags [R], seq 1566935317, win 0, length 0 

Запустил tcpdump на своём компе:

 # tcpdump -n -i eth0 port 443 
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
09:51:32.402253 IP 192.168.1.104.59340 > xx.xxx.xxx.xxx.443: Flags [S], seq 991653287, win 29200, options [mss 1460,sackOK,TS val 59974895 ecr 0,nop,wscale 1], length 0
09:51:32.554596 IP xx.xxx.xxx.xxx.443 > 192.168.1.104.59340: Flags [S.], seq 3767936275, ack 991653288, win 14480, options [mss 1440,sackOK,TS val 4226526376 ecr 59974895,nop,wscale 7], length 0
09:51:32.554633 IP 192.168.1.104.59340 > xx.xxx.xxx.xxx.443: Flags [.], ack 1, win 14600, options [nop,nop,TS val 59974933 ecr 4226526376], length 0
09:51:33.402536 IP 192.168.1.104.59340 > xx.xxx.xxx.xxx.443: Flags [P.], seq 1:17, ack 1, win 14600, options [nop,nop,TS val 59975145 ecr 4226526376], length 16
09:51:33.553874 IP xx.xxx.xxx.xxx.443 > 192.168.1.104.59340: Flags [.], ack 17, win 114, options [nop,nop,TS val 4226527377 ecr 59975145], length 0
09:51:35.702975 IP 192.168.1.104.59340 > xx.xxx.xxx.xxx.443: Flags [P.], seq 17:33, ack 1, win 14600, options [nop,nop,TS val 59975720 ecr 4226527377], length 16
09:51:35.717969 IP xx.xxx.xxx.xxx.443 > 192.168.1.104.59340: Flags [R], seq 3767936276, win 0, length 0 

Подскажите, что ещё делать, чтобы выяснить причину, почему не работает OpenVPN

Решил проблему или нет? Та же проблема. Провайдер блокирует openvpn по DPI

obfsproxy

Но лучше сменить провайдера.

Проблему не решил. У меня скорее всего блокируют сами пакеты gre. Может я не прав, не очень в этом разбираюсь. Но я плюнул на OpenVPN, и установил SoftetherVPN. Всё работает

Спасибо. Попробую. Провайдера другого в стране нет, поэтому и выбора нет.

Казахстан?

Но я плюнул на OpenVPN, и установил SoftetherVPN. Всё работает

отличный выход.

Провайдера другого в стране нет, поэтому и выбора нет.

Похоже на мой славный Казахстан, ведь билайн и прочие моськи кормятся у слона.

Туркменистан

VPN

Да, действительно OpenVPN в Туркменистане не работает! SoftEther вешь не плохая, вот только есть у неё один минус в данном случае. Работает он только на компах, а вот на мобильных устройствах он в данной ситуации не работает. Я нашел совсем другое решение, оно работает на всех устройствах. Правда замучился пока искал. Очень помогли китайские сайты и форумы, на них и нашел решение!

Tor

Делитесь опытом, в рашке чую скоро будем перенимать.

Tor

Нет, TOR в Туркменистане тоже блокируют! Помогает если только самому на VPS поднять свою Tor ноду. Ну и прописать её потом в настройках своего Tor браузера. Хватает правда не надолго, очень быстро блокируют. Также минус тора, это очень медленная работа. Для нашей страны это очень критично, так как скорости очень маленькие. Да и цены на интернет просо астрономичные.Другим странам и не снилось...:-)))

Это нужно было сделать в первую очередь

Делитесь опытом!

К сожалению опытом по настройке я не делюсь! Самому пришлось затратить много сил и средств, пока дошел до этого результата. Плюс, не обижайтесь, но я этим сейчас здесь зарабатываю. Не хотелось бы конкуренции, так как с заработком у нас сейчас туго. Повальные сокращения. Единственно что могу сказать, нужно обернуть vpn чем то другим. Один из пользователей тут раньше об этом писал!Плюс шерстите форумы и сайты Китая, помогает! У них эта беда уже давно, и они с ней борятся....

К сожалению опытом по настройке я не делюсь!

Секрет Полишинеля...

Вам дали подсказку. Я хоть и не гуру, но справился. Не будьте ленивыми, почему вы все ждете когда вам все на блюдце поднесут!

Разве OpenVPN на 443 палится через DPI?

Разве OpenVPN на 443 палится через DPI?

Палится, ещё как! И дело тут вовсе не в порте. DPI отслеживает не порты, а сам принцип работы программы. Она имеет как бы свой уникальный отпечаток, как то так. По этому принципу она и палится.

Вот, если быть точнее: DPI — совокупное название технологий, при которых оборудование «залезает» во внутрь трафика, то есть реагирует не только на заголовки пакетов разного уровня, но и на содержимое.

https://debian.pro/1747 а такие извращения помогут?

Судя по тому что я прочитал про SSHUTTLE, то должно помочь! Но судя по всему из всех перечисленных минусов в статье, есть у него ещё минусы. Это судя по всему, работа только с браузерами. А вот как заставить работать через него какую-либо прогу, вопрос! Но это только предварительное мнение. Надо повнимательнее покурить мануал по ней, может что и найдется для этого.

Да и совсем забыл сказать! В статье сказано, что если вы никуда не торопитесь — то такой туннель можно поднять и внутри любого другого VPN-соединения ;). В этом я сомневаюсь! Им нужно обернуть уже имеющееся ваше vpn соединение. А вот можно ли это сделать и как, это уже другой вопрос. ЧИТАЙТЕ МАНУАЛ!!!

То есть важно, чтобы VPN был внутри, а не снаружи?

И еще, судя по статье автора, работает эта байда через Linux! Если вы пользователь Windows, то эта статья не для вас.

Да, если вы используете OpenVPN! Его нужно обернуть чем то, тем же SSH или SSL например....)))

А для каких целей вам нужен VPN? Если просто сёрфить и открывать заблокированные сайты, то для этого есть более легкие способы!

Хочу исправить текущие и предотвратить будущие проблемы с раздачей мобильного интернета, операторы уже не только смотрят TTL, но и начинают лезть глубже.

Попробуй Opera Turbo.

Никакая Opera Turbo не поможет, если сам Tor заблокируют! Это вся байда прокатит, пока серьезные ограничения не введут.

Перекатись на softether. Он умеет прикидываться https, да и их реализация openvpn работает быстрее чем сам openvpn.

Ты или зелёный или просто с копиразмом головного мозга. Вангую что ты накатил stunnel и теперь выдаёшь за достижение.

Ты или зелёный или просто с копиразмом головного мозга. Вангую что ты накатил stunnel и теперь выдаёшь за достижение.

Ничего я не вангую! SoftEther работает неплохо. Но вот если пров заблокировал протокол OpenVPN, то и сам SoftEther по этому протоколу работать не будет. Так что не вводите народ в заблуждение. У SoftEther свой протокол, вот он работает замечательно. Но минус его в том, что он не поддерживает мобильные устройства. С мобильными устройствами он работает по протоколу PPTP и L2TP. А у нас в стране все эти протоколы например заблокированы. И кстати, stunel я настраивал. Раз уж если ты такой не зеленый, попробуй его на iOS устройствах запустить! Посмотрим на твои потуги. У нас в стране сейчас заблокированы почти все распространённые протоколы vpn. Я же нашел решение, которое поддерживается всеми устройствами (Linux, Windows, MacOS, Android, iOS). Достижением не хвастаюсь! Просто нужно уметь читать и искать, а также потом соединить все в одно, из всего что нашел. Почему этим не делюсь, я об этом уже сказал.

И кстати, решение вовсе не мое! Просто я очень много прочел китайских форумов и сайтов. Полного мануала и решения там я не нашел. Но вот различные отрывки есть. И если все это почитать и приложить немного терпения и ума, то можно сделать готовое решение. На авторство так что я не претендую! Спасибо китайцам...

Так заблокируют или заблокировали?

Ты уверен, что проблема не на стороне сервера? Проверь работу с разных операторов. Также попробуй другие VPN-сервера (есть бесплатные, но медленные и с неизвестной репутацией, но тебе же просто проверить).

Deathstalker если тебе не нужна мультиплатформенность и ты работаешь за компом, используй SoftEther! Он работает гораздо быстрее Тора. Да и настраивать его не так сложно. Должен справиться любой, мануал в сети имеется.

Для начала можешь взять VPS сервер на тестовый период! Многие провайдеры предоставляют тестовый период.Отличаются только типом виртуализации OpenVZ или KVM. Сервера на OpenVZ дешевле. В них просто нужно будет попросить провайдера включить поддержку tun/tap, ну и потом при настройке возможно потребуется попросить модифицировать iptables/nat. Обратишься в службу поддержки и там тебе помогут. Некоторые даже предоставляют помощь в настройке сервера, бесплатно. Самый дешёвый сервер можно взять за 1,5$. Я использую например такой https://hyperhost.ua/vps-vds/, тариф VPS-доступный. Плачу чуть более 3$. К моему серверу подключены 15 абонентов, работает отлично.

Ты уверен что ему спустя почти два года это актуально?

Точно....))) Что-то затупил! Совсем на дату внимания не обратил.