प्रतिबंधात्मक फ़ायरवॉल के माध्यम से OpenVPN का उपयोग कैसे करें?

मैं वर्तमान में मुख्य रूप से अत्यधिक प्रतिबंधात्मक फ़ायरवॉल के माध्यम से कनेक्शन के लिए, एक व्यक्तिगत VPS पर OpenVPN सेटअप करने के प्रयास की स्थिति में हूं। जब एक उचित-फ़ायरवॉल कनेक्शन के माध्यम से उपयोग किया जाता है, तो नीचे दिए गए सभी सेटअप काम करते हैं।

मैंने कोशिश की है:

1. OpenVPN मानक बंदरगाह पर चल रहा है
2. OpenVPN पोर्ट 443 पर चल रहा है (मैं VPS पर कमांड लाइन से मैन्युअल रूप से OpenVPN शुरू करता हूं और देखता हूं कि सर्वर लगभग तुरंत बंद होने वाले कनेक्शन की रिपोर्ट करता है, मेरा मानना ​​है कि यह फ़ायरवॉल पर DPI का परिणाम है)
3. OpenVPN तक पहुँचने और DPI से बचने के लिए पोर्ट 443 पर चलने वाली STunnel। यह सबसे सफल है और वीपीएन के माध्यम से ~ 10-20 सेकंड के लिए कनेक्शन और इंटरनेट एक्सेस की अनुमति देता है, इससे पहले कि कनेक्शन को जबरन बंद कर दिया जाए।

क्या मैं कुछ और प्रयास कर सकता हूं?

लम्बे समय के बाद काटे जाने वाले कनेक्शन कभी-कभी बाइट्स-प्रति-सेकंड प्रकार की सीमा का संकेत देते हैं। यह देखने की कोशिश करें कि क्या आपका वीपीएन कनेक्शन धीमा हो रहा है। इसके अलावा अगर आपके पास ओपनवीपीएन यूडीपी के लिए कॉन्फ़िगर किया गया है तो कोशिश करें टीसीपी (443 यूडीपी अवरुद्ध हो सकता है जबकि 443 टीसीपी अनिर्धारित हो सकता है)।

एक प्रसिद्ध साइट पर जाएँ जो एसएसएल का उपयोग करती है और प्रमाणपत्र की जांच करती है। फिर घर पर ही करें। यदि वे मेल नहीं खाते हैं, तो आपका स्थान पारदर्शी HTTPS SSL प्रॉक्सी का उपयोग कर रहा है और वास्तव में आपके HTTPS ट्रैफ़िक को देख सकता है।

यह संभव है कि पोर्ट 443 नहीं है, इसे इतने करीब से नहीं देखा जाए। 22 की कोशिश करो।

यह बेवकूफ लग सकता है लेकिन इसे 80 पोर्ट पर करने की कोशिश करें और देखें कि आपको क्या मिलता है। आप ट्रैफ़िक को HTTP अनुरोधों की तरह बनाने के लिए आपके और VPS के बीच एक HTTP सुरंग स्थापित करने का प्रयास कर सकते हैं।

यदि आप पागल महसूस कर रहे हैं, तो आयोडीन का प्रयास करें ।

मुझे लगता है कि मुझे पता है कि स्टनलाइन मेथोड जैसा व्यवहार क्यों करता है। यह इसलिए है क्योंकि आप stunnel सर्वर के लिए "स्थिर मार्ग" सेट करते हैं। मुझे वह समझाने दो। जब आप एक ओपनवैप सर्वर से जुड़ते हैं तो यह आपकी रूटिंग टेबल को बदल देता है और आपके सभी पैकेटों को खोल देता है, ओपनवीपीएन पैकेट को छोड़कर। वास्तविक Openvpn आपके सर्वर आईपी पते के लिए एक मार्ग जोड़ देगा। लेकिन जब आप अपने ओपनवीपीएन सर्वर से जुड़ने के लिए स्टनलाइन का उपयोग कर रहे हैं तो आप ओपनवीपीएन को लूपबैक इंटरफेस से जोड़ेंगे और आपके वीपीएन के बाहर आपके सर्वर का कोई मार्ग नहीं है, इसलिए स्टनलाइन पैकेट सर्वर पर जाना चाहते हैं और वे आपके वीपीएन और आपके वीपीएन पैकेट पर जा रहे हैं। अचेत करना :)

तो आपको अपने सर्वर आईपी के लिए एक मार्ग जोड़ने की आवश्यकता है जो आपके वीपीएन (आपके घर के राउटर) के बाहर जा रहा है।

और विधि पोर्ट 443 के साथ समस्या के लिए मैं चाहता हूं कि एसपीआई या डीपीआई का उपयोग करके आपका फ़ायरवॉल हो सकता है और आसानी से https (एसएसएल) पैकेट से अलग ओपनवैप पैकेट बना सकता है। तो सबसे अच्छा तरीका है कि stunnel का उपयोग करें, या अगर फ़ायरवॉल ssl पैकेट को अवरुद्ध करता है तो इसे बाईपास करने के लिए obfsproxy या fteproxy का उपयोग करना बेहतर होता है।

(मुझे पता है कि पोस्ट पुरानी है, लेकिन मैं हफ्तों तक उसी समस्या के बारे में जवाब ढूंढ रहा था, इसलिए मैं यह साझा करना चाहता था कि मैं इसके बारे में क्या कहता हूं)

रेजा अस्करी का उत्तर तीसरे प्रश्न का उत्तर था। यह मेरे लिनक्स कंप्यूटर और एंड्रॉइड दोनों पर हो रहा है।

कंप्यूटर पर, इससे पहले कि आप OpenVPN से कनेक्ट हों

sudo openvpn --config configFile.ovpn

आपको OpenVPN सुरंग से stunnel सर्वर को हटाने के लिए एक नियम जोड़ना चाहिए।

sudo /sbin/ip route add stunnel_ip via default_gateway_ip

फिर अपने OpenVPN सर्वर से कनेक्ट करें। जब आप उस नियम को हटा सकते हैं:

sudo /sbin/ip route del stunnel_ip

चीजों को अधिक आसान बनाने के लिए ताकि आप भूल न जाएं, एक शेल स्क्रिप्ट बनाएं जो नियम को जोड़ेगी और OpenVPN चलाएगी, जब OpenVPN बाहर निकलता है, तो नियम हटा दिया जाएगा:

sudo /sbin/ip route add stunnel_ip via default_gateway_ip

sudo openvpn --config configFile.ovpn

sudo /sbin/ip route del stunnel_ip

Android पर, "Arne Schwabe" द्वारा "OpenVPN for Android" क्लाइंट का उपयोग करें और "Balint Kovacs" द्वारा "SSLDroid"।

फिर ओपनवीपीएन क्लाइंट में, वीपीएन प्रोफाइल से "एसएसएलडीआरओडी" को बाहर करें जो स्टनलाइन से गुजरता है।

मुझे रेजा के उत्तर या टिप्पणी को उभारना अच्छा लगता, लेकिन इस प्रतिष्ठा स्कोर नियम ने मुझे रोक दिया।

मैंने कभी इसकी कोशिश नहीं की है (इसलिए पता है कि यह काम करता है!) 443 पर सुनने के लिए आपको एक अतिरिक्त दूरस्थ होस्ट की आवश्यकता हो सकती है यदि आपके पास एक नहीं है, लेकिन यहाँ एक उदाहरण है http://www.anonyproz.com/openvpnsshtunnel.pdf उनकी प्रॉक्सी सेवा का उपयोग करने के लिए [संपादक का नोट: इस वेबैक मशीन लिंक सुरक्षित हो सकता है], लेकिन यह भी Googlable है:

https://www.google.com/search?q=ssh%20tunnel%20openvpn ।

मैंने लोगों को इस दृष्टिकोण को एक प्रॉक्सी के रूप में उपयोग करने के लिए भी जाना है क्योंकि उनके नियोक्ता ने लोकप्रिय होने पर वापस पासा डॉट कॉम जैसी नौकरी साइटों तक पहुंच को अवरुद्ध कर दिया था।