[M-a-x-Z]

я тоже пробовал вешать прокси на 443 и стучаться на него из Китая, не вышло, там хитрый dpi, который отличает https от прочего

товарищ nuclearcat предлагал stunnel, типа он похож на https. http://www.chromium.org/developers/design-documents/secure-web-proxy

ssh, кстати, у меня там работал, без подмены сертификата даже

Что характерно SSH и PPTP работают восновном прекрасно из гостицинц. Зачем они блокируют OpenVPN мне не ясно. Хотя у них своя философия. Я связался с OpenVPN из-за VPN в публичных сетях, типа пекинского аэропорта, который даже аську не пускает - только веб и только хардкор.

Про stunnel почитаю...

А SSH без подмены сертификата кем? Фаерволом? Даже в Китае я такой экхоитики не видел. Покрайней мере M-i-M в HTTPS они не встраивают.

[thodin]

Неужели великий китайский фаервол уже перешел на DPI и может отличать HTTPS от OpenVPN?? И когда подобного ждать нам?

Всегда был на DPI основан и openvpn они определяют влет.

И не только в Китае, кстати.

 

В таких случаях настоящие индейцы используют obfsproxy вместе с ScrambleSuit.

 

Покрайней мере M-i-M в HTTPS они не встраивают.

Встраивают переодически.

[s.lobanov]

я тоже пробовал вешать прокси на 443 и стучаться на него из Китая, не вышло, там хитрый dpi, который отличает https от прочего

товарищ nuclearcat предлагал stunnel, типа он похож на https. http://www.chromium.org/developers/design-documents/secure-web-proxy

ssh, кстати, у меня там работал, без подмены сертификата даже

А SSH без подмены сертификата кем? Фаерволом? Даже в Китае я такой экхоитики не видел. Покрайней мере M-i-M в HTTPS они не встраивают.

я в рф каждый рабочий день вижу эту "экзотику". поработайте в крупной организации/банке и рассказы сноудены покажутся детским лепетом

 

даже микротик на хотспотах умеет м-и-т-м для https. это видел в москве в гостинице

[M-a-x-Z]

Всегда был на DPI основан и openvpn они определяют влет.

И не только в Китае, кстати.

В таких случаях настоящие индейцы используют obfsproxy вместе с ScrambleSuit.

Странно...полное невнимание к шифрованному PPTP и запрет на OpenVPN. Нелогично. Хотя иностранцам удобно. У меня просто ещё было предположение что OpenVPN в целом не криминально, а ненравится конкретный немецкий сервак.

Встраивают переодически.

Пока ещё не наблюдал такого...

 

Кстати из особенностей их фаервола: гугл запрещён напрочь, в т.ч. не работает maps.google.com. Но приложение гугл карт на андроиде - работает прекрасно. Как эти два фактора сочитаются - не понимаю.

Мне-то конечно больше их карты на baidu нравятся, потому что они по названиям на иероглифах ищут адекватно (гугл китайского не понимает). Но удивительно.

Изменено 10 августа, 2014 пользователем M-a-x-Z

[m0xf]

А если настроить openvpn без использования сертификата (static key) по udp? Насколько я знаю, при таких настройках трафик не будет иметь фиксированных закономерностей.

[M-a-x-Z]

даже микротик на хотспотах умеет м-и-т-м для https. это видел в москве в гостинице

Ну в банке - ладно, там своя СБ. А в гостинице - разве это не будет являться НСД?? Ведь явно сделано по местечковой иннициативе, а не секретной директиве ФСБ.

[s.lobanov]

M-a-x-Z

да просто в китае андроид-телефоны идут без гуглосервисов и меняют прошивку/ставят гугловские приложения только гики, а гос-во интересует массы

[M-a-x-Z]

А если настроить openvpn без использования сертификата (static key) по udp? Насколько я знаю, при таких настройках трафик не будет иметь фиксированных закономерностей.

Возможно, но в большинстве публичныйх вайфаев как в РФ, так и за пределами простой UDP трафик будет закрыт для борьбы с торрентами. Ну не по порту 53 или 123 гнать VPN в самом деле - его DPI ещё быстрее раскусит.

[s.lobanov]

А если настроить openvpn без использования сертификата (static key) по udp? Насколько я знаю, при таких настройках трафик не будет иметь фиксированных закономерностей.

 

а хендшейк будет похож на настоящий https? если нет, то подропают

[M-a-x-Z]

M-a-x-Z

да просто в китае андроид-телефоны идут без гуглосервисов и меняют прошивку/ставят гугловские приложения только гики, а гос-во интересует массы

Без вопросов это так. Но скорее удивляет что:

а) спутниковые снимки для приложения и сайта грузятся с разных серверов

б) сервера находятся в разных несвязанных подсетях

[m0xf]

а хендшейк будет похож на настоящий https? если нет, то подропают

По udp то? Там нет его вообще. На самом деле, всё зависит от того, что делается с трафиком, который не удалось распознать.

[M-a-x-Z]

А если настроить openvpn без использования сертификата (static key) по udp? Насколько я знаю, при таких настройках трафик не будет иметь фиксированных закономерностей.

 

а хендшейк будет похож на настоящий https? если нет, то подропают

HTTPS по UPD o_O??

[thodin]

Странно...полное невнимание к шифрованному PPTP и запрет на OpenVPN. Нелогично. Хотя иностранцам удобно. У меня просто ещё было предположение что OpenVPN в целом не криминально, а ненравится конкретный немецкий сервак.

Да может быть все, что угодно. Там же не статические правила, можно только догадываться, что сработало в этот момент.

[s.lobanov]

M-a-x-Z

да, че-то я про udp и не углядел

 

На самом деле, всё зависит от того, что делается с трафиком, который не удалось распознать.

сами догадаетесь?

[thodin]

А если настроить openvpn без использования сертификата (static key) по udp? Насколько я знаю, при таких настройках трафик не будет иметь фиксированных закономерностей.

Любой незнакомый UDP нужно блокировать, простым людям udp не нужен.

[s.lobanov]

M-a-x-Z

да просто в китае андроид-телефоны идут без гуглосервисов и меняют прошивку/ставят гугловские приложения только гики, а гос-во интересует массы

Без вопросов это так. Но скорее удивляет что:

а) спутниковые снимки для приложения и сайта грузятся с разных серверов

б) сервера находятся в разных несвязанных подсетях

а вы обратили внимание, что сервера yahoo-почты .cn находятся в китае? ставите сервера в китае, выполняете требования властей и работаете

[m0xf]

Любой незнакомый UDP нужно блокировать, простым людям udp не нужен.

А как же 100500 разных игрушек? И новые выходят часто, сложно правила обновлять.

[s.lobanov]

сложно правила обновлять

а. локализация

б. пару тыщ китайцев из пары миллиардов можно выделить, чтоб обновлять фильтры

[thodin]

А как же 100500 разных игрушек? И новые выходят часто, сложно правила обновлять.

Для игрушек полезно ставить игровые сервера сразу в Китае.

[vIv]

M-a-x-Z

да просто в китае андроид-телефоны идут без гуглосервисов и меняют прошивку/ставят гугловские приложения только гики, а гос-во интересует массы

Херня. Полная.

[M-a-x-Z]

Херня. Полная.

Это не моя цитата)

[stas_k]

Странно...полное невнимание к шифрованному PPTP и запрет на OpenVPN. Нелогично.

самый крутой PPtP на стареньком Core2Duo "раскрывается" полностью за пару часов. из записанного и расшифрованного сеанса связи извлекается ключ (одной из сторон), и потом с этим ключом читаются все записанные сеансы этой стороны и смотрятся онлайн все будущие сеансы.

PPtP - это "защита" от пионеров не имеющих технической возможности снифить трафик.

[M-a-x-Z]

Странно...полное невнимание к шифрованному PPTP и запрет на OpenVPN. Нелогично.

самый крутой PPtP на стареньком Core2Duo "раскрывается" полностью за пару часов. из записанного и расшифрованного сеанса связи извлекается ключ (одной из сторон), и потом с этим ключом читаются все записанные сеансы этой стороны и смотрятся онлайн все будущие сеансы.

PPtP - это "защита" от пионеров не имеющих технической возможности снифить трафик.

MS-CHAPv2 + MPPE128 можно вскрыть за пару часов? Често не знал. И нагуглить не могу. Можете ссылкой какой-нибудь поделиться?

У нас конечно провайдеры любят нешифрованный PPTP, но речь видимо не о нём, так как его содержимое даже WireShark видит.

[agr]

А посоветуйте дешманский хостинг с возможностью поднятия BGP сессии и бизлимитом по трафику. Обычно на дешманских тарифах стоит ограничение 0.5-2TB в месяц и конскимм цеником за превышение. Существуют ли vps с BGP c лимитом 15-20Tb в пределах 50-70$ в месяц?

[Sergey Gilfanov]

MS-CHAPv2 + MPPE128 можно вскрыть за пару часов? Често не знал. И нагуглить не могу. Можете ссылкой какой-нибудь поделиться?

Кажется, это. соответствующая статья