Pandemi merebak di dunia, orang membeli kertas toilet dan gandum dalam skala industri, dan sebagian besar perusahaan IT memindahkan karyawan ke lokasi terpencil. Begitu juga majikan saya - kantor parastatal Jerman.Pada dasarnya, tidak ada masalah, tetapi salah satu karyawan kami sebulan yang lalu, ketika semuanya tampak tidak begitu menakutkan, saya pergi berlibur ke kerabat saya di Mesir dan aman terjebak di sana karena penutupan perbatasan. Ya, dia sehat sendiri, laptop yang berfungsi dengannya - dia mengkarantina dirinya sendiri dan bekerja melalui VPN. Seminggu berhasil, dua ... Pada minggu ketiga, VPN berhenti terhubung. Dukungan dari baris pertama memeriksa yang biasa, seperti reboot - itu tidak membantu. Baris kedua mulai mendiagnosis: koneksi masuk ke timeout terus-menerus pada tahap Handshake TLS. Dinonaktifkan firewall lokal - itu tidak membantu. Kami mencoba mobil lain - tidak berhasil. Penyedia lain tidak berfungsi. Pada titik ini, tim pendukung menyerah dan dengan gembira mendorong masalah itu kepada saya sesuai dengan prinsip lama yang baik dari "manajer jaringan yang harus disalahkan."Kami melihat log server: dia tidak melihat upaya untuk mencapainya setelah menjawab paket awal. Lucu dan sangat akrab. Saya menelepon seorang karyawan, saya tertarik pada bagaimana mereka berurusan dengan hak asasi manusia secara umum dan kebebasan internet pada khususnya. Dia mengatakan bahwa hal-hal buruk, Internet memblokir mereka sehingga cegukan unta, dan Roskomnadzor dengan gugup merokok di sela-sela. Ya ... Google cepat menunjukkan banyak keluhan tentang masalah VPN serupa di Mesir sejak 2017. Untuk melengkapi gambar, saya bertanya apakah karyawan tersebut telah berada di tanah air selama lebih dari 2 minggu dalam beberapa tahun terakhir - tidak, katanya, belum. Teka-teki mulai terbentuk.Kami meningkatkan salinan server VPN perusahaan pada IP putih gratis - tidak ada koneksi. DiharapkanKami mengubah port - tidak ada koneksi. Ini lebih menyedihkan.Kami mengubah protokol - tidak ada koneksi. Teka-teki telah berkembang - di depan kami adalah DPI seperti firewall Cina yang hebat.Karyawan itu sedih, bosnya bertanya, "Anda adalah peretas Rusia, lakukan sesuatu." Baiklah ... Temukan artileri berat Darknet dan putar obfsproxy.Untuk server (CentOS 7), tampilannya seperti ini:~ sudo pip install virtualenv
~ cd /etc/openvpn && virtualenv venv && source venv/bin/activate
~ sudo pip install obfsproxy
~ sudo -u openvpn /etc/openvpn/venv/bin/python /etc/openvpn/venv/bin/obfsproxy obfs3 --dest=127.0.0.1:1194 server 1.2.3.4:49416
Untuk klien (MacOS) seperti ini:~ brew install pip
~ pip install pyopenssl obfsproxy
~ obfsproxy obfs3 socks 127.0.0.1:8443
Dalam konfigurasi OpenVPN pada klien, tambahkan:socks-proxy-retry
socks-proxy 127.0.0.1 8443
Keuntungan OpenVPN dalam obfsproxy wrapper tidak terdeteksi oleh algoritme deteksi tanda tangan lokal, sesi lepas landas, ping pergi, lalu lintas berjalan, karyawan bahagia. Tetap hanya menambahkan bagian klien obfsproxy ke autoload dengan cara "jelas" ini (saya benci bunga poppy). Saya mengucapkan selamat tinggal kepada tahanan kami dengan lega dan menulis surat untuk mendukung dengan semangat "masalah ini terpecahkan seperti ini, tetapi saya tidak dapat menjamin stabilitas, dan Anda hanya dapat menggunakan solusi ini jika tidak ada jalan keluar."Rupanya, di Mesir ada tempat untuk menjadi DPI terutama yang licik, yang pada awalnya tidak memblokir komunikasi untuk pelanggan baru dan / atau lalu lintas ke host baru, merujuk mereka ke kategori bersyarat "turis". Dan setelah batas waktu tertentu berakhir, pengguna dikategorikan sebagai "milik mereka" dan dengan senang hati memotong lalu lintas untuk menyenangkan raja-raja setempat.