Hallo FW-Leute. Ich lebe in einer Region, in der wir bald ein umfangreiches Regierungstor firewall sehen könnten. Offensichtlich wäre VPN das Werkzeug der Wahl, um Zwangsmaßnahmen zu umgehen, aber OpenVPN und Wireguard scheinen ziemlich einfach zu blockieren, also habe ich darüber nachgedacht, ob es möglich ist, ALLEN Firewalla-Verkehr über einen HTTPS-Proxy zu schicken, der zuerst als SSL-Verkehr getarnt ist, einschließlich VPN-Verkehr, um die Beschränkungen zu umgehen.
Hat jemand Erfahrung damit oder kann mir Hinweise geben, wie man das einrichtet?
Vielen Dank!
Du könntest auch TOR über einen Proxy in Betracht ziehen. Es gibt Leute, die Snowflake-Proxys betreiben, um Menschen in deiner Situation zu helfen.
Das könnte deinen Anforderungen entsprechen, hast du dir Tailscale angesehen?
Ich glaube, wenn die direkte UDP-Verbindung Nat-Traversal blockiert ist, wird es HTTPS über einen Derp-Relay auf TCP 443 verwenden.
Ich nutze es, um mit entfernten Netzwerken zu verbinden und den Tailscale-Agent direkt auf meinem Firewalla Gold laufen zu lassen. Es funktioniert einwandfrei.
Ich denke, du kannst es wahrscheinlich so konfigurieren, dass es das tut, was du brauchst.
Alle Pläne sind kostenlos für bis zu 3 Benutzer. Für Tailscale brauchst du vermutlich nicht die Zero-Trust-Funktion bei mehreren Nutzern.
Alternativ könntest du einen kleinen VPS mieten (OVH bietet unbegrenzte Bandbreitenoptionen) und einen WireGuard-Server auf Port 443 einrichten. Dann konfiguriert man Firewalla als WireGuard-Client (Site-to-Site VPN eines Drittanbieters).
Danke, aber ich möchte den VPN-Verkehr für alle Geräte und den gesamten Verkehr verstecken. Mein r/firewalla macht die VPN-Verbindung für den ganzen Datenverkehr, alle VPN-Daten müssen über den Proxy laufen.
Vielleicht sollte ich u/firewalla bitten, die Option für Proxy hinzuzufügen und alle VPN-Daten über den Proxy zu leiten, um dies zu erreichen.
Ansonsten müsste ich vermutlich die iptables abbilden.
Danke, ich werde mir diese anschauen, aber ich verstehe, dass VPN-Verkehr, insbesondere WireGuard-Verkehr, sehr leicht zu erkennen ist, egal auf welchem Port, und dass er blockiert werden kann.
Deshalb verstecken Leute VPN, indem sie einen Proxy verwenden, um den Eindruck zu erwecken, als wäre es HTTPS-Verkehr, nicht VPN-Verkehr. Allerdings denke ich, basierend auf u/Firewalla’s Antwort, dass es leider noch schwieriger sein könnte.
Ich werde mir die VPS-Option ansehen, das klingt interessant.
Was du brauchst, ist, VPN-Verkehr mit HTTPS-Protokoll zu verbergen und die Erkennung zu umgehen … Das ist sowohl Kunst als auch Wissenschaft. Wir hatten ein anderes Startup, das uns vor der Pandemie eine Lizenz für ihren Code angeboten hat, der Preis war zu hoch, und nicht viele unserer Kunden benötigen es, also haben wir abgelehnt.
Danke für deine Antwort. Ist der Trick also anders, als einfach allen Verkehr (einschließlich VPN-Verkehr) über einen HTTPS-Socks5-Proxy zu leiten? Ich habe realisiert, dass das Shadowsocks-Projekt auf GitHub früher in einigen Regionen, in denen extensive Internetblockaden bestehen, sehr populär war. Oder würde Deep Packet Inspection den VPN-Traffic immer noch erkennen?
In Gebieten mit großflächiger Internetzensur kann man auf alle globalen Websites zugreifen, wenn man in Hotels mit amerikanischem Ursprung ist, wo es keine Blockaden zu geben scheint, wahrscheinlich weil sie zu ihren eigenen Servern proxyen. Man kann auch VPN verwenden, das funktioniert. Deshalb meine Idee, OpenVPN über Socks5 zu verwenden.
Ich habe einen VPN-Dienst, der dies auf einem einzelnen Gerät kann (Keepsolid VPN Unlimited – eine ukrainische Firma) mit einem Protokoll namens Wise, das mit OpenVPN über TCP 443 funktioniert und VPN-Verkehr als HTTPS tarnt. Aber leider kann ich das nicht auf allen Geräten in Firewalla umsetzen.
Ich schätze eure Gedanken.
Die Lösung ist wahrscheinlich etwas, das Shadowsocks schon macht… Das Startup, das uns angegangen ist, hatte eine ‘bessere’ Methode. Sie wollen pro Gerät-Lizenz, und wir können es uns nicht leisten.