Как правильно использовать VPN
ну если я притендую хоть на какое-то понимание области ИКТ, то придется сразу сделать шаг назад это точно не VPN. эта штука будет создавать прямой трафик, который видно.
теорию вопроса можно найти здесь. и тут мне подумалось. я всегда ругался на использование VPN для обхода блокировок. ну зачем? хотя популярность это средство приобрело видимо потому, что не требует каких либо знаний от пользователей. уверен мало кто знает что обозначают эти 3 магические буквы.
но раскрою секрет: VPN это Virtual Private Network. т.е. назначение технологии получение доступа к некой частной сети, а все остальное там делается поскольку постольку. например совершенно не обязательно, что VPN шифрует трафик. например для доступа к корпоративной сети это важно. может использоваться l2tp/ipsec. но это все же частный случай.
хотя VPN как правило надежно скрывает трафик до точки подключения и поэтому может использоваться как средство обхода блокировок.
что я предлагаю. сейчас почти все блокировки основаны на отбрасывании первого пакета установления защищенного соединения. либо отбрасываются пакеты с некоторые SNI либо версии протокола TLS.
что можно сделать. поднять тоннель за пределы ТСПУ (можно даже использовать приватные адреса) и швырнуть через этот тоннель один единственный пакет - нам нужно просто преодолеть ТСПУ. т.е. у отправителя пакета адрес который вам выдал провайдер.
первый пакет по такому кривому пути долетит до сервера, а дальше трафик пойдет естественным образом.
это дает возможность строить "VPN" соединение с огромной пропускной способностью т.к. через сервер проходит не полностью всё TLS соединение, а один единственный пакет.
не достатком же будет что весь остальной трафик кроме первого пакета идет естественным образом и его видно.
можно ли это легко поломать? да можно, но пусть РКН догадывается сам как.
вообще говоря это может реализовать любой провайдер при помощи PBR. у его клиентов просто резко заработает все. метод применим для преодоления любых систем фильтрации трафика основанных на DPI.
суть можно выразить словами:
fwd ${gate1} ip6 from ${lan} to any 443 tcpflags ack via ${inet} out
- ${lan} - заинтересованные адреса
- ${inet} интерфес смотрящий в интернет
- ${gate1} адрес шлюза которым может быть конечная точка тоннеля или сетевой адрес иного шлюза.
для провайдера это дает возможность подключить всю сеть через одно единственное подключение VPN. конечно намного надежнее и эффективнее делать это при помощи DPI, но как говорится и так сойдет.
хотя в случае провайдера я бы делал не так.
во-первых я бы отзеркалил трафик. чтобы ТСПУ благополучно что-то отбрасывала.
а из отзеркаленого трафика выделил бы нужные пакеты и мелко бы их нарубил - эти пакеты ТСПУ преодолеют.
вот и получается ТСПУ радостно что-то отбрасывает, но нам на это пофиг. хотя видимо эта псевдомаскировка не очень нужна - трафик прямой и его видно.
может быть имеет смысл делать именно как написано. т.е. от клиента на сервер ютуб идет незначительный трафик. т.е. весь исходяший трафик мы пробросим через тоннель (просто уберите tcpflags ack) что будет полезно при блокировки по IP. заодно и проверим понимает ли что-то в сетях человек который эту ТСПУ проектировал. если заработает, а заблокировано по IP придумать что-то более издевательское будет сложно.
P.S.
моё внимание обратили что я немного накосячил "tcpflags ack" проблему выбора только первого пакета соединения решает плохо. видимо эффективно реализовать это без использования DPI не получится (забавно DPI помогает обходить DPI).