Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    OpenVPN von China nach Deutschland wird geblockt

    Scheduled Pinned Locked Moved Deutsch
    china vpn blockreject tunnel
    17 Posts 6 Posters 2.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • K
      krischeu
      last edited by

      Hi,
      OpenVPN wird mittlerweile immer mehr geblockt. Ich habe einige Kunden, bei denen das immer stärker auftritt.
      Was gibt es denn da für möglichkeiten, sich in das eigene Netzwerk zu bringen?
      Grüße
      Heinz

      1 Reply Last reply Reply Quote 0
      • RicoR
        Rico LAYER 8 Rebel Alliance
        last edited by

        Schon mal mit der tls-crypt Option probiert?

        -Rico

        1 Reply Last reply Reply Quote 0
        • K
          krischeu
          last edited by

          Das ist die Client-Config

          dev tun
          tls-client
          remote revolution.carhs.de 1194
          pull
          proto udp
          script-security 2
          ca ca.crt
          comp-lzo
          reneg-sec 0
          auth-user-pass
          
          1 Reply Last reply Reply Quote 0
          • RicoR
            Rico LAYER 8 Rebel Alliance
            last edited by

            Nichts zu sehen von tls-crypt
            Das muss auf beiden Seiten, also Server und Client eingerichtet werden.

            -Rico

            1 Reply Last reply Reply Quote 0
            • G
              Gladius
              last edited by

              Gibt es zu OpenVPN, tls-crypt, DPI und China zuverlässige Aussagen in Bezug auf die Wirkung
              oder sind nur Spekulationen im Spiel? Fakten wären hilfreich.

              War jemand in China? Wenn ja, wurde ein Erfolg erzielt?

              LG

              DTAG (VDSL100) / Speedport Entry2 (Modem) / Jetway NF792i-3160 / Version 2.8.0-RELEASE (amd64)

              1 Reply Last reply Reply Quote 0
              • RicoR
                Rico LAYER 8 Rebel Alliance
                last edited by Rico

                tls-crypt kann generell u.A. genutzt werden um OpenVPN traffic zu verstecken, so steht es auch in der Doku.
                Dass das nicht bei jedem und überall generell funktioniert ist bekannt, bei einigen hilft es dann über stunnel zu gehen.
                Auch in China gibt es wahrscheinlich nicht nur 1 ISP/DPI System... also ja alles Spekulation von meiner Seite um deine Frage zu beantworten.
                Was Fakt ist, dass chinesische ISPs gewisse IPs manchmal temporär komplett blocken wenn sie wissen dass da OpenVPN Traffic drauf läuft, steht auch hier im Forum und in anderen Artikeln.

                -Rico

                1 Reply Last reply Reply Quote 0
                • S
                  slu
                  last edited by

                  Wir mussten das auch lernen als wir eine Anlage dorthin geliefert haben, mit OpenVPN ging die Leitung genau 12 Stunden.

                  Ab dann ist es immer wieder abgebrochen und ich hab "ewig" gebraucht um zu verstehen was mir der Wireshark da zeigt:
                  https://en.wikipedia.org/wiki/TCP_reset_attack

                  Bis zu diesem Zeitpunkt hätte ich das nicht für möglich gehalten. Der Kunde hat jetzt irgend einen VPN Router der sich in die USA verbindet und dort geht unser VPN dann zu uns durch.
                  Paketlaufzeit eine Katastrophe.

                  Was immer gegangen ist war eine deutsche SIM Karte im Datenroaming, ich glaube da trauen die sich nicht hin.

                  pfSense Gold subscription

                  1 Reply Last reply Reply Quote 0
                  • K
                    krischeu
                    last edited by

                    Das ist mal einge gute Idee. Das lass ich mal testen.
                    Danke für den Tip.
                    Grüße
                    Heinz

                    1 Reply Last reply Reply Quote 0
                    • G
                      Gladius
                      last edited by

                      OpenVPN getunnelt über SSL habe ich für Road Warrior Szenarien implementiert. Nun, das funktioniert
                      hierzulande auch problemlos. Nutze dazu pfSense/HAProxy zum Filtern der OpenVPN Verbindungen.

                      Wie die Erfolgsausichten mit stunnel z. B. China sind kann ich nicht sagen. Werde wohl in
                      diesem Leben keine Fakten diesbezüglich mehr liefern können.

                      LG

                      DTAG (VDSL100) / Speedport Entry2 (Modem) / Jetway NF792i-3160 / Version 2.8.0-RELEASE (amd64)

                      1 Reply Last reply Reply Quote 0
                      • K
                        krischeu
                        last edited by

                        Hattest du Roadwarriors ich China?

                        1 Reply Last reply Reply Quote 0
                        • JeGrJ
                          JeGr LAYER 8 Moderator
                          last edited by

                          Aus China kann ich von Kunden zweierlei berichten.

                          1. IPSEC Verbindungen zum Hauptstandort in DE waren langsam, träge oder haben sich manchmal neu verbunden. Generell ging der Tunnel aber, nur war er stellenweise übel lahm, laggy und manchmal wurde er unterbrochen. Prinzipiell hatte man das aber im Land selbst nicht (von C nach C) so dass man schon die Vermutung anstrengen konnte/durfte, dass hier beim Verlassen des Landes die Verbindungen gefiltert wurden bzw. wie mir ein Kollege vor Ort geflüstert hatte absichtlich künstlich verlangsamt.

                          2. OpenVPN Verbindungen waren 50/50. Es gab Verbindungen die unbeeinträchtigt liefen (allerdings eher welche auf tcp/443 Basis), andere hatten mit Abbrüchen, Resets oder auch dem obigen Phänomen zu kämpfen, dass die Verbindungen gedrosselt wurde. Verbindungen via TCP/443 mit TLS Crypt waren weniger häufig betroffen (wenn überhaupt) und wenn überhaupt, dann meist nur von der Drosselung betroffen (was auch normalen https Traffic manchmal betroffen hat). Eine Verlagerung auf andere Ports hatte teils einen positiven Effekt, dass hier wochenlang/monatelang auch mal alles wieder halbwegs flüssig lief.

                          Trotzdem ist tls-crypt für Verbindungen in Locations, in denen man mit DPI Systemen rechnen muss generell die Methode die man bevorzugen sollte, um es dem Zielsystem schwer zu machen, den Traffic von anderen Verbindungen zu unterscheiden. Generell geblockt wird tcp/443 hier von der Mauer nicht, das kann man sich nicht leisten, aber es wird dann gerne gedrosselt, so dass man irgendwann freiwillig auf andere Verbindungen wechselt, weil diese einfach schneller sind. Gleiches Phänomen wurde mir von einem anderen Kunden mit Dependance in China ebenso bestätigt. Kein genereller Block (außer man fällt eindeutig auf), aber crypted Ports werden somit gern gedrosselt und gegängelt. In dem Fall kann ein random-high-port mit tls-crypt ggf. dann die Hilfe sein.

                          Gruß

                          Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                          If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                          1 Reply Last reply Reply Quote 0
                          • K
                            krischeu
                            last edited by

                            Hi Jens,
                            kannst du mir das auf der pfsense einrichten?
                            Was kostet mich das?
                            Grüße
                            Heinz

                            1 Reply Last reply Reply Quote 0
                            • JeGrJ
                              JeGr LAYER 8 Moderator
                              last edited by

                              Sofern es nicht wahnsinnig zeitkritisch ist wäre das bei Zugriff auf beide Seiten machbar. Da ich momentan aber Schulungsvorbereitung und nächste Woche Workshop halte, wird das vor der KW 05 nichts werden.
                              Wenn das genügt, dann kann ich dir gern per Direktnachricht unsere Mailadresse geben, dann kann dir mein Kollege da gern ein Angebot machen.

                              Grüße Jens

                              Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                              If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                              1 Reply Last reply Reply Quote 0
                              • K
                                krischeu
                                last edited by

                                Hi,
                                ein Angebot wäre schön.
                                Grüße
                                Heinz

                                1 Reply Last reply Reply Quote 0
                                • PerforadoP
                                  Perforado Rebel Alliance
                                  last edited by

                                  Früher ging immer das VPN nach hk aufzubauen und von da weiter. Sicher die Laufzeit steigt aber die "Neugier" der gwoc war, bisher, geringer ;)
                                  Viel Erfolg.

                                  1 Reply Last reply Reply Quote 0
                                  • K
                                    krischeu
                                    last edited by

                                    Im Moment geht es wieder. Ich habe statt dem DNS Eintrag nur die direkte IP-Adresse im VPN Client eingetragen. Mal sehen, wie lange das gut funktioniert.

                                    1 Reply Last reply Reply Quote 0
                                    • JeGrJ
                                      JeGr LAYER 8 Moderator
                                      last edited by

                                      Mit oder ohne tls-crypt? Auf tcp/443? Wie gesagt bei einigen genügt bereits tcp443 und tls-crypt sauber zu konfigurieren, um halbwegs vernünftige Verbindung zu haben.

                                      Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                                      If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                                      1 Reply Last reply Reply Quote 0
                                      • First post
                                        Last post
                                      Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.