Protección de cables de túnel (o cualquier tráfico UDP) dentro de HTTPS

tag-icon tag-icon networking vpn tunnel udp wireguard
Protección de cables de túnel (o cualquier tráfico UDP) dentro de HTTPS

Wireguard está bastante de moda estos días, y con razón. También estoy ansioso por reemplazar OpenVPN por Wireguard.

Sin embargo, a diferencia de OpenVPN, Wireguard sólo admite UDP. Me gusta usar el puerto TCP 443 porque es probable que este puerto no esté bloqueado por un firewall. OpenVPN incluso tiene una opción para utilizar un proxy HTTP. Esto es genial, porque me permite obtener acceso completo y sin restricciones a Internet en redes que no tienen una ruta a Internet y requieren que los usuarios utilicen un proxy web.

¿Cómo puedo lograr lo mismo con Wireguard? ¿Un túnel HTTPS que funcione para UDP?

Supongamos que ambos puntos finales ejecutan Linux, tengo acceso completo a ambos y, por supuesto, tengo permiso de todos los involucrados para hacer esto.

Respuesta1

EsteParece hacer exactamente lo que quiero, aunque lo necesita cntlmcomo proxy adicional si el proxy requiere autenticación NTLM.

Respuesta2

La documentación oficial dice por qué no admiten TCP y DPI [1]

WireGuard no admite explícitamente la tunelización sobre TCP, debido al clásico rendimiento de red terrible de la tunelización TCP sobre TCP. Más bien, transformar los paquetes UDP de WireGuard en TCP es trabajo de una capa superior de ofuscación.

Para túneles TCP, sugieren usar udp2raw[2] o udptunnel[3].

Tenga en cuenta que esto solo cubre el túnel TCP, no lo enmascarará sobre HTTP(S), por lo que no estará protegido si su firewall realiza una inspección profunda de paquetes o un análisis de encabezados, etc. Necesitarías una configuración más avanzada para eso.

  1. https://www.wireguard.com/known-limitations/
  2. https://github.com/wangyu-/udp2raw
  3. https://github.com/rfc1036/udptunnel

Respuesta3

HTTPS no es algo que usarías para canalizar el tráfico, sin embargo, los websockets son adecuados para eso.

creo que estas buscandoWStúnel. También es capaz de hacer un túnel a través de TLS.

Respuesta4

Podría ejecutar unVPN SSH(usando ssh en el puerto 443) y ejecute Wireguard sobre las interfaces creadas.

Probablemente también podría ejecutar Wireguard sobre su OpenVPN existente.

La premisa de Wireguard parece no tener conexión por diseño, por lo que dudo que pronto haya una función TCP o HTTP (lo siento).

información relacionada