Per què la meva VPN deixa de funcionar de vegades?

Múltiples possibilitats. L'IP del servidor VPN s'ha afegit a una llista de bloqueig (prova amb un servidor diferent). El DPI de la xarxa va prendre l'empremta digital del protocol i l'està bloquejant (proveu OpenVPN-TCP/443 amb ofuscació, o un protocol ofuscat dedicat com Proton Stealth o NordWhisper). El servei de destinació (Netflix, el vostre banc) va afegir la IP VPN a la seva llista de denegació (proveu una sortida diferent o un servidor de transmissió dedicat).

Funcionarà alguna VPN a la Xina?

Pocs funcionen de manera fiable. Els protocols estàndard són detectats i bloquejats en qüestió de minuts pel Great Firewall. Els protocols ofuscats especialitzats (NordVPN's NordWhisper, ProtonVPN's Stealth, Shadowsocks amb v2ray-plugin, AmneziaWG) funcionen de vegades. La cursa armamentística s'inclina cap endavant i cap enrere setmanalment. Els viatgers que necessiten específicament una VPN fiable a la Xina haurien d'instal·lar diversos proveïdors i configuracions per endavant.

Com sap Netflix que estic fent servir una VPN?

Detecció basada principalment en IP. Netflix manté una base de dades d'intervals IP coneguts del proveïdor de VPN i rebutja els fluxos d'aquestes IP. Actualitzen la base de dades constantment. Alguns proveïdors de VPN giren les IP de sortida més ràpidament que les actualitzacions de Netflix, però és un objectiu en moviment. Les IP residencials (esculpides a partir d'ISP de consumidors reals) eluden això, però són més cares d'operar.

És il·legal utilitzar una VPN en països restrictius?

Majoritàriament, la resposta tècnica és sí, la resposta pràctica és que l'aplicació contra usuaris individuals és rara. La Xina requereix que els proveïdors de VPN es registrin al govern; Les VPN no registrades són tècnicament il·legals, però desenes de milions de ciutadans xinesos les utilitzen. La situació de Rússia és similar. Els Emirats Àrabs Units han multat ocasionalment usuaris individuals. El risc personal real depèn de la vostra visibilitat: l'ús personal silenciós rarament s'orienta; activisme o negoci que crida l'atenció és.

Pot un proveïdor de VPN dir quan em bloquegen?

En general, sí: els errors de connexió, l'acceleració o les coincidències d'empremtes digitals DPI apareixen a la seva telemetria. Els proveïdors que es prenen seriosament la elusió de la censura (Proton, NordVPN, Mullvad) fan un seguiment actiu de quines xarxes/regions bloquegen les seves connexions i desenvolupen nous protocols o configuracions de servidor com a resposta. Els proveïdors amb pressupostos d'elusió més febles no ho fan tan de prop.

S'ha explicat el bloqueig de VPN: com els països i els serveis bloquegen les VPN (i com s'hi desplacen)

El bloqueig de VPN és el joc del gat i el ratolí entre les persones que intenten utilitzar VPN i els governs, els ISP, els serveis de transmissió i les xarxes corporatives que intenten aturar-les. La Xina té el programa de bloqueig més agressiu; Rússia, Iran i els Emirats Àrabs Units segueixen de prop; Netflix ha passat anys intentant negar l'accés als usuaris de VPN. Així és com funciona realment el bloqueig des del punt tècnic i què fan els proveïdors de VPN per passar-lo.

El cos complet de l'article es proporciona en anglès a continuació.

Els mètodes de bloqueig

IP blocklist

El mètode més senzill. Compileu una llista dels rangs IP coneguts del proveïdor de VPN i bloquegeu-los tots. Els serveis de reproducció en temps real utilitzen això de la manera més agressiva: Netflix, Hulu, BBC iPlayer, Disney+ han creat una detecció VPN-IP sofisticada que s'actualitza diàriament. Els països també l'utilitzen com a defensa de primera línia.

Counter: els proveïdors de VPN afegeixen noves IP de servidor constantment i giren els grups de sortida. Alguns ofereixen IP residencials (IPs procedents d'ISP de consumidors reals en comptes de centres de dades) per als usuaris que necessiten específicament evitar els blocs de reputació d'IP. Bloqueig de ports

Els protocols

VPN tenen ports coneguts. El port assignat per IANA d'OpenVPN és 1194. WireGuard per defecte és 51820. IKEv2 utilitza UDP 500 i 4500. Bloqueja aquests ports, bloqueja el trànsit VPN obvi. HTTPS.

Inspecció profunda de paquets de protocols d'encaixada de mans

L'enfocament seriós. Fins i tot quan s'executa una VPN a TCP/443, l'encaix de mans d'OpenVPN, WireGuard o IKEv2 té una signatura de bytes reconeixible que els sistemes DPI poden empremta digital. El Gran Tallafoc de la Xina utilitza aquesta tècnica de manera rutinària; fins i tot WireGuard-on-443 es detecta i es bloqueja en qüestió de minuts.

Counter: ofuscació del protocol. Emboliqueu l'encaixada de mans VPN amb alguna cosa que sembli trànsit genuí d'HTTPS, WebSocket o QUIC. Exemples: Stealth de ProtonVPN, NordWhisper de NordVPN, OpenVPN amb Stunnel/Cloak/Obfsproxy, AmneziaWG (una bifurcació WireGuard que aleatoritza la seva encaixada de mans), protocols V2Ray. La pròpia encaixada de mans TLS té empremtes dactilars. Un navegador específic produeix missatges ClientHello amb un ordre concret de la suite de xifratge, una llista d'extensions específica, un hash JA3 específic. Si la vostra connexió "HTTPS" té una empremta digital TLS que no coincideix amb cap navegador principal, pot ser que sigui un client VPN que porti un vestit.

Counter: les eines d'ofuscament modernes imiten les empremtes digitals TLS dels navegadors principals byte per byte (uTLS a Go, utls.js, similar en altres idiomes). El gat i el ratolí continua.

Anàlisi de la forma del trànsit

Efins i tot quan el contingut està xifrat i les empremtes dactilars coincideixen amb un navegador real, el ritme d'una sessió VPN és distintiu. Sempre bidireccional, rendiment sostingut, mides de paquet coherents, no el patró d'explotació, renderització i pausa de la navegació web real. Els models d'aprenentatge automàtic poden identificar els fluxos VPN només a partir de la forma amb una precisió sorprenent.

Counter: introdueix trànsit simulat per dissimular la forma (el DAITA de Mullvad ho fa) o executa el protocol VPN sobre alguna cosa que ja té una forma irregular (la disfressa de videotrucada WebRTC de Snowflake). el Great Firewall veu una connexió sospitosa, de vegades envia paquets de prova a la destinació per confirmar si en realitat es tracta d'un servidor VPN. Un servidor HTTPS real respon amb una encaixada de mans TLS reconeixible; un servidor VPN pot respondre d'una manera que es regali. Llavors es bloqueja tota la connexió.

Counter: els servidors VPN es poden configurar perquè requereixin autenticació abans de respondre: els "desconeguts" reben una resposta genèrica 404 o cap resposta, només els clients autenticats reben l'enllaç VPN. Els usuaris ni tan sols poden descarregar el client VPN perquè vpnmasterpro.com (o qualsevol altre) no es resol.

Counter: utilitzeu DNS a través d'HTTPS per consultar un solucionador desbloquejat. Distribuïu els mitjans d'instal·lació mitjançant canals que el censor no pugui interceptar (Telegram, Tor, llapis USB, distribucions d'ambaixades).

On el bloqueig és agressiu

China: el desplegament DPI més sofisticat del món. Els protocols VPN estàndard es bloquegen pocs minuts després de ser detectats. Només els protocols ofuscats (i de vegades ni tan sols aquests) funcionen de manera fiable.
Russia — El llançament de TSPU des del 2019 va afegir DPI complet a la majoria dels principals ISP. Twitter/X va ser estrangulat el 2021; molts proveïdors de VPN es van bloquejar a partir del 2022.
Iran — DPI des del 2008, esdeveniments habituals de bloqueig de VPN, especialment durant les protestes. Les protestes de Mahsa Amini del 2022 van provocar un desplegament generalitzat de VPN a mesura que el govern va endurir les restriccions. L'aplicació és desigual, però tècnicament capaç.
Corea del Nord: la xarxa domèstica de Kwangmyong del país està separada d'Internet global. L'elusió de VPN és essencialment N/A.
India: la regla de 2022 de CERT-In va obligar els proveïdors de VPN a registrar l'activitat dels usuaris o a retirar-los. La majoria de proveïdors de bona reputació van treure servidors físics.
Turkey: desembre de 2023 van bloquejar 16 proveïdors de VPN, inclosos IPVanish, ExpressVPN, NordVPN, Tor.

Bloqueig de serveis de streaming

XPLZ33, tècniques similars de motivació. Netflix, Hulu, BBC iPlayer, Disney+, Amazon Prime, etc. bloquegen les IP VPN per fer complir les llicències geogràfiques. No estan tractant d'impedir-vos accedir a Internet en general, només de veure el seu contingut des del país "equivocat".

Counter: servidors dedicats optimitzats per a streaming que giren les IP amb freqüència. Algunes VPN (Windflix de Windscribe, servidors de streaming dedicats de NordVPN/ExpressVPN/Surfshark) persegueixen explícitament la carrera d'armes en streaming. Les VPN de privadesa més petites (Mullvad, Proton) no participen, de manera que la seva fiabilitat de transmissió és menor.

Bloqueig de xarxes corporatives

Moltes empreses i escoles bloquegen el trànsit VPN per motius de compliment i seguretat. Els mètodes són similars: bloqueig de ports, llistes de bloqueig d'IP, DPI. La motivació és diferent (compliment, filtratge de contingut, detecció de programari maliciós) però les tècniques es mapegen directament.

Estat legal

L'ús d'una VPN és legal a la majoria de països. La infraestructura existia per a l'ús legítim de l'empresa molt abans que les VPN de consum fossin habituals.
El funcionament d'un servei VPN està regulat en alguns països (Xina, Rússia, Iran): els proveïdors compleixen els requisits de registre locals o estan bloquejats. països. La Xina i Rússia requereixen que els proveïdors de VPN que operen a nivell nacional es registrin i cooperin; utilitzar una VPN no registrada (és a dir, real) és tècnicament il·legal, però l'aplicació contra usuaris individuals és desigual.
Utilitzar una VPN per cometre un delicte continua sent il·legal a tot arreu; la VPN no ho canvia.

Si et trobes en un país que bloqueja les VPN

Troïu un proveïdor amb una ofuscació dissenyada específicament: ProtonVPN Stealth, NordVPN NordWhisper, o l'eina especialitzada d'experiments Mulita/Outquidc (Shadowsocks) o AmneziaWG.
Obteniu el suport d'instal·lació abans que ho necessiteu: els dominis de descàrrega dels proveïdors poden bloquejar-se quan ja hi sou. Els transports connectables de Tor sovint encara funcionen.
Espereu errors: les connexions que funcionaven ahir potser no avui; Teniu a punt diversos proveïdors i protocols.

Verifiqueu que el vostre túnel funcioni quan es connecti amb la nostra prova de fuites .

Preguntes freqüents

Per què la meva VPN deixa de funcionar de vegades?: Múltiples possibilitats. L'IP del servidor VPN s'ha afegit a una llista de bloqueig (prova amb un servidor diferent). El DPI de la xarxa va prendre l'empremta digital del protocol i l'està bloquejant (proveu OpenVPN-TCP/443 amb ofuscació, o un protocol ofuscat dedicat com Proton Stealth o NordWhisper). El servei de destinació (Netflix, el vostre banc) va afegir la IP VPN a la seva llista de denegació (proveu una sortida diferent o un servidor de transmissió dedicat).
Funcionarà alguna VPN a la Xina?: Pocs funcionen de manera fiable. Els protocols estàndard són detectats i bloquejats en qüestió de minuts pel Great Firewall. Els protocols ofuscats especialitzats (NordVPN's NordWhisper, ProtonVPN's Stealth, Shadowsocks amb v2ray-plugin, AmneziaWG) funcionen de vegades. La cursa armamentística s'inclina cap endavant i cap enrere setmanalment. Els viatgers que necessiten específicament una VPN fiable a la Xina haurien d'instal·lar diversos proveïdors i configuracions per endavant.
Com sap Netflix que estic fent servir una VPN?: Detecció basada principalment en IP. Netflix manté una base de dades d'intervals IP coneguts del proveïdor de VPN i rebutja els fluxos d'aquestes IP. Actualitzen la base de dades constantment. Alguns proveïdors de VPN giren les IP de sortida més ràpidament que les actualitzacions de Netflix, però és un objectiu en moviment. Les IP residencials (esculpides a partir d'ISP de consumidors reals) eluden això, però són més cares d'operar.
És il·legal utilitzar una VPN en països restrictius?: Majoritàriament, la resposta tècnica és sí, la resposta pràctica és que l'aplicació contra usuaris individuals és rara. La Xina requereix que els proveïdors de VPN es registrin al govern; Les VPN no registrades són tècnicament il·legals, però desenes de milions de ciutadans xinesos les utilitzen. La situació de Rússia és similar. Els Emirats Àrabs Units han multat ocasionalment usuaris individuals. El risc personal real depèn de la vostra visibilitat: l'ús personal silenciós rarament s'orienta; activisme o negoci que crida l'atenció és.
Pot un proveïdor de VPN dir quan em bloquegen?: En general, sí: els errors de connexió, l'acceleració o les coincidències d'empremtes digitals DPI apareixen a la seva telemetria. Els proveïdors que es prenen seriosament la elusió de la censura (Proton, NordVPN, Mullvad) fan un seguiment actiu de quines xarxes/regions bloquegen les seves connexions i desenvolupen nous protocols o configuracions de servidor com a resposta. Els proveïdors amb pressupostos d'elusió més febles no ho fan tan de prop.