S2S VPN Kína

Hálózatok általános

Sziasztok,

Site-to-site VPN-t kell összekalapálnom Kína felé (Sanghai).
Van valaknien tapasztalata arról, hogy lehet ezt megoldani? (Technikai/adminisztratív.)
A net tele van egymásnak ellentmodnó infókkal, csak az látszik biztosnak, hogy száguldás következik a szopórolleren.

Köszi,

Z.

  • 8677 megtekintés

( Proci85 v | 2013. 11. 05., k – 07:28 )

A LinuxAkadémián múlt héten ment le egy nagyon jó OpenVPN előadás. 2-2500 Ft-ért megveheted, letöltheted. Az elejéről került bemutatásra, hogyan kell belőni jól egy VPN-t.
Hamarosan jön a következő része. Neked már az első része is nagy segítség lesz.

Az OpenVPN SSL alapú.
Ha egy kínai gépről elérsz egy Kínán kívüli gépet https-en keresztül, akkor arra a gépre, ugyanarra a portra felteszed az openvpn szervert, beállítod, hogy TCP-n és 443-as porton figyeljen.

Ha a nagy kínai tűzfal nem enged ki titkosított kommunikációt, akkor ez persze nem fog működni.

( bennyh | 2013. 11. 05., k – 08:24 )

Esetleg ha egyik vagy mindkét oldalon 80-as portra állítod és TCP protokolt használsz? Mondjuk én se ismerem a nagy kínai tűzfalat. De összedobni ezt virtuális gépeken mondjuk egy zeroshell-el nem nagy meló, esetleg összedobhatod itt mindkét oldalt, beteszteled és az egyik virtuális gép mentését átdobod valahogy Sanghai-ba és tesztelitek pingik-e :D

Ok, csak hogy érthetőbb legyek, ilyen gondjaim vannak például:

https://www.schneier.com/blog/archives/2012/12/china_now_block.html

meg ilyenek:

http://forums.theregister.co.uk/forum/1/2012/12/21/china_blocks_vpns/#c…

Ezért kérdezem, hogy van-e valakinek ebben tapasztalata. Nyilván van megoldás, mert nem hinném, hogy a Kínában gyárat üzemeltető multik megvannak VPN nélkül.

( cheeky v | 2013. 11. 05., k – 09:25 )

Nos, így elsőre átgondolva a problémádat, és azt, amit a nagy falról tudni lehet, ezek a tippek jutnak eszembe:

- a neten található írások szerint UDP, IPSec kilőve, felejtsd el.
- TCP alapon egy OpenVPN esetleg jó lehet, ha használsz tls-auth -ot.
- ha még ez sem jön be, akkor jó eséllyel az SSH sosem tiltott, tehát fogsz egy SSH-t, áttolsz rajta egy ppp kapcsolatot, és aztán már csak routing kérdése az egész.

Azért majd írd meg mi lett, kíváncsi vagyok...

( dap | 2013. 11. 05., k – 09:35 )

Nem fognak valakit kivégezni ezért? :)

Csak a pletykalapok (index, origo) hírei alapján: törvényes mód van rá?
Mert azzal, hogy gyakorlatilag megkerülöd a Nagy Sárga Lefolyót... izé... szóval a tűzfalat, úgy sejtem, eleve törvényt sértesz.

Aki tudja, csinálja, aki nem tudja, tanítja... Hm... igazgatónak talán még jó lennék. :)

Gondolom a törvényes útja az, hogy megadod a cég VPN-hez használt kulcsát a megfelelő kínai hatóságnak. Bár IANAL, különösképp nem szakterületem a kínai jog, szóval ez csak sejtés.

A korábbi hozzászólásomban vázolt két megoldás ettől függetlenül működőképes lehet, próbálkozz arrafelé.

Az SSH tunnel feletti ppp-t megfejelheted egy kis multilink ppp-vel, több szerver több különböző portja felé ssh-zva, szerintem kb a kivédhetetlen kategória.

( m_peter v | 2013. 11. 05., k – 20:16 )

Fizess elő műholdas internetre. :)

( luisex v | 2013. 11. 05., k – 20:46 )

Szia,
Csak egy nagyon idióta ötlet: Magyarországon nincs véletlenül Kínai nagykövetség? ( Legalábbis, én erre gondolnék először :) )
Az adott külföldi ország jogi rendszeréről általában a nagykövetségek tudnak segíteni, és lehet, nem te vagy az első, aki ebbe a problémába belefutott...
Ha mégsem tudnak, akkor is nagy eséllyel tudnak valami tanácsot adni :)
Üdv,
LuiseX

( cheeky v | 2013. 11. 06., sze – 10:42 )

A multilink ppp over ssh ötletemet megfejelném még egy sshttp-vel, vagy sslh-val, csak a móka kedvéért.

Köszi az ötletet, valószínűleg ez a megoldás kap egy esélyt - már ha a kínaiak szerint is rendben van.
Ettől függetlenül kíváncsi lennék rá, hogy pl. egy NYSE-n jegyzett cég kínai gyára hogyan kommunikál az anyavállalattal. Kizártnak tartom, hogy ne lenne valamilyen biztonságos és Kínában is legális adatkapcsolatuk.
Aki átélt már SOX auditot, az valószínűleg tudja, hogy miről beszélek.

Egyelőre úgy néz ki, hogy külön AD-ba kerül a kínai gyárunk. Nyűgös lesz, de nem látok más megnyugtató megoldást.

Valószínű, hogy a NYSE-n jegyzett cég totál legálisan használ VPN-t kínai telepekre is.
Hogy ez azzal jár, hogy be kell tennie egy megfelelő node-ot a kínai kormány támogatásával a kínai oldali endpoint mögé, vagy a kulcsot kell átadni a megfelelő kínai hatóságnak, netán csak letétbe kell helyezni, vagy simán csak bejelentési és engedélyeztetési kötelezettség vonatkozik rá, azt itt szerintem senki nem tudja megmondani.

Látogass el a kínai követségre, és kérj segítséget a legális megoldás megtalálásában.

A mi ötleteink csak a jelenlegi színvonalon működő kínai technológiai kontroll megkerülésére valószínűleg használható módszereket taglalják.

( freeoli v | 2013. 11. 08., p – 09:21 )

Érdekes téma. Leginkább az sslvpn ugrott be először de tesztelni kell az ilyet.

Ha fájlrendszer tartalmak szinkronizációja a lényeg, arra lehet hogy mást használnék, ha rendszer elérése akkor tényleg egy ilyesmi irány kell.

OFF: ha megkérdeznek mi megy a vonalon, mond a szokásosat, tiszta pamut.

( apal v | 2019. 01. 12., szo – 10:20 )

Nem akarok uj szalat nyitni, csak a kerdes kapcsolodik: van-e valakinek up-to-date infoja a GFW-rol? Egy+ het mulva megyek arrafele (Peking) egy szuk hetre, es hatarozottan nem lenne baj ha ki tudnek SSH-zni egy-ket kishazankbeli (akademiai szferaban es/vagy privat VPS-en levo) szerverre. Nem kimondottan VPN kihuzasa a cel (ilyen pofakonyv- meg google-szintu dolgokat pl nem hasznalok, anelkul jol megvagyok), csak sima interaktiv SSH-zgatas. Thx, A

Royal többször mondta nekem az "ssh sock proxy-t" mint szegény ember VPN-jét, ami tényleg gyorsan üzembe helyezhető.
(Pont ma állítottam be.)

1. van valahova ssh hozzáférésed
2. kiadod ezt a kliensen: 


ssh -D 1337 -q -C -N -f user@szervered.tld

3. Beállítod a kliens böngészőben, a sock proxyt

1 perc az egész. Jó poén, mert így a belső háló ip-it is elérem a böngészőben. Jó ez cups-hoz, admin felületekhez, de szerintem a problémához is.

Részletesen:
https://ma.ttias.be/socks-proxy-linux-ssh-bypass-content-filters/

Az ssh-t vagy csak az ssh proxy-t?

Valamelyik internetekben azt olvastam (asszem talan itt) hogy a sima mezei halozati TCP+ACK csomagok statisztikai eloszlasahoz hasonlo eloszlasu de kicsit nagyobb csomagokat keres a GFW. Na, es ha talal olyan mintazatot akkor azt az destination ip-t blokkolja egy ido utan...

( Mico v | 2019. 01. 13., v – 01:32 )

Ne a fórumokat olvasgasd hanem beszélj a partnerrel, ahova kell. Az ISP is tud segíteni a nyitásban. Egyszerűbb folyamat, mint egy tipik multinál vagy a magyar NTG-n elintézni bármit