baraholko.ru

Если вы берёте себе VPN, то ОБЯЗАТЕЛЬНО позаботьтесь чтобы был KillSwitch. Желательно очень комплексный.

PS: Вообще можете спрашивать свои вопросы - про всякое в IKEv2, OpenVPN и WireGuard. И как это всё работает в винде могу подсказать.

Администрация VPN-сервиса может не только сохранять ваш трафик, сканировать порты, эксплуатировать уязвимости, но и сливать информацию куда следует

Проверял на Wireguard и TCPdump.

b0r1sus писал(а): ↑Чт май 28, 2020 7:08 pm Администрация VPN-сервиса может не только сохранять ваш трафик, сканировать порты, эксплуатировать уязвимости, но и сливать информацию куда следует

Проверял на Wireguard и TCPdump.

Тоже мне секрет полишенеля. Это всем известно. Ты просто перекидываешь точку где всё это могут делать в страну, где вряд ли станут. И если ты пользуешься к примеру швейцарскими серверами, то там ты нахуй не нужен (принцип неуловимого Джо).

И если тут у тебя - точки провайдеры+контора через СОРМ. То там местным ты нафиг не сдался. И они трижды подумают насчёт запроса из России (и если он будет составлен не по всем правилам, то и откажут в предоставлении).

Потом никто тебе не запрещает делать "луковицы" (когда в канале идёт шифрованный канал к другому VPN, в нём ещё, и ещё) и цепочки (когда один сервер кидает запрос не к ближайшему роуту, а вообще в жопу куда-то) и прочее веселье.

PS: В России я этой всей фигни смысла не вижу https://xkcd.com/538/

Сборка OpenVPN с XOR-патчем под винду https://arxont.blogspot.com/2020/07/openvpn-xor.html

https://www.comss.ru/page.php?id=4356 - что ещё надо делать если работаешь в винде (вот нихрена не интуитивное поведение)

https://habr.com/ru/news/t/514390/ - интересная тенденция в духе - "Не можем понять что за траффик - дропаем".

В тему тенденции - *мне приснилось*, что в Белоруссии тупо заблокировали всё, что не разрешено. Причём любой шифрованный трафик тупо отсекается. И все VPN стали резко бесполезны. Некоторые товарищи сидят через icmp-tunnel, но там падение скорости дичайшее (но нигде практически не блокируется)

Тем временем микротики научились в WireGuard

Поделка ULFS тоже может Wireguard и OpenVPN. Еще можно через SSH тунели создавать и порты пробрасывать.

Насчёт сохранения трафика - у нас сейчас несколько десятков тысяч клиентов. Каждый день около 300 терабайт трафика. Никто не заморачивается сохранением его. Во первых это дорого.
Во вторых что потом делать с этим трафиком? Если ты работаешь именно честным VPN, то бессмысленно - он не нужен. А сохраняют и анализируют только в случае "скама" и левых VPN - но там именно в этом цель.

Насчёт хранения логов - не ведётся по другой причине. И эта причина в том, что практически во всех странах провайдеры обязаны писать эти самые логи (СОРМ в России, LI в Европе, CALEA в США и так далее). И всегда можно запросить у провайдера и "сопоставить". То есть ты слал такие то запросы на VPN, а затем сервер точно такие же запросы посылал дальше. И так раскручивают.
Все логи которым ведём мы - они исключительно по использованию трафика (так как тарифы).

PS: Особо тупых товарищей ещё ловят на том, что когда он (страшный хаккер) начинает ломать какой-нибудь сервер (к примеру kremlin), то подключается к очень секурному VPN-серверу, к примеру в Лаосе. И да - официальный запрос в Лаос не даст ничего (ну или даст нихуя). И кашники смотрят - вот ломается сервер с лаоса, а вот из Домны идут запросы к этому самому Лаосу. И количество пакетов-трафика в общем случае плюс-минус равно. Так что только луковичные и цепочные архитектуры советую использовать. Ну или как минимум VPN в VPN (то есть при подключенном VPN цепляемся к другому уже из подключенного) (тоже маленькая цепочка да).

PS2: Надо понимать, что всякие ICMP или DNS туннелирование позволяет обходить очень многие DPI. Но провайдеры пишут именно факт передачи практически всегда на L2.