Miért nem működik néha a VPN-em?

Több lehetőség. A VPN-kiszolgáló IP-címe felkerült egy tiltólistára (próbáljon másik szervert). A hálózat DPI-je lenyomta a protokollt, és blokkolja azt (próbálja ki az OpenVPN-TCP/443-at homályosítással, vagy egy dedikált obfuszkált protokollt, mint például a Proton Stealth vagy a NordWhisper). A célszolgáltatás (Netflix, az Ön bankja) hozzáadta a VPN IP-címét a tiltólistához (próbáljon másik kilépési pontot vagy egy dedikált streaming szervert).

Működni fog bármilyen VPN Kínában?

Kevesen dolgoznak megbízhatóan. A szabványos protokollokat perceken belül észleli és blokkolja a Great Firewall. A speciális obfuszkált protokollok (NordVPN NordWhisper, ProtonVPN Stealth, Shadowsocks v2ray beépülő modullal, AmneziaWG) időnként működnek. A fegyverkezési verseny hetente előre-hátra billen. Azoknak az utazóknak, akiknek kifejezetten Kínában megbízható VPN-re van szükségük, több szolgáltatót és konfigurációt kell előre telepíteniük.

Honnan tudja a Netflix, hogy VPN-t használok?

Elsősorban IP-alapú észlelés. A Netflix adatbázist tart fenn az ismert VPN-szolgáltatók IP-tartományairól, és visszautasítja az ezekről az IP-címekről érkező adatfolyamokat. Folyamatosan frissítik az adatbázist. Egyes VPN-szolgáltatók gyorsabban váltják a kilépési IP-címeket, mint a Netflix frissítései, de ez egy mozgó célpont. A lakossági IP-címek (amelyeket a valódi fogyasztói internetszolgáltatókból faragtak) megkerülik ezt, de működésük költségesebb.

Illegális a VPN használata a korlátozó országokban?

A technikai válasz többnyire igen, a gyakorlati válasz az, hogy ritka az egyéni felhasználók elleni jogérvényesítés. Kína megköveteli a VPN-szolgáltatóktól, hogy regisztráljanak a kormánynál; A nem regisztrált VPN-ek technikailag illegálisak, de kínai állampolgárok tízmilliói használják őket. Oroszország helyzete hasonló. Az Egyesült Arab Emírségek időnként megbírságoltak egyes felhasználókat. A tényleges személyes kockázat az Ön láthatóságától függ – a csendes személyes használatot ritkán célozzák meg; aktivizmus vagy üzlet, amely felhívja a figyelmet.

Meg tudja mondani egy VPN-szolgáltató, hogy mikor vagyok blokkolva?

Általában igen – a kapcsolati hibák, a szabályozás vagy a DPI-ujjlenyomat egyezések megjelennek a telemetriájukban. A cenzúra megkerülését komolyan vevő szolgáltatók (Proton, NordVPN, Mullvad) aktívan nyomon követik, mely hálózatok/régiók blokkolják kapcsolataikat, és válaszul új protokollokat vagy szerverkonfigurációkat vezetnek be. A gyengébb megkerülési költségkerettel rendelkező szolgáltatók ezt nem követik olyan szorosan.

A VPN-blokkolás magyarázata: Hogyan blokkolják az országok és a szolgáltatások a VPN-eket (és hogyan tudják megkerülni)

A VPN-blokkolás macska-egér játék a VPN-eket használni próbáló emberek és a kormányok, internetszolgáltatók, streaming szolgáltatások és vállalati hálózatok között, akik megpróbálják megállítani őket. Kína a legagresszívabb blokkoló programot futtatja; Oroszország, Irán és az Egyesült Arab Emírségek követik szorosan mögöttük; A Netflix éveket töltött azzal, hogy megtagadja a VPN-felhasználók hozzáférését. Így működik valójában a blokkolás technikai oldalon, és mit tesznek a VPN-szolgáltatók, hogy túllépjenek rajta.

A cikk teljes szövege alább olvasható angol nyelven.

The blocking methods

IP blocklist

The simplest method. Állítsa össze az ismert VPN-szolgáltató IP-tartományainak listáját, és blokkolja mindegyiket. A streaming szolgáltatások használják ezt a legagresszívebben – a Netflix, a Hulu, a BBC iPlayer, a Disney+ mind kifinomult VPN-IP észlelést épített ki, amely naponta frissül. Az országok első vonalbeli védelemként is használják ezt.

Számláló: A VPN-szolgáltatók folyamatosan új szerver IP-címeket adnak hozzá, és váltogatják a kilépési készleteket. Egyesek lakossági IP-címeket (valós fogyasztói internetszolgáltatóktól, nem pedig adatközpontoktól származó IP-címeket) kínálnak azoknak a felhasználóknak, akiknek kifejezetten az IP-reputációs blokkokat kell megkerülniük.

Portblokkolás

VPN protokollok ismert portokkal rendelkeznek. Az OpenVPN IANA-hoz rendelt portja 1194. A WireGuard alapértelmezése 51820. Az IKEv2 UDP 500-at és 4500-at használ. Blokkolja ezeket a portokat, blokkolja a nyilvánvaló VPN-forgalmat.

Számláló: A VPN-szolgáltatók szabványos portokon futtatják szervereiket – általában úgy néz ki, mint a TCP/4-hez –43 HTTPS.

A protokoll-kézfogások mély csomagvizsgálata

A komoly megközelítés. Még akkor is, ha a VPN TCP/443-on fut, az OpenVPN, a WireGuard vagy az IKEv2 kézfogása egy felismerhető bájt aláírással rendelkezik, amelyből az DPI rendszerek ujjlenyomatot tudnak adni. A Kínai Nagy Tűzfal rutinszerűen használja ezt a technikát – még a WireGuard-on-443-at is perceken belül észleli és blokkolja.

Számláló: protokoll zavarása. Csomagolja be a VPN-kézfogást valami eredeti HTTPS-, WebSocket- vagy QUIC-forgalomba. Példák: ProtonVPN Stealth, NordVPN NordWhisper, OpenVPN Stunnel/Cloak/Obfsproxy-val, AmneziaWG (egy WireGuard villa, amely véletlenszerűen választja ki a kézfogást), V2Ray protokollok.

TLS ujjlenyomat-felvétel, amikor a VPN4 sikeresen feloldja a HTTPS-t, mint a HTTPS4

XXgu magának a TLS kézfogásnak vannak ujjlenyomatai. Egy adott böngésző ClientHello-üzeneteket állít elő egy adott rejtjelkészlet-sorrenddel, adott kiterjesztéslistával, adott JA3-kivonattal. Ha a „HTTPS” kapcsolat TLS-ujjlenyomata nem egyezik egyik fő böngészővel sem, akkor az egy jelmezt viselő VPN-kliens lehet.
Számláló: a modern homályosító eszközök bájtról bájtra utánozzák a főbb böngészők TLS-ujjlenyomatait (uTLS in Go, utls.js, hasonló más nyelveken). A macska-egér folytatása folytatódik.

Forgalmi alakelemzés

Még ha a tartalom titkosítva van, és az ujjlenyomatok megegyeznek egy valódi böngészővel, a VPN-munkamenet ritmusa jellegzetes. Mindig kétirányú, tartós átviteli sebesség, konzisztens csomagméretek – nem a tényleges webböngészés sorozatos lekérés-megjelenítés-szünet mintája. A gépi tanulási modellek meglepő pontossággal azonosítják a VPN-folyamokat pusztán az alakzatból.

Counter: áldatlan forgalmat vezet be az alakzat álcázásához (a Mullvad DAITA ezt teszi), vagy futtassa a VPN-protokollt valamin, aminek már szabálytalan alakja van (Snowflake WebRTC videohívás álcája).XePLZ343XXXe probing

Amikor a Great Firewall gyanús kapcsolatot lát, időnként tesztcsomagokat küld a célállomásnak, hogy megbizonyosodjon arról, hogy valóban VPN-kiszolgálóról van-e szó. Egy valódi HTTPS-szerver felismerhető TLS-kézfogással válaszol; a VPN-kiszolgáló úgy válaszolhat, hogy megadja magát. Ezután a teljes kapcsolat blokkolva van.

Counter: A VPN-kiszolgálók beállíthatók úgy, hogy a válaszadás előtt hitelesítést igényeljenek – az "idegenek" általános 404-es választ kapnak, vagy nem, csak a hitelesített ügyfelek kapják meg a VPN-kézfogást.

DNS-elfogás

Block DNS-tartományokhoz. A felhasználók még a VPN-klienst sem tudják letölteni, mert a vpnmasterpro.com (vagy bármely más) nem oldja meg.

Counter: használja az DNS-t HTTPS-en keresztül egy feloldott feloldó lekérdezéséhez. Telepítési adathordozó terjesztése olyan csatornákon keresztül, amelyeket a cenzor nem tud lehallgatni (Telegram, Tor, USB-meghajtók, nagykövetségi terjesztések).

Ahol agresszív a blokkolás

Kína – a világ legkifinomultabb DPI-telepítése. A szabványos VPN-protokollok az észlelést követő perceken belül blokkolva vannak. Csak a homályos protokollok (és néha még azok sem) működnek megbízhatóan.
Russia – A TSPU 2019 óta történő bevezetése átfogó DPI-t adott a legtöbb nagyobb internetszolgáltató számára. A Twitter/X-et 2021-ben leállították; sok VPN-szolgáltatót blokkoltak 2022-től kezdődően.
Iran — DPI 2008-tól, rendszeres VPN-blokkoló események, különösen tiltakozások idején. A 2022-es Mahsa Amini tiltakozások a VPN széles körű kiépítéséhez vezettek, mivel a kormány megszigorította a korlátozásokat.
UAE, Szaúd-Arábia, Omán, Katar – A VPN-ek a jóváhagyott tartalomszűrést megkerülő célokra korlátozódnak. A végrehajtás egyenetlen, de műszakilag alkalmas.
Észak-Korea – az ország belföldi Kwangmyong hálózata légrésben van a globális internettől. A VPN-megkerülés lényegében N/A.
India — A CERT-In 2022-es szabálya arra kényszerítette a VPN-szolgáltatókat, hogy vagy naplózzák a felhasználói tevékenységet, vagy kilépjenek. A legtöbb neves szolgáltató fizikai szervereket húzott be.
Törökország – 2023. december 16 VPN-szolgáltatót blokkolt, köztük az IPVanish, ExpressVPN, NordVPN, Tor.

Streaming-szolgáltatás blokkolását. A Netflix, a Hulu, a BBC iPlayer, a Disney+, az Amazon Prime stb. blokkolják a VPN IP-címeket a földrajzi licencek érvényesítése érdekében. Nem akarják megakadályozni, hogy általánosságban hozzáférjen az internethez – csupán attól, hogy „rossz” országból nézze meg a tartalmaikat.
Counter: dedikált, streaming-optimalizált szerverek, amelyek gyakran váltják az IP-címeket. Egyes VPN-ek (Windflix a Windscribe-tól, dedikált streaming szerverek a NordVPN/ExpressVPN/Surfshark-tól) kifejezetten üldözik a streaming fegyverkezési versenyt. A kisebb, adatvédelemre törekvő VPN-ek (Mullvad, Proton) nem kapcsolódnak be, így a streamelési megbízhatóságuk alacsonyabb.

Vállalati hálózat blokkolása

Sok vállalkozás és iskola blokkolja a VPN-forgalmat megfelelőségi és biztonsági okokból. A módszerek hasonlóak: portblokkolás, IP blokklisták, DPI. A motiváció eltérő (megfelelőség, tartalomszűrés, rosszindulatú programok észlelése), de a technikák közvetlenül leképeződnek.

Jogi állapot

A VPN használata a legtöbb országban legális. Az infrastruktúra jogszerű vállalati használatra már jóval azelőtt létezett, hogy a fogyasztói VPN-ek általánossá váltak volna.
A VPN-szolgáltatás üzemeltetése egyes országokban (Kína, Oroszország, Irán) szabályozott – a szolgáltatók vagy megfelelnek a helyi naplózási követelményeknek, vagy le vannak tiltva. egyes országokban korlátozott. Kína és Oroszország megköveteli a belföldön működő VPN-szolgáltatóktól, hogy regisztráljanak és működjenek együtt; nem regisztrált (azaz valódi) VPN használata technikailag illegális, de az egyes felhasználókkal szembeni végrehajtás egyenetlen.
A VPN használata bűncselekmény elkövetésére továbbra is mindenhol illegális; a VPN nem változtat ezen.

IHa olyan országban tartózkodik, amely blokkolja a VPN-eket

Válasszon egy szolgáltatót erre a célra kialakított homályosítással: ProtonVPN Stealth, NordVPN NordWhisper vagy speciális kísérleti eszközökkel, Mulline/cWhisper. (Shadowsocks) vagy AmneziaWG.
Szerezze be a telepítési adathordozót, mielőtt szüksége lenne rá: előfordulhat, hogy a szolgáltatók letöltési tartományai blokkolva vannak, ha már bent van.
XPLZ megőrzése a PLZ-ben, ha a VPN7,7 5 SnowflakeX-el visszamarad. A Tor csatlakoztatható transzportjai gyakran még mindig működnek.
Hibák várhatók: előfordulhat, hogy a tegnap működő kapcsolatok ma már nem; több szolgáltató és protokoll készen áll.

Győződjön meg arról, hogy az alagút működik, amikor csatlakozik a mi szivárgástesztünk.

Gyakran ismételt kérdések

Miért nem működik néha a VPN-em?: Több lehetőség. A VPN-kiszolgáló IP-címe felkerült egy tiltólistára (próbáljon másik szervert). A hálózat DPI-je lenyomta a protokollt, és blokkolja azt (próbálja ki az OpenVPN-TCP/443-at homályosítással, vagy egy dedikált obfuszkált protokollt, mint például a Proton Stealth vagy a NordWhisper). A célszolgáltatás (Netflix, az Ön bankja) hozzáadta a VPN IP-címét a tiltólistához (próbáljon másik kilépési pontot vagy egy dedikált streaming szervert).
Működni fog bármilyen VPN Kínában?: Kevesen dolgoznak megbízhatóan. A szabványos protokollokat perceken belül észleli és blokkolja a Great Firewall. A speciális obfuszkált protokollok (NordVPN NordWhisper, ProtonVPN Stealth, Shadowsocks v2ray beépülő modullal, AmneziaWG) időnként működnek. A fegyverkezési verseny hetente előre-hátra billen. Azoknak az utazóknak, akiknek kifejezetten Kínában megbízható VPN-re van szükségük, több szolgáltatót és konfigurációt kell előre telepíteniük.
Honnan tudja a Netflix, hogy VPN-t használok?: Elsősorban IP-alapú észlelés. A Netflix adatbázist tart fenn az ismert VPN-szolgáltatók IP-tartományairól, és visszautasítja az ezekről az IP-címekről érkező adatfolyamokat. Folyamatosan frissítik az adatbázist. Egyes VPN-szolgáltatók gyorsabban váltják a kilépési IP-címeket, mint a Netflix frissítései, de ez egy mozgó célpont. A lakossági IP-címek (amelyeket a valódi fogyasztói internetszolgáltatókból faragtak) megkerülik ezt, de működésük költségesebb.
Illegális a VPN használata a korlátozó országokban?: A technikai válasz többnyire igen, a gyakorlati válasz az, hogy ritka az egyéni felhasználók elleni jogérvényesítés. Kína megköveteli a VPN-szolgáltatóktól, hogy regisztráljanak a kormánynál; A nem regisztrált VPN-ek technikailag illegálisak, de kínai állampolgárok tízmilliói használják őket. Oroszország helyzete hasonló. Az Egyesült Arab Emírségek időnként megbírságoltak egyes felhasználókat. A tényleges személyes kockázat az Ön láthatóságától függ – a csendes személyes használatot ritkán célozzák meg; aktivizmus vagy üzlet, amely felhívja a figyelmet.
Meg tudja mondani egy VPN-szolgáltató, hogy mikor vagyok blokkolva?: Általában igen – a kapcsolati hibák, a szabályozás vagy a DPI-ujjlenyomat egyezések megjelennek a telemetriájukban. A cenzúra megkerülését komolyan vevő szolgáltatók (Proton, NordVPN, Mullvad) aktívan nyomon követik, mely hálózatok/régiók blokkolják kapcsolataikat, és válaszul új protokollokat vagy szerverkonfigurációkat vezetnek be. A gyengébb megkerülési költségkerettel rendelkező szolgáltatók ezt nem követik olyan szorosan.