В РФ частично прекратился массовый сбой в работе VPN-протоколов OpenVPN и WireGuard после 2 дней

Вечером 8 августа 2023 года спустя более чем двое суток в РФ частично прекратился массовый сбой в работе VPN-протоколов OpenVPN и WireGuard. Блокировки по фильтру в сторону всех зарубежных диапазонов оказались сняты, доступ к некоторым VPN-сервисам вернулся полностью или с частичными ограничениями по скорости и протоколам, но отдельные фильтры всё ещё работают.

Сообщение на форуме ntc.party от @ValdikSS: «Сняли блокировки, похоже».

Ограничения затронули наиболее распространённые VPN-протоколы OpenVPN и WireGuard. На сбои в работе VPN-сервисов жаловались клиенты мобильных операторов «Мегафон», МТС, «Билайн», Tele2, Yota, «Тинькофф Мобайл». В профильных форумах эксперты поясняли, что проблема массовая, но зависит от типа подключения и провайдера, например, через домашний интернет некоторых проводных провайдеров VPN-протоколы все работало без ограничений.


«Блокируют, по-видимому, все популярные стандартизированные (корпоративные) VPN-протоколы. Для всех VPN-протоколов, кроме L2TP, сначала выполняется обнаружение протокола, затем «проверка» протокола (проверка ответа или мониторинг нескольких пакетов в TCP/UDP-сессии), затем происходит разрыв сессии (TCP) или блокировка прохождения трафика по связке srcip-srcport-dstip-dstport (UDP)», — пояснил ValdikSS.

Spoiler: Тыц!

Блокируют, по-видимому, все популярные стандартизированные (корпоративные) VPN-протоколы на части провайдеров и в особенности мобильных операторов, возможно, по географической принадлежности AS: если диапазон закреплён не за Россией, то соединение подвергается фильтрации. VPN из-за рубежа внутрь России продолжает работать. Для тестов установил свежую VPS у Ramnode, но проверял не только на ней.

Для всех VPN-протоколов, кроме L2TP, сначала выполняется обнаружение протокола, затем «проверка» протокола (проверка ответа или мониторинг нескольких пакетов в TCP/UDP-сессии), затем происходит разрыв сессии (TCP) или блокировка прохождения трафика по связке srcip-srcport-dstip-dstport (UDP).

Мобильный Теле2 Санкт-Петербург:

• L2TP (UDP 1701, без IPsec): пакеты L2TP Control Message (самые первые пакеты сессии) не доходят до сервера на порт 1701
• IPsec (UDP 500/4500): блокируется прохождение UDP-пакетов после нескольких переданных пакетов во время установления сессии
• PPTP (TCP 1723): разрывается TCP-соединение после отправки сервером ответа Start-Control-Connection-Reply на первый пакет в сессии Start-Control-Connection-Request, до установки GRE-туннеля не доходит
• OpenVPN UDP: блокируется прохождение UDP-пакетов после нескольких переданных пакетов DATA после установки сессии
• OpenVPN TCP: разрывается TCP-соединение после нескольких переданных пакетов DATA после установки сессии
• WireGuard: блокируется прохождение UDP-пакетов после 5 принятых пакетов данных (Transport Data) с сервера

Проводной МТС Кузбасс:

• Блокируется только OpenVPN UDP/TCP, L2TP, WireGuard, но не PPTP и IPsec
• L2TP, в отличие от Теле2, доставляет пакеты на сервер, но ответы сервера блокируются
• WireGuard: блокируется прохождение UDP-пакетов после первого пакета данных (Transport Data) с сервера

Блокировки отличаются от тех, какие применяют для коммерческих VPN-сервисов (вроде ProtonVPN, Windscribe): их фильтруют с самого первого пакета, не позволяя сессии установиться.

Также возможно, на мобильном Ростелекоме правила блокировки иные. Напишите ЛС, кто сможет предоставить канал через компьютер.

08.08.2023-vpn-censorship-test-russia.zip (33.2 KB)

Обойти блокировку сравнительно просто, достаточно нарушить начальное определение протокола, пример для WireGuard 786

«Мы точно можем сказать, что Роскомнадзор активизировал свои усилия. Такого никогда не было. Было по нескольким регионам, чуть-чуть, ночью, в выходные обычно. А тут в будний день, долго, достаточно много регионов, и способы блокировки ещё отличались. То есть такое подозрение, что это глобальная такая проверка, насколько все работает, насколько блокировки эффективны. Бизнес очень не любит афишировать такие вещи, но хочу заметить, что действительно задело довольно мало. Это в том плане, что крупняков не задело, мелочь мы или не слышим, или молчит» — заявил IT-эксперт, автор Telegram-канала «Эшер II» Филипп Кулин.

СМИ пояснили, что в Роскомнадзоре не комментировали сообщения о блокировках VPN-протоколов OpenVPN и WireGuard.

В РФ под запретом все VPN-сервисы, которые не подключены к Федеральной государственной информационной системе (ФГИС), содержащей реестр запрещённой в РФ информации.

«Согласно закону «О связи», средства обхода блокировок противоправного контента признаются угрозой, так как создают условия для незаконной деятельности. Сервисы VPN могут создать у пользователей ошибочное представление о собственной анонимности в интернете. Однако иностранные владельцы таких сервисов имеют доступ ко всей информации, которую российские пользователи через них передают. Центр мониторинга и управления сетью связи общего пользования (ЦМУ ССОП) принимает меры по ограничению работы на территории России иностранных VPN-сервисов, нарушающих российское законодательство и помогающих обходить блокировки признанного в РФ запрещённым контента», — ранее сообщили СМИ в Роскомнадзоре.

09.08.2023
https://habr.com/ru/news/753424/​