OpenVPN von China nach Deutschland wird geblockt



  • Hi,
    OpenVPN wird mittlerweile immer mehr geblockt. Ich habe einige Kunden, bei denen das immer stärker auftritt.
    Was gibt es denn da für möglichkeiten, sich in das eigene Netzwerk zu bringen?
    Grüße
    Heinz


  • LAYER 8 Rebel Alliance

    Schon mal mit der tls-crypt Option probiert?

    -Rico



  • Das ist die Client-Config

    dev tun
    tls-client
    remote revolution.carhs.de 1194
    pull
    proto udp
    script-security 2
    ca ca.crt
    comp-lzo
    reneg-sec 0
    auth-user-pass
    

  • LAYER 8 Rebel Alliance

    Nichts zu sehen von tls-crypt
    Das muss auf beiden Seiten, also Server und Client eingerichtet werden.

    -Rico



  • Gibt es zu OpenVPN, tls-crypt, DPI und China zuverlässige Aussagen in Bezug auf die Wirkung
    oder sind nur Spekulationen im Spiel? Fakten wären hilfreich.

    War jemand in China? Wenn ja, wurde ein Erfolg erzielt?

    LG


  • LAYER 8 Rebel Alliance

    tls-crypt kann generell u.A. genutzt werden um OpenVPN traffic zu verstecken, so steht es auch in der Doku.
    Dass das nicht bei jedem und überall generell funktioniert ist bekannt, bei einigen hilft es dann über stunnel zu gehen.
    Auch in China gibt es wahrscheinlich nicht nur 1 ISP/DPI System... also ja alles Spekulation von meiner Seite um deine Frage zu beantworten.
    Was Fakt ist, dass chinesische ISPs gewisse IPs manchmal temporär komplett blocken wenn sie wissen dass da OpenVPN Traffic drauf läuft, steht auch hier im Forum und in anderen Artikeln.

    -Rico



  • Wir mussten das auch lernen als wir eine Anlage dorthin geliefert haben, mit OpenVPN ging die Leitung genau 12 Stunden.

    Ab dann ist es immer wieder abgebrochen und ich hab "ewig" gebraucht um zu verstehen was mir der Wireshark da zeigt:
    https://en.wikipedia.org/wiki/TCP_reset_attack

    Bis zu diesem Zeitpunkt hätte ich das nicht für möglich gehalten. Der Kunde hat jetzt irgend einen VPN Router der sich in die USA verbindet und dort geht unser VPN dann zu uns durch.
    Paketlaufzeit eine Katastrophe.

    Was immer gegangen ist war eine deutsche SIM Karte im Datenroaming, ich glaube da trauen die sich nicht hin.



  • Das ist mal einge gute Idee. Das lass ich mal testen.
    Danke für den Tip.
    Grüße
    Heinz



  • OpenVPN getunnelt über SSL habe ich für Road Warrior Szenarien implementiert. Nun, das funktioniert
    hierzulande auch problemlos. Nutze dazu pfSense/HAProxy zum Filtern der OpenVPN Verbindungen.

    Wie die Erfolgsausichten mit stunnel z. B. China sind kann ich nicht sagen. Werde wohl in
    diesem Leben keine Fakten diesbezüglich mehr liefern können.

    LG



  • Hattest du Roadwarriors ich China?


  • LAYER 8 Moderator

    Aus China kann ich von Kunden zweierlei berichten.

    1. IPSEC Verbindungen zum Hauptstandort in DE waren langsam, träge oder haben sich manchmal neu verbunden. Generell ging der Tunnel aber, nur war er stellenweise übel lahm, laggy und manchmal wurde er unterbrochen. Prinzipiell hatte man das aber im Land selbst nicht (von C nach C) so dass man schon die Vermutung anstrengen konnte/durfte, dass hier beim Verlassen des Landes die Verbindungen gefiltert wurden bzw. wie mir ein Kollege vor Ort geflüstert hatte absichtlich künstlich verlangsamt.

    2. OpenVPN Verbindungen waren 50/50. Es gab Verbindungen die unbeeinträchtigt liefen (allerdings eher welche auf tcp/443 Basis), andere hatten mit Abbrüchen, Resets oder auch dem obigen Phänomen zu kämpfen, dass die Verbindungen gedrosselt wurde. Verbindungen via TCP/443 mit TLS Crypt waren weniger häufig betroffen (wenn überhaupt) und wenn überhaupt, dann meist nur von der Drosselung betroffen (was auch normalen https Traffic manchmal betroffen hat). Eine Verlagerung auf andere Ports hatte teils einen positiven Effekt, dass hier wochenlang/monatelang auch mal alles wieder halbwegs flüssig lief.

    Trotzdem ist tls-crypt für Verbindungen in Locations, in denen man mit DPI Systemen rechnen muss generell die Methode die man bevorzugen sollte, um es dem Zielsystem schwer zu machen, den Traffic von anderen Verbindungen zu unterscheiden. Generell geblockt wird tcp/443 hier von der Mauer nicht, das kann man sich nicht leisten, aber es wird dann gerne gedrosselt, so dass man irgendwann freiwillig auf andere Verbindungen wechselt, weil diese einfach schneller sind. Gleiches Phänomen wurde mir von einem anderen Kunden mit Dependance in China ebenso bestätigt. Kein genereller Block (außer man fällt eindeutig auf), aber crypted Ports werden somit gern gedrosselt und gegängelt. In dem Fall kann ein random-high-port mit tls-crypt ggf. dann die Hilfe sein.

    Gruß



  • Hi Jens,
    kannst du mir das auf der pfsense einrichten?
    Was kostet mich das?
    Grüße
    Heinz


  • LAYER 8 Moderator

    Sofern es nicht wahnsinnig zeitkritisch ist wäre das bei Zugriff auf beide Seiten machbar. Da ich momentan aber Schulungsvorbereitung und nächste Woche Workshop halte, wird das vor der KW 05 nichts werden.
    Wenn das genügt, dann kann ich dir gern per Direktnachricht unsere Mailadresse geben, dann kann dir mein Kollege da gern ein Angebot machen.

    Grüße Jens



  • Hi,
    ein Angebot wäre schön.
    Grüße
    Heinz


  • Rebel Alliance

    Früher ging immer das VPN nach hk aufzubauen und von da weiter. Sicher die Laufzeit steigt aber die "Neugier" der gwoc war, bisher, geringer ;)
    Viel Erfolg.



  • Im Moment geht es wieder. Ich habe statt dem DNS Eintrag nur die direkte IP-Adresse im VPN Client eingetragen. Mal sehen, wie lange das gut funktioniert.


  • LAYER 8 Moderator

    Mit oder ohne tls-crypt? Auf tcp/443? Wie gesagt bei einigen genügt bereits tcp443 und tls-crypt sauber zu konfigurieren, um halbwegs vernünftige Verbindung zu haben.