制限的なファイアウォールを介して OpenVPN を使用するにはどうすればよいでしょうか?

Question 1

一定時間後に接続が切断される場合は、1 秒あたりのバイト数による制限が考えられます。VPN 接続を遅くすると効果があるかどうかを確認してください。また、OpenVPN を UDP 用に構成している場合は、TCP を試してください (443 UDP はブロックされる可能性がありますが、443 TCP は検出されない可能性があります)。

SSL を使用する有名なサイトにアクセスして、証明書を確認します。次に、自宅でも同じ操作を行います。一致しない場合は、あなたの所在地では透過的な HTTPS SSL プロキシが使用されており、実際に HTTPS トラフィックを見ることができます。

ポート 443 以外のポートはそれほど厳重に監視されていない可能性があります。22 を試してください。

馬鹿げているように聞こえるかもしれませんが、ポート 80 経由で実行してみて、何が起こるかを確認してください。また、トラフィックが HTTP リクエストのように見えるように、ユーザーと VPS の間に HTTP トンネルを設定することもできます。

気が狂ったように感じたら、ヨウ素。

Answer

一定時間後に接続が切断される場合は、1 秒あたりのバイト数による制限が考えられます。VPN 接続を遅くすると効果があるかどうかを確認してください。また、OpenVPN を UDP 用に構成している場合は、TCP を試してください (443 UDP はブロックされる可能性がありますが、443 TCP は検出されない可能性があります)。

SSL を使用する有名なサイトにアクセスして、証明書を確認します。次に、自宅でも同じ操作を行います。一致しない場合は、あなたの所在地では透過的な HTTPS SSL プロキシが使用されており、実際に HTTPS トラフィックを見ることができます。

ポート 443 以外のポートはそれほど厳重に監視されていない可能性があります。22 を試してください。

馬鹿げているように聞こえるかもしれませんが、ポート 80 経由で実行してみて、何が起こるかを確認してください。また、トラフィックが HTTP リクエストのように見えるように、ユーザーと VPS の間に HTTP トンネルを設定することもできます。

気が狂ったように感じたら、ヨウ素。

Question 2

stunnel メソッドがそのように動作する理由はわかっていると思います。これは、stunnel サーバーに「静的ルート」を設定する必要があるためです。説明しましょう。openvpn サーバーに接続すると、ルーティングテーブルが変更され、openvpn パケットを除くすべてのパケットが VPN 経由でルーティングされます。実際には、openvpn はサーバーの IP アドレスのルートを追加します。ただし、stunnel を使用して openvpn サーバーに接続すると、openvpn がループバックインターフェイスに接続され、VPN の外部にサーバーへのルートがないため、stunnel パケットはサーバーに送られ、VPN に送られ、VPN パケットは stunnel に送られます :)

したがって、VPN (ホームルーター) の外部に出るサーバー IP へのルートを追加する必要があります。

また、メソッドポート 443 の問題については、ファイアウォールが SPI または DPI を使用していて、https (ssl) パケットとは異なる openvpn パケットを簡単に作成できる可能性があると思います。したがって、最善の方法は stunnel を使用することです。または、ファイアウォールが ssl パケットをブロックする場合は、obfsproxy または fteproxy を使用してバイパスすることをお勧めします。

(この投稿は古いことは承知していますが、何週間も同じ問題に対する答えを探していたので、この件について私が学んだことを共有したいと思いました)

Answer

stunnel メソッドがそのように動作する理由はわかっていると思います。これは、stunnel サーバーに「静的ルート」を設定する必要があるためです。説明しましょう。openvpn サーバーに接続すると、ルーティングテーブルが変更され、openvpn パケットを除くすべてのパケットが VPN 経由でルーティングされます。実際には、openvpn はサーバーの IP アドレスのルートを追加します。ただし、stunnel を使用して openvpn サーバーに接続すると、openvpn がループバックインターフェイスに接続され、VPN の外部にサーバーへのルートがないため、stunnel パケットはサーバーに送られ、VPN に送られ、VPN パケットは stunnel に送られます :)

したがって、VPN (ホームルーター) の外部に出るサーバー IP へのルートを追加する必要があります。

また、メソッドポート 443 の問題については、ファイアウォールが SPI または DPI を使用していて、https (ssl) パケットとは異なる openvpn パケットを簡単に作成できる可能性があると思います。したがって、最善の方法は stunnel を使用することです。または、ファイアウォールが ssl パケットをブロックする場合は、obfsproxy または fteproxy を使用してバイパスすることをお勧めします。

(この投稿は古いことは承知していますが、何週間も同じ問題に対する答えを探していたので、この件について私が学んだことを共有したいと思いました)

Question 3

Reza Askari の返信は、まさに 3 番目の質問に対する答えでした。これは、私の Linux コンピューターと Android の両方で発生しています。

コンピュータ上でOpenVPNに接続する前に

sudo openvpn --config configFile.ovpn

OpenVPN トンネルから stunnel サーバーを削除するルールを追加する必要があります。

sudo /sbin/ip route add stunnel_ip via default_gateway_ip

次に、OpenVPN サーバーに接続します。完了したら、次の方法でそのルールを削除できます。

sudo /sbin/ip route del stunnel_ip

忘れないように簡単にするために、ルールを追加して OpenVPN を実行するシェルスクリプトを作成します。OpenVPN が終了すると、ルールは削除されます。

sudo /sbin/ip route add stunnel_ip via default_gateway_ip

sudo openvpn --config configFile.ovpn

sudo /sbin/ip route del stunnel_ip

Android では、「Arne Schwabe」による「OpenVPN for Android」クライアントと、「Balint Kovacs」による「SSLDroid」クライアントを使用します。

次に、OpenVPN クライアントで、stunnel を通過する VPN プロファイルから「SSLDroid」を除外します。

私は Reza の回答やコメントに賛成票を投じたかったのですが、この評判スコアのルールによりそれができませんでした。

Answer

Reza Askari の返信は、まさに 3 番目の質問に対する答えでした。これは、私の Linux コンピューターと Android の両方で発生しています。

コンピュータ上でOpenVPNに接続する前に

sudo openvpn --config configFile.ovpn

OpenVPN トンネルから stunnel サーバーを削除するルールを追加する必要があります。

sudo /sbin/ip route add stunnel_ip via default_gateway_ip

次に、OpenVPN サーバーに接続します。完了したら、次の方法でそのルールを削除できます。

sudo /sbin/ip route del stunnel_ip

忘れないように簡単にするために、ルールを追加して OpenVPN を実行するシェルスクリプトを作成します。OpenVPN が終了すると、ルールは削除されます。

sudo /sbin/ip route add stunnel_ip via default_gateway_ip

sudo openvpn --config configFile.ovpn

sudo /sbin/ip route del stunnel_ip

Android では、「Arne Schwabe」による「OpenVPN for Android」クライアントと、「Balint Kovacs」による「SSLDroid」クライアントを使用します。

次に、OpenVPN クライアントで、stunnel を通過する VPN プロファイルから「SSLDroid」を除外します。

私は Reza の回答やコメントに賛成票を投じたかったのですが、この評判スコアのルールによりそれができませんでした。

Question 4

LawrenceC の回答に加えて、そのネットワークから発生するスローロリスやその他の「低速で低速な」DDoS 攻撃に対する発信 DDoS 保護により、一定時間が経過するとセッションが強制的に閉じられることを付け加えておきたいと思います。

前述のように、トラフィック量の制限が原因の可能性もありますが、このような制限が存在する理由は他にもあります。デバイスごとの帯域幅を制限することは、今日 (2021 年) のテクノロジーでは簡単なことであり、それを強制するためにセッションタイムアウトを使用することはなくなりましたが、送信 DDoS 保護では、動作が本質的に散発的なプロトコルを使用する一定のデータストリームを送信するセッションもキックされる可能性があります。特に、トラフィックに、正当な HTTPS セッションの動作と一致しないほど均一または断片化されているパケットが含まれている場合はそうです (これは、多くのフラッド型 DDoS 攻撃の典型です)。

ステートフルファイアウォールは近年大きく進歩しており、まさにこの動作を防ぐことが、先ほど挙げた DDoS 保護だけでなく、データ流出の防止という観点からも課題となっています。

今日、適切に構築されたファイアウォールに対してこの目標を達成するには、どのような構成を使用するかについてのアドバイス以上のものが必要になります。

Answer

LawrenceC の回答に加えて、そのネットワークから発生するスローロリスやその他の「低速で低速な」DDoS 攻撃に対する発信 DDoS 保護により、一定時間が経過するとセッションが強制的に閉じられることを付け加えておきたいと思います。

前述のように、トラフィック量の制限が原因の可能性もありますが、このような制限が存在する理由は他にもあります。デバイスごとの帯域幅を制限することは、今日 (2021 年) のテクノロジーでは簡単なことであり、それを強制するためにセッションタイムアウトを使用することはなくなりましたが、送信 DDoS 保護では、動作が本質的に散発的なプロトコルを使用する一定のデータストリームを送信するセッションもキックされる可能性があります。特に、トラフィックに、正当な HTTPS セッションの動作と一致しないほど均一または断片化されているパケットが含まれている場合はそうです (これは、多くのフラッド型 DDoS 攻撃の典型です)。

ステートフルファイアウォールは近年大きく進歩しており、まさにこの動作を防ぐことが、先ほど挙げた DDoS 保護だけでなく、データ流出の防止という観点からも課題となっています。

今日、適切に構築されたファイアウォールに対してこの目標を達成するには、どのような構成を使用するかについてのアドバイス以上のものが必要になります。

制限的なファイアウォールを介して OpenVPN を使用するにはどうすればよいでしょうか?

答え1

答え2

答え3

答え4

関連情報