OpenVPN von China nach Deutschland wird geblockt
-
Wir mussten das auch lernen als wir eine Anlage dorthin geliefert haben, mit OpenVPN ging die Leitung genau 12 Stunden.
Ab dann ist es immer wieder abgebrochen und ich hab "ewig" gebraucht um zu verstehen was mir der Wireshark da zeigt:
https://en.wikipedia.org/wiki/TCP_reset_attackBis zu diesem Zeitpunkt hätte ich das nicht für möglich gehalten. Der Kunde hat jetzt irgend einen VPN Router der sich in die USA verbindet und dort geht unser VPN dann zu uns durch.
Paketlaufzeit eine Katastrophe.Was immer gegangen ist war eine deutsche SIM Karte im Datenroaming, ich glaube da trauen die sich nicht hin.
-
Das ist mal einge gute Idee. Das lass ich mal testen.
Danke für den Tip.
Grüße
Heinz -
OpenVPN getunnelt über SSL habe ich für Road Warrior Szenarien implementiert. Nun, das funktioniert
hierzulande auch problemlos. Nutze dazu pfSense/HAProxy zum Filtern der OpenVPN Verbindungen.Wie die Erfolgsausichten mit stunnel z. B. China sind kann ich nicht sagen. Werde wohl in
diesem Leben keine Fakten diesbezüglich mehr liefern können.LG
-
Hattest du Roadwarriors ich China?
-
Aus China kann ich von Kunden zweierlei berichten.
-
IPSEC Verbindungen zum Hauptstandort in DE waren langsam, träge oder haben sich manchmal neu verbunden. Generell ging der Tunnel aber, nur war er stellenweise übel lahm, laggy und manchmal wurde er unterbrochen. Prinzipiell hatte man das aber im Land selbst nicht (von C nach C) so dass man schon die Vermutung anstrengen konnte/durfte, dass hier beim Verlassen des Landes die Verbindungen gefiltert wurden bzw. wie mir ein Kollege vor Ort geflüstert hatte absichtlich künstlich verlangsamt.
-
OpenVPN Verbindungen waren 50/50. Es gab Verbindungen die unbeeinträchtigt liefen (allerdings eher welche auf tcp/443 Basis), andere hatten mit Abbrüchen, Resets oder auch dem obigen Phänomen zu kämpfen, dass die Verbindungen gedrosselt wurde. Verbindungen via TCP/443 mit TLS Crypt waren weniger häufig betroffen (wenn überhaupt) und wenn überhaupt, dann meist nur von der Drosselung betroffen (was auch normalen https Traffic manchmal betroffen hat). Eine Verlagerung auf andere Ports hatte teils einen positiven Effekt, dass hier wochenlang/monatelang auch mal alles wieder halbwegs flüssig lief.
Trotzdem ist tls-crypt für Verbindungen in Locations, in denen man mit DPI Systemen rechnen muss generell die Methode die man bevorzugen sollte, um es dem Zielsystem schwer zu machen, den Traffic von anderen Verbindungen zu unterscheiden. Generell geblockt wird tcp/443 hier von der Mauer nicht, das kann man sich nicht leisten, aber es wird dann gerne gedrosselt, so dass man irgendwann freiwillig auf andere Verbindungen wechselt, weil diese einfach schneller sind. Gleiches Phänomen wurde mir von einem anderen Kunden mit Dependance in China ebenso bestätigt. Kein genereller Block (außer man fällt eindeutig auf), aber crypted Ports werden somit gern gedrosselt und gegängelt. In dem Fall kann ein random-high-port mit tls-crypt ggf. dann die Hilfe sein.
Gruß
-
-
Hi Jens,
kannst du mir das auf der pfsense einrichten?
Was kostet mich das?
Grüße
Heinz -
Sofern es nicht wahnsinnig zeitkritisch ist wäre das bei Zugriff auf beide Seiten machbar. Da ich momentan aber Schulungsvorbereitung und nächste Woche Workshop halte, wird das vor der KW 05 nichts werden.
Wenn das genügt, dann kann ich dir gern per Direktnachricht unsere Mailadresse geben, dann kann dir mein Kollege da gern ein Angebot machen.Grüße Jens
-
Hi,
ein Angebot wäre schön.
Grüße
Heinz -
Früher ging immer das VPN nach hk aufzubauen und von da weiter. Sicher die Laufzeit steigt aber die "Neugier" der gwoc war, bisher, geringer ;)
Viel Erfolg. -
Im Moment geht es wieder. Ich habe statt dem DNS Eintrag nur die direkte IP-Adresse im VPN Client eingetragen. Mal sehen, wie lange das gut funktioniert.
-
Mit oder ohne tls-crypt? Auf tcp/443? Wie gesagt bei einigen genügt bereits tcp443 und tls-crypt sauber zu konfigurieren, um halbwegs vernünftige Verbindung zu haben.
