In der Welt tobt eine Pandemie, die Menschen kaufen Toilettenpapier und Buchweizen im industriellen Maßstab und die meisten IT-Unternehmen verlegen Mitarbeiter an einen entfernten Ort. Mein Arbeitgeber auch - ein deutsches parastatales Büro.Grundsätzlich gab es keine Probleme, aber einer unserer Mitarbeiter vor einem Monat, als noch alles nicht so beängstigend aussah, machte ich Urlaub bei meinen Verwandten in Ägypten und saß dort wegen der Grenzschließung sicher fest. Nun, sie ist selbst gesund, ein funktionierender Laptop mit ihr - sie hat sich unter Quarantäne gestellt und arbeitet über ein VPN. Eine Woche funktioniert, zwei ... In der dritten Woche hat das VPN die Verbindung unterbrochen. Die Unterstützung der ersten Zeile überprüfte das Alltägliche wie ein Neustart - es half nicht. Die zweite Zeile begann mit der Diagnose: Die Verbindung wird in der TLS-Handshake-Phase ständig unterbrochen. Deaktivierte eine lokale Firewall - es hat nicht geholfen. Wir haben ein anderes Auto ausprobiert - es funktioniert nicht. Ein anderer Anbieter funktioniert nicht. Zu diesem Zeitpunkt gab das Support-Team auf und schob mir das Problem freudig nach dem guten alten Prinzip „Der Netzwerkmanager ist schuld“ vor.Wir schauen in die Serverprotokolle: Er sieht keine Versuche, es zu erreichen, nachdem er das erste Paket beantwortet hat. Lustig und ziemlich vertraut. Ich rief einen Mitarbeiter an und interessierte mich dafür, wie er mit den Menschenrechten im Allgemeinen und der Freiheit des Internets im Besonderen umgeht. Er sagt, dass die Dinge schlecht sind, das Internet sie blockiert, so dass die Kamele Schluckauf haben und Roskomnadzor nervös am Rande raucht. Ja ... Ein kurzes Googeln zeigt eine Reihe von Beschwerden über ähnliche VPN-Probleme in Ägypten seit 2017. Um das Bild zu vervollständigen, frage ich, ob der Mitarbeiter in den letzten Jahren länger als zwei Wochen in der Heimat war - nein, sagt sie, nie besucht. Das Puzzle nimmt Gestalt an.Wir erstellen eine Kopie des Unternehmens-VPN-Servers auf einer kostenlosen weißen IP - es besteht keine Verbindung. Erwartet.Wir wechseln den Port - es besteht keine Verbindung. Das ist trauriger.Wir ändern das Protokoll - es besteht keine Verbindung. Das Rätsel hat sich entwickelt - vor uns liegt DPI wie eine große chinesische Firewall.Der Angestellte ist traurig, der Chef fragt klagend: "Sie sind ein russischer Hacker, tun Sie etwas." Nun ... Entdecken Sie Darknets schwere Artillerie und drehen Sie obfsproxy.Für einen Server (CentOS 7) sieht es folgendermaßen aus:~ sudo pip install virtualenv
~ cd /etc/openvpn && virtualenv venv && source venv/bin/activate
~ sudo pip install obfsproxy
~ sudo -u openvpn /etc/openvpn/venv/bin/python /etc/openvpn/venv/bin/obfsproxy obfs3 --dest=127.0.0.1:1194 server 1.2.3.4:49416
Für einen Client (MacOS) wie diesen:~ brew install pip
~ pip install pyopenssl obfsproxy
~ obfsproxy obfs3 socks 127.0.0.1:8443
Fügen Sie in der OpenVPN-Konfiguration auf dem Client Folgendes hinzu:socks-proxy-retry
socks-proxy 127.0.0.1 8443
Profitieren OpenVPN im obfsproxy-Wrapper wird von lokalen Signaturerkennungsalgorithmen nicht erkannt, die Sitzung wird gestartet, Pings gehen, der Datenverkehr wird ausgeführt, der Mitarbeiter ist zufrieden. Es bleibt nur, den obfsproxy-Client-Teil auf diese „offensichtliche“ Weise zum automatischen Laden hinzuzufügen (ich hasse Mohnblumen). Ich verabschiede mich erleichtert von unserem Gefangenen und schreibe einen Brief zur Unterstützung im Sinne von "Dieses Problem ist so gelöst, aber ich kann keine Stabilität garantieren, und Sie können diese Problemumgehung nur verwenden, wenn es keinen anderen Ausweg gibt."Anscheinend gibt es in Ägypten einen Ort, an dem DPI besonders gerissen ist, was zunächst die Kommunikation mit neuen Abonnenten und / oder den Verkehr mit neuen Hosts nicht blockiert und diese auf die bedingte Kategorie "Touristen" verweist. Und nach Ablauf einer bestimmten Zeitspanne wird der Benutzer als "sein" eingestuft und schneidet freudig den Verkehr ab, um den lokalen Königen zu gefallen.