[iCEDmAN]

задача удаленный офис в Китае с туннелем в Россию

есть реально рабочие примеры? какие могут быть подводные камни? как там со скоростью

спасибо

[vlad11]

Скорость очень пичальная, в туннеле - порядка 200-400 KBps

[Merridius]

Был опыт построения туннеля GRE over IPSEC, Шанхай <-> Москва, через интернет. Основная проблема - задержка. У нас прыгала от 200 до 500 мс, но телефония, в принципе, нормально работала через туннель, хотя задержки сильно ощущались. Кстати в Китае провайдер был China Telecom.

[ilia_2s]

AnyVPN over TOR или корпоративный VSAT?

[maruk]

Великий Китайский FW, VPN-ы разве не режет?

[s.lobanov]

maruk

там всё сложно. публичные сервисы вообщем-то порезаны. ssh на неизвестные адреса открыт, дальше понятно что с этим делать

[ilia_2s]

http method connect рулит и опенвпн на 80\443 порту. А еще можно в http pst\get инкапсулировать трафик свой, где-то даже видел такой софт

[dignity]

Коллеги, самое важное, как мне кажется, здесь то, что вы не сможете обеспечить работоспособность в течение недель и месяцев без перенастройки. Будут рубить, по крайней мере, когда я был на Хайнане и пробовал разные vpnы, работала вся эта экосистема как вероятностная вещь. То есть - это не продакшн решение совсем. Думаю, что только двусторонний спутник или какие-то транзиты через Гонконг дадут что-то разумное. В Гонконге куча мировых банков, а значит есть vpnы, как-то же они работают)

[s.lobanov]

пробовал разные vpnы

 

паблик сервисы? паблик сервисы рубятся, в то время как ssh на неизвестные хосты - нет (если конечно вся сеть по политическим причинам не попала в бан)

 

ещё как вариант - аренда сервера в китайском/гонконгском ДЦ

 

А еще можно в http pst\get инкапсулировать трафик свой, где-то даже видел такой софт

 

fteproxy, не пробовал когда бы в Китае, но это не так сложно отследить по косвенным признакам и китайцы подобными вещами занимаются

 

китайские вендоры имеют jumphost-ы в европах, чтобы ходить на оборудование заказчиков

[v_r]

SSL VPN корректно работает, файерволом не режется. Правда какой софт поддерживает site-to-site SSL VPN мне не известно.

В Гонконге куча мировых банков, а значит есть vpnы, как-то же они работают)

VPN с доступом в Интернет у международных компаний в Китае однозначно есть, знаю что из офисов народ сидит в Skype и Facebook.

В Гонконге скорее всего немного другие правила файервола или другие пути, например Gmail в Пекине в публичных сетях можно только читать и Skype работает не везде, а в Гонконге ни с тем ни с другим в публичных сетях проблем нету.

[dignity]

паблик сервисы? паблик сервисы рубятся, в то время как ssh на неизвестные хосты - нет (если конечно вся сеть по политическим причинам не попала в бан)

Там, наверняка, эвристические алгоритмы, которые и корп vpn могут подмять, я только про это.

[rm_]

Поговаривают лучше всего сейчас работает Shadowsocks, но это не VPN, это просто SOCKS-прокси.

По факту передачи большого объёма данных по SSH банится серверный IP.

Из VPN-протоколов только "энтерпрайзные", Cisco AnyConnect и IKEv2.

[poisons]

Глупость наверное спрошу, а нет ли там возможности как то законным путем получить туннель до нужной точки?

Как то законодательно это не регулируется? Ведь уйма же международных компаний и они ведь как то работают и очень сомневаюсь что они пользуются всякими костылями, которые в один прекрасный момент могут перестать работать, т.к. их зарежут на великом китайском фаерволе.

(спрашиваю из чистого интереса)

[Alexsis]

В 21.04.2017 в 20:23, Merridius сказал:

Был опыт построения туннеля GRE over IPSEC, Шанхай <-> Москва, через интернет. Основная проблема - задержка. У нас прыгала от 200 до 500 мс, но телефония, в принципе, нормально работала через туннель, хотя задержки сильно ощущались. Кстати в Китае провайдер был China Telecom.

А через какой впн работали то?)))) С бесплатного что ли?

[kapydan]

В 21.04.2017 в 20:23, Merridius сказал:

Был опыт построения туннеля GRE over IPSEC, Шанхай <-> Москва, через интернет.

Были два офиса в Китае - как раз Шанхай и Гуанчжоу. Единственное, что спасало - линия е1 до Шанхая, а оттуда уже был тоннель до Гуанчжоу. Но временами была такая штука, что с ipsec он просто не работал - в итоге, приходилось его снимать, а потом возвращать...

 

В 21.04.2017 в 20:23, Merridius сказал:

China Telecom

бэээ - полный треш и отстутсвие вменяемой англоговорящей поддержки. Приходилось все проблемы решать через менеджера, который с трудом понимал что от него хотят

 

В 24.04.2017 в 19:01, poisons сказал:

Глупость наверное спрошу, а нет ли там возможности как то законным путем получить туннель до нужной точки?

Как то законодательно это не регулируется? Ведь уйма же международных компаний и они ведь как то работают и очень сомневаюсь что они пользуются всякими костылями, которые в один прекрасный момент могут перестать работать, т.к. их зарежут на великом китайском фаерволе.

имеется ввиду мплс или типа того? возможно, у автора темы нет бюджета на это...

[jffulcrum]

В 24.04.2017 в 19:01, poisons сказал:

а нет ли там возможности как то законным путем получить туннель до нужной точки?

В China telecom в феврале появились выделенные менеджеры на эту тему. Предварительное общение (на апрель) таково:

 

1. Ты должен быть не хер с горы, а официальный инвестор в зоне развития или СП с китайской фирмой. Иначе шансы пройти согласования - призрачны.

2. Тебе в офис ставят спецкоробку и трафик должен идти в нее ДО шифрования. Коробка проверяет, что ты не тырышь секреты и не используешь для обхода блокировок всем желающим. Коробка требует отдельного подключения к интернет (как понимается - к контрольному центру) и залог в 100К юаней. Это миллион рублей, если что. Считай, обеспечение возможных штрафов.

3. Назначается ответственное лицо, которое общается с органами по всем вопросам и в случае чего пойдет турма сидеть.

4. Один хер не все документы по процессам еще утверждены, так что вот прям счас делают только по указанию Свыше.

 

Поэтому все сидят на SSH и надеются, что пронесет от тотальных облав.

[murano]

Softether