Въведение в процеса на скриване на OpenVPN трафика

Заслужава да се отбележи, че ограниченията в интернет са се затегнали по цял свят. Правителствата изглежда са все по-загрижени за използването на VPN мрежи, и правят всичко възможно да ги надхитрят и преодолеят техните ограничения. Великата китайска защитна стена засега се показва като доста ефективна и успява да блокира повечето VPN доставчици в и извън Китай.

Не е нужно да казваме, че е невъзможно да се видят данните, криптирани във VPN тунелите. Усъвършенствани защитни стени използват ефективно DPI (задълбочена проверка на пакетите) техники, които са в състояние да анализират и преодолеят всички използвани техники за криптиране, включително SSL криптиране.

Има множество решения на въпросния проблем, но повечето от тях изискват технически познания относно конфигуриране на сървъри. Предназначението на тази статия е да ви представи няколко опции, които имате на разположение. Ако сте загрижени и искате да скриете своите VPN сигнали, и ако препращането през Port 443 липсва, то трябва да се свържете с вашия VPN доставчик, за да се уверите, че те имат готовност да имплементират което и да е от решенията споменати по-долу.

Препращане на порт през TCP порт 443

Като един от най-лесните начини, може да се процедира с него без каквито и да е затруднения. От вас не се иска да имате технически познания относно настройването на сървъри, които биха били нужни при всички други случаи, за да можете да препратите вашата OpenVPN през порт 443.

Не трябва да забравяте, че по подразбиране OpenVPN използва TCP порт 80. Обикновено, защитните стени следят порт 80 и отхвърлят криптиран трафик, който се опитва да ги използва. В случай на HTTPS, порт 443 е настроен като основния порт по подразбиране. Портът се използва най-вече из цялата уеб мрежа от гиганти като Twitter, Gmail, банки и др.

OpenVPN като HTTPS използват SSL кодиране и са относително трудни за идентифициране с порт 443. Блокирането на порта ще прекрати достъпа до интернет и поради това не е практичен избор за интернет цензурата.

Препращането на порт се поддържа по подразбиране от почти всеки OpenVPN клиент, което прави промяната на порт 433 много лесна за вас. В случай, че вашият VPN доставчик предлага такъв клиент, би трябвало да се свържете с него по най-бързия начин.

За съжаление, OpenVPN не използва стандартното SSL кодиране и предвид Deep Inspection техниките, използвани в страни като Китай, по-лесно е да се каже дали криптираният трафик е истински. Ако случаят е такъв, то тогава ще трябва да се обмислят необичайни начини да се избегне засичане.

Obfsproxy

Сървърът ефективно изолира данни в Obfsproxy (завоалиращ слой), който прави изключително трудно да се засече дали се използва OpenVPN. Тази стратегия бе възприета наскоро от Tor, с цел да се пребори Китай и неговите мерки за блокиране на достъпа до публичните Tor мрежи. Проксито е самоуправляващо се и лесно може да бъде криптирано от OpenVPN.

Obfsproxy трябва да бъде инсталирано на компютъра на клиента, както и на VPN сървъра. След казаното дотук, то не изглежда толкова надеждно в сравнение с други методи за тунелиране, нито изолира трафика в кодиране, но пък има по-малък разход на трафик. Това го прави ефективен избор за потребители в страни като Сирия и Етиопия, където има остър недостиг на трафик. Obfsproxy е относително лесно за конфигуриране и настройване, което си е плюс.

SSL тунелиране за OpenVPN

SSL (слой със защитени сокети) канал може да се използва самостоятелно като ефективен заместител на OpenVPN. Много прокси сървъри го използват, за да защитят своите връзки. Освен това, той изцяло прикрива използването на OpenVPN. Предвид това, че OpenVPN използва TLS или SSL криптиране, той е съвсем различен от обикновения SSL канал и по-лесно се засича от усъвършенствани DPI техники. За да се избегне това, би било умно да се скрият OpenVPN данните в допълнителен закодиран слой, тъй като DPI техниките не могат да проникнат през външния слой на SSL каналите.

Заключение

Не е нужно да казваме, че OpenVPN не изглежда по-различен от обикновения SSL трафик без задълбочена проверка на пакетите. Това допълнително се подсилва ако OpenVPN се препрати през TCP порт 443. От друга страна, държави като Китай и Иран са непреклонни в желанието си да контролират достъпа на местното население до интернет. Интересен факт е, че те разполагат с някои от най-впечатляващите в чисто технически аспект мерки за засичане на скрит трафик. Това може не само да ви навлече неприятности, но е дори още по-добра причина защо да обмислите споменатите по-горе фактори.