M-a-x-Z Опубликовано 10 августа, 2014 · Жалоба я тоже пробовал вешать прокси на 443 и стучаться на него из Китая, не вышло, там хитрый dpi, который отличает https от прочего товарищ nuclearcat предлагал stunnel, типа он похож на https. http://www.chromium.org/developers/design-documents/secure-web-proxy ssh, кстати, у меня там работал, без подмены сертификата даже Что характерно SSH и PPTP работают восновном прекрасно из гостицинц. Зачем они блокируют OpenVPN мне не ясно. Хотя у них своя философия. Я связался с OpenVPN из-за VPN в публичных сетях, типа пекинского аэропорта, который даже аську не пускает - только веб и только хардкор. Про stunnel почитаю... А SSH без подмены сертификата кем? Фаерволом? Даже в Китае я такой экхоитики не видел. Покрайней мере M-i-M в HTTPS они не встраивают. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
thodin Опубликовано 10 августа, 2014 · Жалоба Неужели великий китайский фаервол уже перешел на DPI и может отличать HTTPS от OpenVPN?? И когда подобного ждать нам? Всегда был на DPI основан и openvpn они определяют влет. И не только в Китае, кстати. В таких случаях настоящие индейцы используют obfsproxy вместе с ScrambleSuit. Покрайней мере M-i-M в HTTPS они не встраивают. Встраивают переодически. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 10 августа, 2014 · Жалоба я тоже пробовал вешать прокси на 443 и стучаться на него из Китая, не вышло, там хитрый dpi, который отличает https от прочего товарищ nuclearcat предлагал stunnel, типа он похож на https. http://www.chromium.org/developers/design-documents/secure-web-proxy ssh, кстати, у меня там работал, без подмены сертификата даже А SSH без подмены сертификата кем? Фаерволом? Даже в Китае я такой экхоитики не видел. Покрайней мере M-i-M в HTTPS они не встраивают. я в рф каждый рабочий день вижу эту "экзотику". поработайте в крупной организации/банке и рассказы сноудены покажутся детским лепетом даже микротик на хотспотах умеет м-и-т-м для https. это видел в москве в гостинице Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
M-a-x-Z Опубликовано 10 августа, 2014 (изменено) · Жалоба Всегда был на DPI основан и openvpn они определяют влет. И не только в Китае, кстати. В таких случаях настоящие индейцы используют obfsproxy вместе с ScrambleSuit. Странно...полное невнимание к шифрованному PPTP и запрет на OpenVPN. Нелогично. Хотя иностранцам удобно. У меня просто ещё было предположение что OpenVPN в целом не криминально, а ненравится конкретный немецкий сервак. Встраивают переодически. Пока ещё не наблюдал такого... Кстати из особенностей их фаервола: гугл запрещён напрочь, в т.ч. не работает maps.google.com. Но приложение гугл карт на андроиде - работает прекрасно. Как эти два фактора сочитаются - не понимаю. Мне-то конечно больше их карты на baidu нравятся, потому что они по названиям на иероглифах ищут адекватно (гугл китайского не понимает). Но удивительно. Изменено 10 августа, 2014 пользователем M-a-x-Z Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
m0xf Опубликовано 10 августа, 2014 · Жалоба А если настроить openvpn без использования сертификата (static key) по udp? Насколько я знаю, при таких настройках трафик не будет иметь фиксированных закономерностей. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
M-a-x-Z Опубликовано 10 августа, 2014 · Жалоба даже микротик на хотспотах умеет м-и-т-м для https. это видел в москве в гостинице Ну в банке - ладно, там своя СБ. А в гостинице - разве это не будет являться НСД?? Ведь явно сделано по местечковой иннициативе, а не секретной директиве ФСБ. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 10 августа, 2014 · Жалоба M-a-x-Z да просто в китае андроид-телефоны идут без гуглосервисов и меняют прошивку/ставят гугловские приложения только гики, а гос-во интересует массы Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
M-a-x-Z Опубликовано 10 августа, 2014 · Жалоба А если настроить openvpn без использования сертификата (static key) по udp? Насколько я знаю, при таких настройках трафик не будет иметь фиксированных закономерностей. Возможно, но в большинстве публичныйх вайфаев как в РФ, так и за пределами простой UDP трафик будет закрыт для борьбы с торрентами. Ну не по порту 53 или 123 гнать VPN в самом деле - его DPI ещё быстрее раскусит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 10 августа, 2014 · Жалоба А если настроить openvpn без использования сертификата (static key) по udp? Насколько я знаю, при таких настройках трафик не будет иметь фиксированных закономерностей. а хендшейк будет похож на настоящий https? если нет, то подропают Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
M-a-x-Z Опубликовано 10 августа, 2014 · Жалоба M-a-x-Z да просто в китае андроид-телефоны идут без гуглосервисов и меняют прошивку/ставят гугловские приложения только гики, а гос-во интересует массы Без вопросов это так. Но скорее удивляет что: а) спутниковые снимки для приложения и сайта грузятся с разных серверов б) сервера находятся в разных несвязанных подсетях Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
m0xf Опубликовано 10 августа, 2014 · Жалоба а хендшейк будет похож на настоящий https? если нет, то подропают По udp то? Там нет его вообще. На самом деле, всё зависит от того, что делается с трафиком, который не удалось распознать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
M-a-x-Z Опубликовано 10 августа, 2014 · Жалоба А если настроить openvpn без использования сертификата (static key) по udp? Насколько я знаю, при таких настройках трафик не будет иметь фиксированных закономерностей. а хендшейк будет похож на настоящий https? если нет, то подропают HTTPS по UPD o_O?? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
thodin Опубликовано 10 августа, 2014 · Жалоба Странно...полное невнимание к шифрованному PPTP и запрет на OpenVPN. Нелогично. Хотя иностранцам удобно. У меня просто ещё было предположение что OpenVPN в целом не криминально, а ненравится конкретный немецкий сервак. Да может быть все, что угодно. Там же не статические правила, можно только догадываться, что сработало в этот момент. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 10 августа, 2014 · Жалоба M-a-x-Z да, че-то я про udp и не углядел На самом деле, всё зависит от того, что делается с трафиком, который не удалось распознать. сами догадаетесь? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
thodin Опубликовано 10 августа, 2014 · Жалоба А если настроить openvpn без использования сертификата (static key) по udp? Насколько я знаю, при таких настройках трафик не будет иметь фиксированных закономерностей. Любой незнакомый UDP нужно блокировать, простым людям udp не нужен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 10 августа, 2014 · Жалоба M-a-x-Z да просто в китае андроид-телефоны идут без гуглосервисов и меняют прошивку/ставят гугловские приложения только гики, а гос-во интересует массы Без вопросов это так. Но скорее удивляет что: а) спутниковые снимки для приложения и сайта грузятся с разных серверов б) сервера находятся в разных несвязанных подсетях а вы обратили внимание, что сервера yahoo-почты .cn находятся в китае? ставите сервера в китае, выполняете требования властей и работаете Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
m0xf Опубликовано 10 августа, 2014 · Жалоба Любой незнакомый UDP нужно блокировать, простым людям udp не нужен. А как же 100500 разных игрушек? И новые выходят часто, сложно правила обновлять. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 10 августа, 2014 · Жалоба сложно правила обновлять а. локализация б. пару тыщ китайцев из пары миллиардов можно выделить, чтоб обновлять фильтры Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
thodin Опубликовано 10 августа, 2014 · Жалоба А как же 100500 разных игрушек? И новые выходят часто, сложно правила обновлять. Для игрушек полезно ставить игровые сервера сразу в Китае. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 10 августа, 2014 · Жалоба M-a-x-Z да просто в китае андроид-телефоны идут без гуглосервисов и меняют прошивку/ставят гугловские приложения только гики, а гос-во интересует массы Херня. Полная. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
M-a-x-Z Опубликовано 11 августа, 2014 · Жалоба Херня. Полная. Это не моя цитата) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stas_k Опубликовано 11 августа, 2014 · Жалоба Странно...полное невнимание к шифрованному PPTP и запрет на OpenVPN. Нелогично. самый крутой PPtP на стареньком Core2Duo "раскрывается" полностью за пару часов. из записанного и расшифрованного сеанса связи извлекается ключ (одной из сторон), и потом с этим ключом читаются все записанные сеансы этой стороны и смотрятся онлайн все будущие сеансы. PPtP - это "защита" от пионеров не имеющих технической возможности снифить трафик. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
M-a-x-Z Опубликовано 11 августа, 2014 · Жалоба Странно...полное невнимание к шифрованному PPTP и запрет на OpenVPN. Нелогично. самый крутой PPtP на стареньком Core2Duo "раскрывается" полностью за пару часов. из записанного и расшифрованного сеанса связи извлекается ключ (одной из сторон), и потом с этим ключом читаются все записанные сеансы этой стороны и смотрятся онлайн все будущие сеансы. PPtP - это "защита" от пионеров не имеющих технической возможности снифить трафик. MS-CHAPv2 + MPPE128 можно вскрыть за пару часов? Често не знал. И нагуглить не могу. Можете ссылкой какой-нибудь поделиться? У нас конечно провайдеры любят нешифрованный PPTP, но речь видимо не о нём, так как его содержимое даже WireShark видит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
agr Опубликовано 11 августа, 2014 · Жалоба А посоветуйте дешманский хостинг с возможностью поднятия BGP сессии и бизлимитом по трафику. Обычно на дешманских тарифах стоит ограничение 0.5-2TB в месяц и конскимм цеником за превышение. Существуют ли vps с BGP c лимитом 15-20Tb в пределах 50-70$ в месяц? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 11 августа, 2014 · Жалоба MS-CHAPv2 + MPPE128 можно вскрыть за пару часов? Често не знал. И нагуглить не могу. Можете ссылкой какой-нибудь поделиться? Кажется, это. соответствующая статья Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...