S2S VPN Kína

 ( ilozv | 2013. november 5., kedd - 6:42 )

Sziasztok,

Site-to-site VPN-t kell összekalapálnom Kína felé (Sanghai).
Van valaknien tapasztalata arról, hogy lehet ezt megoldani? (Technikai/adminisztratív.)
A net tele van egymásnak ellentmodnó infókkal, csak az látszik biztosnak, hogy száguldás következik a szopórolleren.

Köszi,

Z.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

A LinuxAkadémián múlt héten ment le egy nagyon jó OpenVPN előadás. 2-2500 Ft-ért megveheted, letöltheted. Az elejéről került bemutatásra, hogyan kell belőni jól egy VPN-t.
Hamarosan jön a következő része. Neked már az első része is nagy segítség lesz.

Hú, köszöm a tippet, mindenképpen megnézem.
Már az első részben kitérnek arra, hogyan lehet IPSEC tunnelt keresztülpofozni a Great Firewall of China-n? :)

Na az nincs:) De a fele egy működő site-to-site vpn felállításáról szól :)

Ez a probléma ennél egy kicsit összetettebb sajnos :)

Az OpenVPN SSL alapú.
Ha egy kínai gépről elérsz egy Kínán kívüli gépet https-en keresztül, akkor arra a gépre, ugyanarra a portra felteszed az openvpn szervert, beállítod, hogy TCP-n és 443-as porton figyeljen.

Ha a nagy kínai tűzfal nem enged ki titkosított kommunikációt, akkor ez persze nem fog működni.

A GFWoC újabban állítólag bont minden SSL kapcsolatot 5-10 másodperc után...
HTTPS webezés ettől még működik, a VPN-ed viszont nagyon nem... :(

Érdekes.

Az, hogy bont egy kapcsolatot, az mit jelent? Egy ideig blokkolja? Meddig?

Ugye igazából olyan, hogy kapcsolat, nem létezik, csak csomagokat küld egy gép egy másik gépnek a nagy tűzfalon keresztül.

Egy rajtad mint routeren áthaladó TCP kapcsolat "megszakítására" azért van egy pár lehetőséged.

Igen, adott forrásról induló és adott cél felé tartó csomagokat el tudok dobálni.
De ha ezt teszem, akkor a https webezés se működik.

Más lehetőség most nem jut eszembe, ezért kérdezem.

Esetleg ha egyik vagy mindkét oldalon 80-as portra állítod és TCP protokolt használsz? Mondjuk én se ismerem a nagy kínai tűzfalat. De összedobni ezt virtuális gépeken mondjuk egy zeroshell-el nem nagy meló, esetleg összedobhatod itt mindkét oldalt, beteszteled és az egyik virtuális gép mentését átdobod valahogy Sanghai-ba és tesztelitek pingik-e :D

Ok, csak hogy érthetőbb legyek, ilyen gondjaim vannak például:

https://www.schneier.com/blog/archives/2012/12/china_now_block.html

meg ilyenek:

http://forums.theregister.co.uk/forum/1/2012/12/21/china_blocks_vpns/#c_1672842

Ezért kérdezem, hogy van-e valakinek ebben tapasztalata. Nyilván van megoldás, mert nem hinném, hogy a Kínában gyárat üzemeltető multik megvannak VPN nélkül.

Azt lehet olvasgatni róla hogy ilyen egyszerű trükkökkel már nem lehet átverni, mert heurisztikusan, content alapján rájön hogy VPN-ezel, és elvágja.

--
arch,ubuntu,windows,libreelec,omnirom,microg
zbook/elitebook/rpi3/motog4_athene

Nos, így elsőre átgondolva a problémádat, és azt, amit a nagy falról tudni lehet, ezek a tippek jutnak eszembe:

- a neten található írások szerint UDP, IPSec kilőve, felejtsd el.
- TCP alapon egy OpenVPN esetleg jó lehet, ha használsz tls-auth -ot.
- ha még ez sem jön be, akkor jó eséllyel az SSH sosem tiltott, tehát fogsz egy SSH-t, áttolsz rajta egy ppp kapcsolatot, és aztán már csak routing kérdése az egész.

Azért majd írd meg mi lett, kíváncsi vagyok...

ez nem biztato

mgb

I'm having trouble SSH-ing into our Internet-facing Linux server in China right now. The connection just keeps dropping out and we're getting errors with key-based authentication regularly.

Olvastam, de senki más nem panaszkodott ilyesmire, nála vmi más is lehet.
A multilink ppp-vel társítva szerintem ez nem probléma, max néha kiesik egy-két link.

Nem fognak valakit kivégezni ezért? :)

Nekem smiley nélkül is eszembe jutott valami hasonló.
Ha nem is a kivégzés, de lesittelés, esetleg országból kiutasítás stb.


Aki tudja, csinálja, aki nem tudja, tanítja... Hm... igazgatónak talán még jó lennék. :)

Aztán mégis kit?
A kinti cégnél nincs admin, aki felelne ezért a kapcsolatért, azt a cégnél elhelyezett blackbox eszközökön külföldi adminisztrátor adminisztrálja.

A kínai oldal azt sem tudja, mi megy a háttérben, csak 1xűen működik a hálózat, és örülnek.

Kínában kérdéses, hogy kit? "A statuálás a lényeg!" ;)
(bárkit, aki használja)


Aki tudja, csinálja, aki nem tudja, tanítja... Hm... igazgatónak talán még jó lennék. :)

Nyilván törvényesen kell megoldani.

Csak a pletykalapok (index, origo) hírei alapján: törvényes mód van rá?
Mert azzal, hogy gyakorlatilag megkerülöd a Nagy Sárga Lefolyót... izé... szóval a tűzfalat, úgy sejtem, eleve törvényt sértesz.


Aki tudja, csinálja, aki nem tudja, tanítja... Hm... igazgatónak talán még jó lennék. :)

Gondolom a törvényes útja az, hogy megadod a cég VPN-hez használt kulcsát a megfelelő kínai hatóságnak. Bár IANAL, különösképp nem szakterületem a kínai jog, szóval ez csak sejtés.

A korábbi hozzászólásomban vázolt két megoldás ettől függetlenül működőképes lehet, próbálkozz arrafelé.

Az SSH tunnel feletti ppp-t megfejelheted egy kis multilink ppp-vel, több szerver több különböző portja felé ssh-zva, szerintem kb a kivédhetetlen kategória.

Fizess elő műholdas internetre. :)

Szia,
Csak egy nagyon idióta ötlet: Magyarországon nincs véletlenül Kínai nagykövetség? ( Legalábbis, én erre gondolnék először :) )
Az adott külföldi ország jogi rendszeréről általában a nagykövetségek tudnak segíteni, és lehet, nem te vagy az első, aki ebbe a problémába belefutott...
Ha mégsem tudnak, akkor is nagy eséllyel tudnak valami tanácsot adni :)
Üdv,
LuiseX

Ha van is, nem biztos hogy lehet velük informatikai kérdésekről beszélgetni :)

--
arch,ubuntu,windows,libreelec,omnirom,microg
zbook/elitebook/rpi3/motog4_athene

Igen érdekes és tanulságos olvasmány, ami nem is olyan halványan a témába vág:
http://www.nsc.liu.se/~nixon/sshprobes.html

A multilink ppp over ssh ötletemet megfejelném még egy sshttp-vel, vagy sslh-val, csak a móka kedvéért.

Köszi az ötletet, valószínűleg ez a megoldás kap egy esélyt - már ha a kínaiak szerint is rendben van.
Ettől függetlenül kíváncsi lennék rá, hogy pl. egy NYSE-n jegyzett cég kínai gyára hogyan kommunikál az anyavállalattal. Kizártnak tartom, hogy ne lenne valamilyen biztonságos és Kínában is legális adatkapcsolatuk.
Aki átélt már SOX auditot, az valószínűleg tudja, hogy miről beszélek.

Egyelőre úgy néz ki, hogy külön AD-ba kerül a kínai gyárunk. Nyűgös lesz, de nem látok más megnyugtató megoldást.

Valószínű, hogy a NYSE-n jegyzett cég totál legálisan használ VPN-t kínai telepekre is.
Hogy ez azzal jár, hogy be kell tennie egy megfelelő node-ot a kínai kormány támogatásával a kínai oldali endpoint mögé, vagy a kulcsot kell átadni a megfelelő kínai hatóságnak, netán csak letétbe kell helyezni, vagy simán csak bejelentési és engedélyeztetési kötelezettség vonatkozik rá, azt itt szerintem senki nem tudja megmondani.

Látogass el a kínai követségre, és kérj segítséget a legális megoldás megtalálásában.

A mi ötleteink csak a jelenlegi színvonalon működő kínai technológiai kontroll megkerülésére valószínűleg használható módszereket taglalják.

Érdekes téma. Leginkább az sslvpn ugrott be először de tesztelni kell az ilyet.

Ha fájlrendszer tartalmak szinkronizációja a lényeg, arra lehet hogy mást használnék, ha rendszer elérése akkor tényleg egy ilyesmi irány kell.

OFF: ha megkérdeznek mi megy a vonalon, mond a szokásosat, tiszta pamut.

Egyik pillanatról a másikra elindult az IPSEC. Lehet, hogy köze van ehhez:
http://pcworld.hu/kozelet/kina-lazit-az-internetes-szigoron.html

Azért azt nem mondanám, hogy teljesen nyugodt vagyok.

Nem akarok uj szalat nyitni, csak a kerdes kapcsolodik: van-e valakinek up-to-date infoja a GFW-rol? Egy+ het mulva megyek arrafele (Peking) egy szuk hetre, es hatarozottan nem lenne baj ha ki tudnek SSH-zni egy-ket kishazankbeli (akademiai szferaban es/vagy privat VPS-en levo) szerverre. Nem kimondottan VPN kihuzasa a cel (ilyen pofakonyv- meg google-szintu dolgokat pl nem hasznalok, anelkul jol megvagyok), csak sima interaktiv SSH-zgatas. Thx, A

nekem siman kiment az ipsec nemet iranyba, egyebkent surfroamrol meg a facebook/google is ment.

Royal többször mondta nekem az "ssh sock proxy-t" mint szegény ember VPN-jét, ami tényleg gyorsan üzembe helyezhető.
(Pont ma állítottam be.)

1. van valahova ssh hozzáférésed
2. kiadod ezt a kliensen:

ssh -D 1337 -q -C -N -f 

3. Beállítod a kliens böngészőben, a sock proxyt

1 perc az egész. Jó poén, mert így a belső háló ip-it is elérem a böngészőben. Jó ez cups-hoz, admin felületekhez, de szerintem a problémához is.

Részletesen:
https://ma.ttias.be/socks-proxy-linux-ssh-bypass-content-filters/

na ezt detektalja a gwf

Ha jól értem, akkor tulajdonképpen csak döntés kérdése lenne: https://www.trisul.org/blog/reverse-ssh/post.html

ah, felreertheto. kijelentem h detektalja a gfw, par perc utan vhogy mindig letimeoutolt az sshproxy. Viszont olvastam egy cikket anno hogy lehet megkerulni, meg kene talalni.

Ha magához az ssh-hoz mondjuk a 80/443-as porton csatlakozol?

akkor se - ott meg plane. vmi par hete olvastam a cikket, majd megkeresem. Egyebkent eleg okos joszag az a GFW, mintaelemzessel durvan sok mindent kiszur. ideig-oraig megy a consumer cuccokkal IS, de erre ne epits bizniszt.

A fentit írja is, mivel "csak" pakethosszokat néz, kicsit kipárnázva itt-ott, máris meg van oldva. De persze nem teljesen lehetetlen hogy akad más módszer is :D

Ja bocs, ez van lentebb is... előbb kellett volna olvasni mint írni.

Az ssh-t vagy csak az ssh proxy-t?

Valamelyik internetekben azt olvastam (asszem talan itt) hogy a sima mezei halozati TCP+ACK csomagok statisztikai eloszlasahoz hasonlo eloszlasu de kicsit nagyobb csomagokat keres a GFW. Na, es ha talal olyan mintazatot akkor azt az destination ip-t blokkolja egy ido utan...

Ne a fórumokat olvasgasd hanem beszélj a partnerrel, ahova kell. Az ISP is tud segíteni a nyitásban. Egyszerűbb folyamat, mint egy tipik multinál vagy a magyar NTG-n elintézni bármit