随着互联网审查制度的收紧,政府越来越关注防止使用VPN规避其限制。中国拥有出色的防火墙,在这方面特别活跃,人们有许多人使用的报告中国的VPN他们的连接被阻塞。
问题是,虽然不可能“看到”加密VPN隧道中的数据,但越来越复杂的防火墙能够使用深度数据包检查(DPI)确定正在使用加密的技术(例如检测OpenVPN使用的SSL加密)。
这个问题有许多解决方案,但是其中大多数需要一定程度的技术专业知识和服务器端配置,这就是为什么本文只是对可用选项的介绍。如果隐藏您的VPN信号对您很重要,而端口443转发(见下文)不足,则应联系您的VPN提供商讨论他们是否愿意实施以下概述的解决方案之一(或者找到已经提供此类支持的提供商,例如AIRVPN)。
通过TCP端口443端口向前openVPN
到目前为止,最简单的方法,可以轻松从您的(客户端)执行的方法,不需要服务器端实现,并且在大多数情况下都可以使用,是为了转发您的通过TCP的OpenVPN流量港口443。
默认情况下,OpenVPN使用UDP端口1194,因此防火墙以监视端口1194(以及其他常用端口)是常见的,拒绝试图使用它(或它们)的加密流量。 TCP端口443是HTTPS(超文本传输协议安全)使用的默认端口,用于保护https://网站的协议,以及银行,Gmail,Twitter和更多基本的Web服务的整个Internet上使用的协议。
不仅使用OpenVPN,就像HTTPS使用SSL加密一样,很难在端口443上检测到非常困难的检测,而且阻止该端口会严重削弱对Internet的访问,因此通常不是潜在的Web审查员的可行选择。
端口转发是自定义OpenVPN客户端中最常见的功能之一,这使得更改为TCP端口443非常容易。如果您的VPN提供商不提供这样的客户,则应与他们联系。
不幸的是,OpenVPN使用的SSL加密与“ Standard” SSL并不完全相同,并且(越来越多地用于中国等地使用的类型)可以判断出“真实的SSL/HTP握手”是否符合加密的流量。在这种情况下,需要找到逃避检测的替代方法。
obfsproxy
OBFSPROXY是一种旨在将数据包装到混淆层中的工具,因此很难检测到正在使用OpenVPN(或其他VPN协议)。最近已经由TOR网络采用,很大程度上是对中国阻止访问公共节点的回应,但它与tor无关,并且可以为OpenVPN配置。
为了工作,需要在客户端的计算机(例如端口1194)和VPN服务器上安装OBFSPROXY。但是,然后需要的只是在服务器上输入以下命令行:
obfsproxyobfs2 - dest = 127.0.0.1:1194服务器xxxx:5573
这告诉obfsproxy在端口1194上收听,以本地连接到端口1194并将解除封闭的数据转发给它(XXXX应替换为IP地址或0.0.0.0,以在所有网络接口上侦听)。最好使用VPN提供商设置静态IP,以便服务器知道在哪个端口上聆听。
与下面介绍的隧道选项相比,obfsproxy不那么安全,因为它不会包裹加密的流量,但是它的带宽开销确实要低得多,因为它没有携带额外的加密层。这可能与叙利亚或埃塞俄比亚等地方的用户特别相关,在叙利亚或埃塞俄比亚,带宽通常是关键的资源。 OBFSPROXY也更容易设置和配置。
通过SSL隧道OpenVPN
安全的套接字层(SSL)隧道可以单独用作OpenVPN的有效替代方案,实际上,许多代理服务器都使用一个替代品来确保其连接。它也可以用来完全隐藏您正在使用OpenVPN的事实。
如上所述,OpenVPN使用TLS/SSL加密协议,该协议与“ True” SSL略有不同,并且可以通过复杂的DPI检测到。为了避免这种情况,可以将OpenVPN数据包裹在附加的加密层中。由于DPI无法渗透SSL加密的“外部”层,因此他们无法检测OpenVPN加密“内部”。
SSL隧道通常是使用多平台Stunnel软件制成的,该软件必须在服务器上配置(在本例中为您的VPN提供商的VPN服务器)和客户端(您的计算机)。因此,如果您想使用SSL隧道,则有必要与VPN提供商讨论情况,并在他们同意的情况下从它们那里接收配置说明。一些提供商将其作为标准服务提供,但是AIRVPN是我们迄今为止唯一审查的服务(Anonypoz是另一个)。
使用此技术确实会引起性能命中,因为信号正在添加额外的数据层。
通过SSH隧道OpenVPN
这与通过SSL隧道使用OpenVPN非常相似的方式起作用,只是将OpenVPN加密数据包裹在安全壳(SSH)加密层中。 SSH主要用于访问UNIX系统上的Shell帐户,因此其使用主要仅限于商业世界,远不如SSL那样受欢迎。
与SSL隧道一样,您需要与VPN提供商进行交谈以使其正常工作,尽管AIRVPN支持它“开箱即用”。
结论
没有非常深的数据包检查,OpenVPN加密数据看起来就像常规的SSL流量一样。如果通过TCP端口443进行路由,则尤其如此,其中a)您希望看到SSL流量,b)阻止它会阻碍互联网。
但是,伊朗和中国等县的决心要控制其人口未经审查的互联网访问,并采取了技术令人印象深刻的(如果道德上令人反感的)措施,以检测OpenVPN加密流量。即使被发现使用OpenVPN也可能会使您在此类国家陷入困境,在这些情况下,使用上面概述的其他预防措施之一是一个很好的主意。