Какие хорошие способы маскировать VPN трафик от DPI есть сегодня?

shadowsocks с v2ray плагином, можно через cloudflare.

Интересно, а прокатывает ли просто нестандартная модификация? Подправить самому заголовки, может еще чего чуть пропатчить и собрать кастомную сборку.

По идее оно тогда ни чем не будет определяться как vpn, хотя будет неизвестным типом трафика. Лучше это или хуже фиг знает

Посоветуйте, какие есть современные способы скрывать этот трафик

голуби, хоть и не совсем современный способ, но все же…

Способа ровно 2 - shadowsocks и softether

SoftEther стоящая штука, стоит вникать? Судя по тому, что сайт забанен в Казахстане, власти в курсе этой технологии. Он точно невидим для DPI? Если власти будут атаковать HTTPS в середине, они не раскроют факт использования этого SoftEther?

Можно пытаться маскировать трафик под https - ssl tunnel.

Какие заголовки? https://github.com/shadowsocks/v2ray-plugin

Трактор. А если не хочешь, купи пачку чупачупсов и начинай тренироваться. Скоро тебе потребуется этот навык.

давай тебя чипируем?

Спасибо, не надо.

Если не хочется v2ray-plugin, то есть ещё вот такое поделие https://github.com/mhzed/wstunnel/ (только оно на ноджс).

https://github.com/rightscale/wstunnel - на го.

https://github.com/erebe/wstunnel - на haskell.

Я не проверял его на DPI и MITM. Первый вроде не палит yota, судя по отзывам, а кроме них анализом трафика у нас пока никто не занимается. По второму надо знать, отражать атаку или просто оставаться незамеченым, если скорость не важна, оба пункта решаются двойным VPN.

опять меня пытались MITMить, подменивая сертификаты.

Почему корневые сертификаты спасают от MITM атаки? (комментарий)

Почему корневые сертификаты спасают от MITM атаки? (комментарий)

SoftEther стоящая штука, стоит вникать?

Вероятно да, в особо запущенных случаях, как у вас, он умеет VPN over DNS или VPN over ICMP.

От фингерпринтинга никак ты не защитишься, нужно тогда гонять сам трафик фейковый или в пейлоаде другого трафика (но доля в пейлоаде должна быть незначительной, так что в ICMP не катит). Если забанят VPN по белому списку - все, хана. Хотя я смотрю добрые саморитяне сами уже ваш сертификат ставят куда надо, так что скоро будет проще нелегальный спутник развернуть чем через это все продираться. Ну или менять страну, что вряд ли того стоит. Ну или просто расслабить булки.

Хз, я бы свой VPN написал, задача-то по сути тривиальная. Гонять в HTTP мусор, на который всем пофиг будет и всё. Но всё упирается в клиенты, у меня пупок порвётся ковыряться в драйверах для венды, макоси, айос (там вообще всё непросто в плане подписей и тд), андроида. Развёл у себя в хате бардак, теперь разгребай.

Всё что угодно, что работает по 443 порту и заворачивает свой трафик в SSL. Неотличимо от долгой скачки/закачки файла по HTTPS. А это законом не запрещено.

Ты забываешь, что они митмят HTTPS и могут посмотреть, что там внутри происходит. Действительно ли там HTTP. То бишь смысла заворачивать в SSL нет, можно с тем же успехом по 80 порту пускать.

Для вменяемой скорости приходит в голову только что-то вроде vpn/wireguard over websocket.

Что, и даже quic? А shadowsocks без v2ray чем не подходит, надо полагать ты уже пробовал его и чем-то не понравился?

Я не знаю, что там с Quic. Подозреваю, что они будут его тупо дропать, чтобы браузеры не выпендривались )

Я пока ничего не пробовал и собираю мнения. Как у shadowsocks с реализациями под iOS, например?

Я тебе даже готовые конфиги нашел. ip ты свой не спалишь перед провайдером, так что попробуй. https://github.com/russian-meshnet/shadowsocks-v2ray-cdn

Спасибо, годно.

ssh умеет туннель.

Я пока ничего не пробовал и собираю мнения. Как у shadowsocks с реализациями под iOS, например?

Я outline использовал. Правда оно наверное плагины не умеет, мда. https://github.com/Jigsaw-Code/outline-client/issues/551

Так что на ios только обычный shadowsocks, видимо.

Хотя тут пишут, и на скринах видно.

Прекрасно работает с shadowsocks + v2ray.

https://apps.apple.com/ru/app/shadowrocket/id932747118

Тебе интернет для чего нужен? http через него гонять? Если да - то к твоим услугам icmp/dns/ssh-туннели. Но тут вопрос в том, как должен работать ваш казахстанский MitM.

О, а ты разве не самобанился?

В том числе произвольные приложения с UDP-трафиком.

Что с российской вакциной от ковида? (комментарий)

Если они MTiM HTTPS, то большая часть интернета перестанет открываться. Идея заставить всех поставить корневой сертификат правительства, насколько я знаю, так и не взлетела. К тому же она не спасёт от https pinning, так что пара десятков популярных сайтов (тот же гугл) всё равно не заработает.

Там второй тур. https://habr.com/ru/news/t/531642/

Если они MTiM HTTPS, то большая часть интернета перестанет открываться.

А им пох*р. Главное, чтобы https://elbasy.kz/ открывался.

https://snowflake.torproject.org/

в альфа версиях тор браузера помимо obfs4 есть еще snowflake, дающая возможность проксирования через webrtc.

есть обфускато для шадоусокс который гоняет траик плэйнтекстом по 80 порту. Почему бы и нет?

Одобряю =) С возвращением, чего уж

UDP over ICMP

UDP over SSh

Заголовки openvpn

Сигнатуры и эвристики в современных DPI регулярно обновляются, так что нет пути.

так и обфускаторы не стоят на месте

Путь есть. Служебные структуры сделать более размазанными, тогда глобальный DPI не успеет всех обрабатывать или хранить. Эвристики сводятся к белым спискам.

Это в теории. В Китае для https сайтов не из «белого списка» просто режется скорость с увеличением объема скачанного, при превышении какого-то лимита, скорость снижается до нуля.

Опять же, возвращаясь к Китаю и GFW, все гораздо проще, так как объем данных приличен и никакое железо не спасет от полного контроля. Про искусственный интеллект, которыми иногда потчуют новости - бред, по крайней мере на данный момент.

Режется любой неопознанный или опознанный (по заголовкам) зашифрованный трафик. Если зашифрованный трафик «легален» - https, ssh - то дается лимит на переданный объем данных, после чего снижение скорости вплоть до нуля или каких либо килобайт в секунду. Неопознанный трафик (TCP, UDP) блокируется в течении непродолжительного времени, сначала по порту, потом по IP. Время и лимиты плавают в зависимости от провинции и местонахождения - в центральных частях либеральней, в приграничных строже. Другое дело, что и простой трафик может тупить просто из-за большого числа подключений. Особенного это заметно во время праздников или каникул.

Я написал для Китая, https://www.lilitun.net/

исходники закрыты, за исключением первой версии для проверки работоспособности идеи:

https://github.com/pdaxrom/lilitun

Желающие потестить в других странах с особенностями «национального интернета», клиент с прошитым ключом тут https://play.google.com/store/apps/details?id=com.pdaxrom.lilitunfree

Пробовал Psiphon с клиентом: https://github.com/aztecrabbit/brainfuck-psiphon-pro-go

Он меня радовал пару недель, потом побанили все их шлюзы вероятно только для моего белого внешнего IP.

По идее можно сделать плавающий IP на облачном VPS или хотя бы на проксях, но что-то лень пока и некогда.

А как вы боретесь с таргетированными блокировками, когда вас блочат персонально?

У меня сейчас та же страна и та же проблема, только дело не в том что «не светиться», а в том что канал обрубают через некоторое время(~16часов работы). Конкретное рабочее что-нибудь нашлось? (Вот конкретная темка - Softether + Apache, пров блокирует Openvpn )

Yggdrasil

Когда в Беларуси в августе 2020 запрещали шифрованные соединения вовне, ни то, ни другое не пролезало через фильтры провайдера.

А вот Psiphon у меня работал.

Да, говорили, что псифон более-менее волок.