ОПСОСЫ блокируют трафик, Заговор или глюк? Опции

[kyish]

Сегодня столкнулся. У нескольких клиентов перестали проходить GRE пакеты если подключаться через хотспот на телефоне. Может это не только сегодня, а давно началось. Но раньше вроде такого не наблюдалось. 3G пользуюсь редко. Просто сегодня так случилось сразу у нескольких клиентов настраивал ВПН и столкнулся с такое проблемой.
ОПСОСы пчелайн и теле2, телефоны разные (ведроиды, огрызки), роутеры на серверной стороне тоже. Единственное, что общее - все клиенты каким-то "чудом" сидят на Владинфо. Но на него-то я меньше всего думаю. С другой стороны Мегафон (правда через модем, а не смартфон) ничего не режет.
Вот что это? Совпадение глюков или какая-то "акция"? Может это результат борьбы с "терроризмом" и "пиратством"?

[kod-x]

openvpn

[kyish]

openvpn

Вопрос не "Что делать?", а "Кто виноват?"

[Shurik+]

Вопрос не "Что делать?", а "Кто виноват?"

tcpdump с обеих сторон и будет понятно

а так да, кроме openvpn есть ещё tinc

[kyish]

tcpdump с обеих сторон и будет понятно

Да не. Вопрос не технический. И без дампа понятно кто воду мутит. Я наверное, зря в эту ветку запостил.) Надо было в "Технологии...".
Я так, "поплакаться" на ОПСОСов, и спросить "какого черта?".

[Shurik+]

Да не. Вопрос не технический. И без дампа понятно кто воду мутит. Я наверное, зря в эту ветку запостил.) Надо было в "Технологии...".
Я так, "поплакаться" на ОПСОСов, и спросить "какого черта?".

Ну дык проводят чистку, в связи со штрафами на ВПНы.
GRE - слишком явно, поэтому и сразу попал под нож. Я так думаю.

Опенвпн и тинк дают возможность работать по любым tcp/udp портам.
Если не делать инспекцию трафика, то сойдёт за легитимный :) Например хттпс.

[ÄÄÄ]

на Владинфо. Но на него-то я меньше всего думаю.

И зря, у нас режет безбожно, также замечен в подмене ДНС и https сертификатов.
Для мобильных - вполне работает shadowsocks или openvpn (первый кмк лучше), но надо, конечно, сервер свой (хотя дёшево это в принципе)

[kyish]

Ну дык проводят чистку, в связи со штрафами на ВПНы.
GRE - слишком явно, поэтому и сразу попал под нож. Я так думаю.

Допускаю. Но почему только Билайн и Теле2? А остальные что же "отстают"? (у нас с десяток наверное ещё провайдеров есть)

И зря, у нас режет безбожно

Ну GRE, например, точно не режет.

[ÄÄÄ]

да и gre зло всё-таки

[kick_the_ass!]

Сегодня столкнулся. У нескольких клиентов перестали проходить GRE пакеты если подключаться через хотспот на телефоне. Может это не только сегодня, а давно началось. Но раньше вроде такого не наблюдалось. 3G пользуюсь редко. Просто сегодня так случилось сразу у нескольких клиентов настраивал ВПН и столкнулся с такое проблемой.
ОПСОСы пчелайн и теле2, телефоны разные (ведроиды, огрызки), роутеры на серверной стороне тоже. Единственное, что общее - все клиенты каким-то "чудом" сидят на Владинфо. Но на него-то я меньше всего думаю. С другой стороны Мегафон (правда через модем, а не смартфон) ничего не режет.
Вот что это? Совпадение глюков или какая-то "акция"? Может это результат борьбы с "терроризмом" и "пиратством"?

напридумываете себе проблем и ищите виноватых, если уж куда стукнуться надо - ssh с форвардингом. А gre может и не сотовые режут, а проблема там, где ваша конечная точка находится

подмене ... https сертификатов.

Да ладна

[ÄÄÄ]

Да ладна

шикаладна.
сам прифигел, Файерфоксом открывал, так - говорит что сертификат поддельный, включаешь прокси - всё норм.
Некогда было изучать детали, но если встретится то наверное надо.

ssh с форвардингом

медленно и некоторые вещи завязанные на заголовок Host, например, не сработают. А так-то можно и цепочки выстраивать, ога.

[kyish]

напридумываете себе проблем и ищите виноватых, если уж куда стукнуться надо - ssh с форвардингом. А gre может и не сотовые режут, а проблема там, где ваша конечная точка находится

Т.е. ты меня обвиняешь в том, что нас прессуют,а мы и довольны, что ещё есть туева хуча способов обхода?

шикаладна.
сам прифигел, Файерфоксом открывал, так - говорит что сертификат поддельный, включаешь прокси - всё норм.
Некогда было изучать детали, но если встретится то наверное надо.

Вот за ДНС замечал, а сертификат не попадался. Скорее даже - не обращал внимания. Своих не держу, а за сторонних чего дергаться-то, там стомульонов причин может быть. Кстати, из-за ДНСа отчасти тоже может цепочки не строить. Ну это всё теории. Пример нужен живой.

[Shurik+]

Да ладна

стандартная фича cisco wsa

[kick_the_ass!]

стандартная фича cisco wsa

да ладна-2, стандартная ...
ASR1004 ничего такого не наблюдается
Web Security Appliance далеко не стандартная фича, а специализированное решение
вот ссыль на всякий случай

Сообщение отредактировал kick_the_ass! - 15.6.2018, 17:15

[Shurik+]

мне то это зачем, я их живьём крутил )

[ÄÄÄ]

мне то это зачем, я их живьём крутил )

даже не спрашиваю на чём...

[kick_the_ass!]

мне то это зачем, я их живьём крутил )

ссыль то читали? Appliance - не важно, сиська или масиська это СЕРВЕР софтовый со специализированным ПО, а значит ниразу НЕ СТАНДАРТНАЯ ФИЧА. Еслиб была стандартной, то на любом роутере сиськовом присутствовала бы

[Shurik+]

Ну началось.
А роутер на 155-ой серии что ли?
Сейчас всё софтовое.

И проксирование хттпс с заменой сертфиката там включается штатными средствами, то есть стандартными для этого девайса.

[kick_the_ass!]

Ну началось.
А роутер на 155-ой серии что ли?
Сейчас всё софтовое.

И проксирование хттпс с заменой сертфиката там включается штатными средствами, то есть стандартными для этого девайса.

в линейках РОУТЕРОВ 12000 asr 9000, 1000 этого нет и да они, софтовые и не на 155 серии
а вот в линейке СЕРВИСНЫХ ШЛЮЗОВ есть ибо не стандартаная фича, а специализированное решение
НО не у всех есть баблишко на подобные игрушки и мелкие, средние провайдеры вряд ли такое купят. Будут выбирать из нашего подешевле типа такого а может быть такого или вообще фриварей,
но вряд ли "стандартной фичей cisco wsa" потому что под фичами у цисаков подразумевается нечто иное

Сообщение отредактировал kick_the_ass! - 16.6.2018, 8:59

[Shurik+]

я ж написал циско WSA
зачем пихаете роутеры ?

просто ради спора?