17 posts were split to a new topic: Обсуждение: Блокировка протоколов для хостеров на части операторов

До дата-центра FRA-01 , Франкфурт-на-Майне, Германия тоже есть проблемы с WireGuard

Подтверждаю, проблемы с wireguard с доступом до hel1-dc2 (Hetzner, Хельсинки).

Блокируют, по-видимому, все популярные стандартизированные (корпоративные) VPN-протоколы на части провайдеров и в особенности мобильных операторов, возможно, по географической принадлежности AS: если диапазон закреплён не за Россией, то соединение подвергается фильтрации. VPN из-за рубежа внутрь России продолжает работать. Для тестов установил свежую VPS у Ramnode, но проверял не только на ней.

Для всех VPN-протоколов, кроме L2TP, сначала выполняется обнаружение протокола, затем «проверка» протокола (проверка ответа или мониторинг нескольких пакетов в TCP/UDP-сессии), затем происходит разрыв сессии (TCP) или блокировка прохождения трафика по связке srcip-srcport-dstip-dstport (UDP).

Мобильный Теле2 Санкт-Петербург:

• L2TP (UDP 1701, без IPsec): пакеты L2TP Control Message (самые первые пакеты сессии) не доходят до сервера на порт 1701
• IPsec (UDP 500/4500): блокируется прохождение UDP-пакетов после нескольких переданных пакетов во время установления сессии
• PPTP (TCP 1723): разрывается TCP-соединение после отправки сервером ответа Start-Control-Connection-Reply на первый пакет в сессии Start-Control-Connection-Request, до установки GRE-туннеля не доходит
• OpenVPN UDP: блокируется прохождение UDP-пакетов после нескольких переданных пакетов DATA после установки сессии
• OpenVPN TCP: разрывается TCP-соединение после нескольких переданных пакетов DATA после установки сессии
• WireGuard: блокируется прохождение UDP-пакетов после 5 принятых пакетов данных (Transport Data) с сервера

Проводной МТС Кузбасс:

• Блокируется только OpenVPN UDP/TCP, L2TP, WireGuard, но не PPTP и IPsec
• L2TP, в отличие от Теле2, доставляет пакеты на сервер, но ответы сервера блокируются
• WireGuard: блокируется прохождение UDP-пакетов после первого пакета данных (Transport Data) с сервера

Блокировки отличаются от тех, какие применяют для коммерческих VPN-сервисов (вроде ProtonVPN, Windscribe): их фильтруют с самого первого пакета, не позволяя сессии установиться.

Также возможно, на мобильном Ростелекоме правила блокировки иные. Напишите ЛС, кто сможет предоставить канал через компьютер.

08.08.2023-vpn-censorship-test-russia.zip (33.2 KB)

Обойти блокировку сравнительно просто, достаточно нарушить начальное определение протокола, пример для WireGuard: 1, 2.

Без каких-либо официальных заявлений провайдеры блокируют весь проходящий через OpenVPN и WireGuard трафик. Пользователи в РФ в течении всего дня сообщают о разрывах соединений у МТС, Мегафона, Билайна, Таттелекома и Дом.ру. У кого-то пока еще работает SSH.
OpenVPN подключает, но блокируется первым P_DATA пакетом, после успешного хэндшейка. WireGuard блокируется для исходящего запроса (message_type = 1).

Правильно ли понимаю, что блокируются только исходящие из РФ соединения? То есть переворотом соединения (сервер Европа → сервер в РФ) можно пока обойти проблему?

Да, верно.

Мобильный Теле2 Санкт-Петербург:

блокируется wireguard в финку, внутри RU не блокируется
обходится nfqws --dpi-desync=fake --dpi-desync-cutoff=d2 --dpi-desync-any-protocol
блокировка идет после нескольких пакетов (первый пинг проходит)

openvpn по udp на тот же финский сервак блокируется после нескольких пингов.
обходится nfqws --dpi-desync=fake --dpi-desync-cutoff=d2 --dpi-desync-any-protocol --dpi-desync-repeats=10 (минимум 6)

IKEv2 с windows 7 на strongswan на том же финском серваке работает без обхода. Используется udp инкапсуляция

Мегафон Татарстан - блокирует OpenVPN и WG до собственного сервера на Scaleway полностью, даже первый пакет не доходит. Порт нестандартный.

Есть идеи на что сигнатура первого пакета завязана и что можно подкрутить в OpenVPN чтобы её не триггерило?

UPD: просто udp пакеты на тот же сервер и порт не режутся, так что это не полный бан udp за рубеж (иначе много чего сломают, те же DNS, игры и телефонию)

Ростелеком Центр (не мобильный). Работает OpenVPN по TCP. Локация серверов NL, IT.
Еле 2 Центр мобильный. WG локация сервера SW - работает.

WG и openVPN на Hetzner в чистом виде из нескольких городов России по мобильному интернету от разных операторов не достучаться, блокируется. По проводу, пока ок.

За ночь поднял xray. По VLESS подключается и даже летает хорошо. Стабильнее WG пока оказалось, смотрю дальше.

• есть клиенты под разные платформы и довольно легко поднимается, настраивается на клиентах

• как понимаю, все могут подключаться по одному QR и отследить пользователей не очень получится, кто законнектился. Может не дочитал документацию до конца

Сняли блокировки, похоже.

На OVH/Scaleway осталось?

Хм, действительно. Спасибо за наводку.
WireGuard в сторону OVH/Scaleway не доходит, OpenVPN также блокируется после нескольких первых пакетов с данными. Остальные площадки, вроде бы, разблокировали.

wg/openvpn на oracle sweden все еще не работает (я тут походу один им пользуюсь, и проблем с ним больше всего…)

Мтс мобильный и домашний, Москва.
Юзаю outline на арендованной виртуалке в Нидерландах, все отлично

VPS с wireguard, наблюдалась выборочность блокировки пользователя, конкретный случай:
Я со своим товарищем, один и тот же свой vpn, оба с android(12 и 9 у него), в обоих случаях 4g билайн, но: у меня работает, у него нет(Send handshake в логах). При подключении к проводной сети через wifi, у него всё начинало работать. Он активно пользуется wg(каждый день, медиа), я нечасто(просто web, 1-3 раза в неделю). Создаётся впечатление чего-то наподобие галочки “vpn-пользователь” у оператора, либо связки пользователь – сервис.

Нашел подтверждение фильтрации по информации в AS, а не диапазоне.
Сеть 185.255.134.0/24 помечена как российская (и действительно находится в России):

inetnum:        185.255.134.0 - 185.255.134.255
org:            ORG-FA790-RIPE
netname:        FirstByte
country:        RU

А AS как британская:

organisation:   ORG-FSL27-RIPE
org-name:       FIRST SERVER LIMITED
country:        GB

VPN в этом диапазоне блокировался, несмотря на трафик россия-россия.

Ростелеком домашний нужен еще?

Добавлю пять копеек про свою виртуалку на Scaleway и доступ с Yota, СПб:

• Wireguard блокируется до сих пор
• но иногда работает, например, 11 августа в какой-то момент работал, 12-го – не работает
• в момент, когда не работает Wireguard – работает IPsec IKEv2 развёрнутый через Algo

На Таттелеком проводном похоже сломали исходящий ssh. До сервера в Kimsufi/OVH не подключиться. Нестандартный порт пробовал - без разницы. Через их же мобильный 4G Летай пока ходит. Заметил 12 августа, пока так же.
О, почта на 993 порт тоже отвалилась. Похоже, хостинг Kimsufi/OVH заблочен.

Блокировки VPN-протоколов опять активизировались. МТС Кузбасс (провод), глобальные блокировки OpenVPN UDP (но только UDP) начались примерно 4 часа назад.

Трясет судя по всему не только на Кузбассе, заметил что мой сервер с WireGuard перестал резолвить с 6 утра, сам сервер доступен без каких либо проблем. МТС / Билайн Краснодарский край /Республика Адыгея.
Могу ли я как-то проверить что действительно давится протокол WireGuard, а не какие-то другому проблемы?

Проводной оператор ПчеЛайн, Уральский регион, глушится связь по wireguard.
серверы из Германии совершенно не доступны, и даже не пинингуются.

YOTA Москва давится WireGuard и OpenVPN (UDP и TCP), на сервер ходит.
Кабель старлинк Москва полет нормальный.

Теле2 Воронеж давит Wireguard

Подтверждаю, МТС кубань (мобильный) давит wg

Пиздец

Теле2 Свердловская область. wireguard блочат. vless робит

Мобильные МТС, Билайн, Ростелеком(Теле2), wireguard инит-хендшейк есть, данные не идут. Вологодская область

Мобильные операторы. Частично блокирован IPsec ikev2. У кого-то работает, у кого-то нет. Москва

Вышли на режим позапрошлой недели

Калининград. ДЦ Франкфурт, Firstbyte
IKEv2 проходит первый пакет аутентификации и уходит в бесконечную переотправку
L2TP/IPSec обрыв на первой фазе с мобильных. С домашнего роутер цепляется нормально
Операторы: домашний и мобильный билайн, теле2, мегафон. От остальных пока нет вестей
SSTP и VLESS живет

Владимирская область, МТС, Билайн (мобильные), ipsec/ikev2 - ой всё (

МТС Кубань, Разные устройства в пределах одного района
Телефон подключается по Wireguard - работает., OpenVPN соединяется, проходит первые несколько пакетов и коннект умирает, при этом симкарта вставленная в роутер в другом конце района спокойно держит соединение к тому же серверу OVPN.
С проводного РТК проблем нет, ovpn и wg успешно работают

Outline работает, по другим регионам пока сообщений нет

А кто-нибудь использует корпоративные симки?
Как на таких тарифах обстоят дела?

У меня корпоративная билайн. Заблокировано.

Билайн корпоративный

Провода пошли
Красноярск, Ростелеком: OpenVPN (28 data pkts), WG (4 data pkts)
Казань, Таттелеком: OpenVPN (14 data pkts), WG (2 data pkts)

На моём канале фильтр срабатывает на Wireguard Handshake, а непосредственно следующие пакеты не анализируются — считается только их количество. Можно отправить Handshake и несколько пакетов с мусором — сессия также заблокируется.

Это логично, IKEv2 тоже ловят по 1 нужному пакету, а потом просто счетчик.
Значит для WG все цифры выше в попугаях, но они разные.

На моих каналах блокировки отключили, в т.ч. в сторону OVH/Scaleway.

МТС Кубань (мобильный) заработало

Теле2 Свердловская обл. тоже разблочили

Москва, сотовый Билайн, включили обратно WG, L2TP, IKEv2, PPTP. OpenVPN не проверял

Вчера вечером около 6-7 часов отпустило

Ёту СПб не отпустило IPSEC/IKEv2

Похоже, спецы из китая уже обжились и плотно консультируют наших

ии снова Теле2 Свердловская обл. wireguard блочат.

Подтверждаю, МТС Кузбасс, блокируется OpenVPN.

ikev2, Москва - блок на всех мобильных операторах

Питер МТС, Мегафон не работает openvpn, wireguard часть серверов, началось с утра

И снова Краснодар / Адыгея МТС wireguard с утра

Wireguard с утра тоже, теле2 ~Армавир, краснодарский край

Такое чувство что v2ray тоже попал под раздачу

На Урале полная блокировка OpenVPN протокола (TCP, UDP) как внутри РФ, так и вне РФ.
Невозможно подключиться по TCP, UDP с мобильных операторов к домашнему OpenVPN внутри одного города. Проверено на мобильном Мегафон, МТС.

Также невозможно подключиться к OpenVPN в Европе (TCP, UDP). Если раньше блочили только OVH, сейчас же блокируются все OpenVPN подключения, независимо от хостинга VPN.

Началось примерно с 10.00 по МСК.
Если после множества попыток подключения, соединение с VPN установилось. То оно работает.

SS пока работает.

Москва, мобильный интернет Билайн - обрубает соединение OpenVPN. МТС вроде работает.

Ростелеком Центр, провод.
Сдохли все соединения по OpenVPN, в разных локациях Европы.
Не работает так же локальный прокси.pac от антизапрета, хотя он сам скачивается.
Если вставить https://antizapret.prostovpn.org:8443/proxy.pac в настройки лисы, то же никуда не подключается.
Замуровали, демоны!

Челябинская область. Нет подключения к домашнему wireguard серверу через мобильных операторов. Через проводной интернет работает.

Похоже задело входящие OpenVPN, поэтому исходящие белые списки не помогают для РФ-РФ. Гениально.

Татарстан, МТС. Блокировка openvpn и wg до серверов в европе (до серверов в рф работает). Чистый shadowsocks без плагинов не блокируется. Прводной провайдер Эртелеком (Дом.ру) ничего не блокирует.

не подтверждаю, wg в рт на мобильном мтс работает.

Удалено

OpenVPN, локация сервера - NL
часть лога.
NL.log.7z (534 байта)

телега и мегафон спб все еще помогает.
говорят это рубанули только к некоторым публичным впн. со своим впс работает

Екатеринбург, все проводные кроме Мегафона, подключение к серверам в этом же городе.

У меня работает на yota, но скорость режется люто просто

Удалено

Краснодар Билайн мобильный присел на Wireguarg, IKEv2, L2TP. OpenVPN соединяется, но рвёт сессию через несколько секунд.

Архангельск, Ростелеком. На мобильной сети второй день работают ограничения OpenVPN.

урал, домашний билайн и дом.ру openvpn не работает

Начали и проводные(((

WG + билайн мобильный интернет и OpenVPN (TCP/UDP) + T2 мобильный интернет в Томской области в блокировке

Тюменская область не работает OPENVPN на теле2, МТС

Билайн (проводной интернет) не работал OPENVPN с утра до 12-00. Сейчас заработал сам…

Удалено

Как минимум на одном провайдере вижу фильтр только ответов WireGuard, словно ТСПУ анализирует только входящий к клиенту трафик (даже сессия блокируется только в одну сторону, трафик от клиента к серверу продолжает доходить, но клиент не получает ответов), поэтому со стороны клиента обходы на таких провайдерах не помогают, нужно делать подобное еще и на стороне сервера.

A post was merged into an existing topic: Обсуждение: Блокировка VPN-протоколов на ТСПУ (05.08.2023 - xx.xx.2023)

У меня пока ничего не блокируется, проверить не могу, поэтому спрошу для интереса - если обернуть OpenVPN в какой-нибудь Cloak с перенаправлением на сайт-заглушку, поможет ли?

Да. У меня заблокирован openvpn и wg на мобильном мтс. При этом shadowsocks не блокируется. Openvpn завернутый в cloak работает и shadowsocks через cloak разумеется тоже. Хотелось бы иметь инструмент для обфускации wg, но я таких не знаю.

Благодарю за информацию.

Вот неплохие инструменты для обфускации WireGuard:

СПБ. Tinkoff Mobile и MTS блокируют openVPN и WG. У openVPN стабильно проходят 4-5 icmp пакетов с момента подключения, затем канал перестает работать. WG просто не подключается. nping перед подключением WG не помогает, хотя сам UDP пакет на сервер долетает.

Пробовал протокол Trojan. Клиент в режиме tunnel. Серверная часть 3x-ui. Пока работает.

Но остановился пока на полумере - sshuttle. Гоняю openVPN TCP через SSH. Также завернул весь трафик через SSH. Только для личного пользования удобен. Не умеет UDP, скорость маленькая, но для работы норм.

Екатеринбург, проводной билайн, WireGuard и OpenVPN заработали.
Если что, есть возможность тестировать:

• Проводной интернет МТС, билайн, Инсис, Интера (вроде Дом.ру их купил);
• Мобильный интернет билайн и Мегафон.

Краснодар мобильный Билайн перестал блокировать.

Архангельск. Ростелеком и билайн на мобильной сети отключили блок OpenVPN. wireguard и ikev2 очень давно блокнуты.

Вчера утром перестал работать антизапрет на vps в Нидерландах и wireguard , Москва мегафон . Перевозил vps, настраивал заново антизапрет на своем сервере , соединение есть , но блок. сайты не открывает .Работает только shadowsocks и как ни странно бесплатный(общий)антизапрет.

2 posts were merged into an existing topic: Обсуждение: Блокировка VPN-протоколов на ТСПУ (05.08.2023 - xx.xx.2023)

Мобильный МТС в РТ перестал блокировать. Очередной эксперимент завершен похоже.

также и Yota (Мегафон) в Москве, блокировку openvpn сняли, в пятницу еще была

Перестал работать openvpn, wireguard провайдер Мотив город Екатеринбург

Tele2 Новосибирск, блочит openvpn, протоколы TCP/UDP

Моск. область, билайн, wireguard отвалился Ru-NotRu

Архангельск. Ростелеком на мобильной сети включили блокировки OpenVPN и wireguard.

Москва. Билайн мобильный. OpenVPN подключается, но через пару секунд пакеты перестают ходить.
Москва. Билайн проводной. Ситуация аналогичная.

Vless и Vmess пока работают.

Коннект до OVH, по ощущениям, стал хуже.

Удалено

Мегафон. РФ-РФ wireguard работает.
РФ-НЕ_РФ не работает.

Коннект в сторону ЕС (Франция OVH, Швеция, Германия)

Краснодар, мобильный Билайн снова отключил международный Wireguard, IKEv2, L2TP и рвёт OpenVPN соединение. Внутри России могу проверить только L2TP - работает стабильно.

МТС и Мегафон Кубань, заглохли OpenVPN и Wireguard. SSTP и Anyconnect работают. Проводной Ростелеком работает всё

Ростовская область. IPSec РФ - Нидерланды не работает с утра на МТС, Билайн. На ДомРу запускается без проблем.

Опять на Урале начали блокировать VPN (TCP, UDP) РФ-РФ.
Началось примерно 1.09.2023 00:00 по МСК. Проверено на мобильных Мегафон и МТС.
Невозможно подключиться с мобильного интернета к домашнему VPN в одном городе.

Днем 31.08 блокировали только международный VPN, РФ-РФ работало.

Завернутый VPN в SS пока работает.

Wireguard РФ - Швеция, блокировка после полуночи. Проверял с МТС и Yota СПБ. Сервер ASN Россия, подсеть Швеция (до сегодняшнего дня под блокировки не попадал). Работает метод с nping

Удалено

Челябинская область, Троицк. С клиента на билайне цикличный разрыв подключения l2tp с ipsec и openvpn

А может тспу залазить внутрь туннеля и слать fin внутрь тсп сессии?

Привет. Как так может быть? 3 клиента на сервере (vdsina Нидерланды),

1. Мегафон (Android) - не работает (подключение и сразу connect reset by peer)
2. Мегафон (iPhone) - работает
3. Мегафон (Android) - работает.

Как такое может быть, не могу понять?

Петербург мтс не работает впн wireguard openvpn внутри рф и наружу тоже. Мегафон Петербург работает все, очень странно!

Блокирует не провайдер, а ТСПУ. Их может быть несколько, а блокировать будет один. Возможно попали на переходный процесс, когда блокировки откатили, но где-то зависло. Попытаться сменить можно через изменение режима сети 3G/4G, включение авиарежима на 3-4 секунды, перезагрузку.

Спасибо, вы были правы. Действительно не откатилось, авиарежим помог.

9 posts were merged into an existing topic: Обсуждение: Блокировка VPN-протоколов на ТСПУ (05.08.2023 - xx.xx.2023)

Поволжье, Пенза, Wireguard внутри РФ не работает у Yota. Мегафон, Ростелеком - работают.

Удалено

Краснодар, мобильный Билайн, доступны международные IKEv2, L2TP, OpenVPN без разрывов. Wireguard стал доступен чуть позже.

в самарской обл
рф-рф мегафон/билайн не работало ипсек/вг/овпн с 00, до 14
рф-нерф мегафон/билайн так же
сстп работал
икев2 мегафон-мегафон работали
мтс мобильный работал ок

проводные итернеты ок

Архангельск, проводной Ростелеком + мобильные Мегафон/Билайн.
VPN юзаю много разных, и внутри РФ и вне.
Как ни странно пока не сталкивался с блокировками VPN лично.

Может чтобы попадать на блокировки надо DNS провайдера пользовать?
Я то их сразу отрубаю в пользу гугловых.

Удалено

Моск. область, билайн, доступ wireguard Ru-NotRu восстановился.

Архангельск. Ростелеком блокируют подключение OpenVPN UDP и на мобильных и на проводных сетях.
OpenVPN TCP не блокируется.
wireguard некоторые ip блокнуты, некоторые нет.

Томская область, Ростелеком блокируют подключение OpenVPN UDP и на мобильных и на проводных сетях. OpenVPN TCP на 443 порту не замаскированный в HTTPS не блокируется

Блокировка Wireguard соединений в офис (корпоративный)

Проблемные провайдеры
— Ростелеком (подключения нет совсем)
— Дом.ру (нет подключения у части пользователей, у части есть)
— Билайн (подключения через раз)

Зачем блокировать WG внутри страны?
Окей, объяснимы (но не простительны) блокировки зарубежных VPN сервисов
Но корпоративные сети же также используют OVPN и WG протоколы

9 posts were merged into an existing topic: Обсуждение: Блокировка VPN-протоколов на ТСПУ (05.08.2023 - xx.xx.2023)

Краснодар, Билайн мобильный. Блокируются международные Wireguard на разных портах, IKEv2, L2TP. OpenVPN соединяется, но трафика нет. Установленные до блокировки соединения L2TP не рвутся. Российский L2TP не блокируется.

Архангельск. Ростелеком на мобильной сети блокируют подключение OpenVPN и TCP и UDP.
wireguard так же блокнут.

г. Екатеринбург, проводной билайн, минут на 50-60 переставало работать подключение Wireguard до зарубежных серверов, до российских работало.

Москва, тоже самое, коннекты на зарубежный сервер не работали Wireguard пару часов.
Мобильный Tele2

Московский мобильный МТС. Западный OVPN TCP и UDP и российский (домашний) WG не работают.

Билайн, Ульяновск. Surfshark коннектит через OpenVPN, но при заходе на любой сайт — ERR_NAME_NOT_RESOLVED

SurfShark платный, пользуюсь через OVPN, Windows и iOS. Второй день работают только TCP соединения, UDP включается, но ничего не коннектит. Москва. Ростелеком дома, МТС мобильный

Билайн мобильный, Краснодар. Перестали блокировать на всех протоколах.

Архангельск. Ростелеком на мобильных и проводных блочит OpenVPN UDP. Подключение устанавливается, но далее всё блокируется.
OpenVPN TCP не блокируется.
wireguard масово не блокируется, но некоторые ip блокнуты.

Балаково, Саратовская область. Со вчерашнего дня проводной Ростелеком начал вечером всильную блокировать AdGuard VPN. Около до 9-10 вечера по местному времени (8-9 вечера по МСК) всё работало нормально, но сейчас браузерное расширение перестало определять, какие сервера доступны, и с каким пингом. Мобильный клиент определяет, но никак не соединяет с ними, как и в браузерной Firefox версии.
О последствиях на мобильной сети Tele2 и проводном Билайн сообщу позднее.

adguard vpn к сожалению не показатель
у них и до этого у меня (РТ/РФ) постоянно стало подвисать соединение. пишет “подключен” но ничего через внп не работает. подключаешься к новому серверу и на какое то время появляются соединения к интернету

У меня до этого получалось подключаться к этому VPN и соединяться до тех сайтов, где без VPN ничего не хотелось грузить (у них на сайтах стоит блокировка на российские IP-адреса), и он мне служил верой и правдой до нормальной замены, который исправно должен работать с моими провайдерами (даже с включёнными GoodbyeDPI как компьютере и DPI Tunnel на телефоне).

В Питере у билайн перестал подключатся к WG но зависит от района.

5 posts were merged into an existing topic: Обсуждение: Блокировка VPN-протоколов на ТСПУ (05.08.2023 - xx.xx.2023)

МО, провайдер Ловит (ПИКовский который). Со вчерашнего вечера OPEN VPN чистый помер.

Пермь, ссаный проводной билайн с 7 сентября начал блокириовать вообще все. Проверил на двух VPN, на NordVPN и SurfsharkVPN. Протоколы Wireguard, OpenVPN UDP, TCP. До этого тоже были блокировки, но все же многие сервера работали через сами программы. Пришлось запустить клиента OpenVPN GUI и через него юзать конфиги, но и они не все работают и не всегда.
Если так пойдет и VPN вообще не будет работать, придется этим уродам терять клиентов или же брать у них самый дешманский тариф, чтобы только почту юзать. Никак не успокоятся, все хотят запретить! Зло уже зашкаливает.

Разве сейчас есть такие? У нас все проводные предлагают минимум сотку, за большие деньги. Времена 25, 50, 75 мбит/с ушли в прошлое. Сейчас низкие скорости по небольшой цене можно взять разве что у Йота при использовании 4G роутера для дома, как ни странно. Правда и 100 ГБ в месяц теперь.

Так это уже неплохо.

Архангельск. Ростелеком на мобильных сетях весь день блочат OpenVPN и UDP и TCP. UDP соединение устанавливается, но далее блок. TCP бесконечное переподключение.
wireguard полностью блокнут.

Ростелеком сегодня на проводных начали блочить OpenVPN UDP. Соединение устанавливается, но далее блок. OpenVPN TCP соединение устанавливается и не разрывается, но скорость меньше значительно или зависит от сервера.
wireguard некоторые сервера работают.

Решили повторить подвиг замедления имени твиттера? Жаль OpenVPN-TCP не популярен в корпоративных сетях.

Челябинск. Проводной Билайн бизнес и Йота 4G. Блочат Openvpn UDP в сторону иностранных диапазонов. Handshake проходит, дальше 3 пакета с данными, потом обрыв, через некоторое время процесс повторяется. В прошлы раз такое было 25ого августа, в этот раз тоже под викенд. Сценарий такой же - те туннели, которые переподключаются ночью, больше не могут подключится; те, которые стоят без переподключений - продолжают работать.
Что интересно, похоже, что DPI распознает именно handshake openvpn-а и дальнейший трафик определяет по этому признаку. Потому что все работает, пока не переподключишься, т.е. payload отдельно он не распознает.
Техподдержка Билайна ничего не отвечала в прошлый раз, позже ночью заработало и одновременно у Йоты и Билайна. Они прислали какое-то мутное письмо о том, что типа была авария и просят подтвердить, что теперь все заработало. На мои расспросы о деталях аварии мне ответили что она очень крупная и очень далеко…
Мои предположения таковы, что после этих августовских тестов, когда дума выйдет из спячки осенью, они задвинут какой-то большой закон или серию актов о полном запрете впнов и добавят какой-нибудь ыцых с гвоздями за обходы. Тем, кому нужен иностранный впн попроят “обратится в собес”.

Йота, Сибирь. Сегодня проверил, Wireguard не работает. OpenVPN UDP коннектится, но трафик нет идет. OpenVPN TCP не коннектится.

Билайн, Ульяновск. Surfshark заработал через OpenVPN, нужно было поменять протокол с udp на tcp и порт с 1194 на 1443.

У вас OpenVPN-TCP не блокируют, порты для общей блокировки не важны. Но возможно режут скорость?

Блокировка сервиса происходит независимо, там могут учитывать порты.

Выборы окончены, значит VPN можно больше не блокировать. Мегафон и Пчёлайн снова пускают до OpenVPN, правда только по TCP, WireGuard тоже ожил.

Люди добрые дайте совет, что использовать в компании для внутреннего VPN между офисами. Сейчас WireGuard. или можно не “ссать” и думать что местный vpn трафик резать не будут?

3 posts were merged into an existing topic: Обсуждение: Блокировка VPN-протоколов на ТСПУ (05.08.2023 - xx.xx.2023)

А есть понимание, на каком сетевом уровне пакеты разбираются?
И список протоколов белый или чёрный?

Я не сетевик, но. Если, скажем “испортить” (опустим, как) Ethernet-пакет, т.е. в нём будет шум - то пропустит или заблокирует? А если на уровнях выше? Wireguard, вроде, layer 3. А если его пакеты “испортить”?

Т.е., условно, на каком-то уровне завести “свой” протокол. Но не HTTPS/etc., а именно несуществующий.

Спасибо.

6 posts were merged into an existing topic: Обсуждение: Блокировка VPN-протоколов на ТСПУ (05.08.2023 - xx.xx.2023)

Разбирают на транспортном. Но блокировать могут на сетевом.

Лучше не думать, а иметь запасной вариант.
Писали уже тут не однократно, самый простой вариант завернуть wg во что нибудь, например udp2raw, dtls. Можно поднять yggdrasil, а внутри него сделать тоннель ipip6

Незнаю что ты подразумеваешь под “испортить”, но если ты попытаешься отправить Ethernet кадр (Ethernet пакетов не бывает), то этот кадр дропнется на первом же хопе, который в 99% будет твоим домашним роутером. Либо вообще может не пройти даже через коммутатор.

Напоминаю, что также имеется топик Обсуждение: Блокировка VPN-протоколов на ТСПУ (05.08.2023 - xx.xx.2023). Но даже там есть заявленная тема, которой лучше придерживаться.

Архангельск. Ростелеком на мобильных сетях блокируют OpenVPN UDP и TCP и wireguard полностью. Как и ранее UDP соединение устанавливается, но далее блок. TCP бесконечное переподключение. wireguard рукопожатие отправляет, но не получает.
Текущее успешно установленное соединение не разрывает пока что.
Пока использую “костыль”: сначала запускаю shadowsocks соединение, а после запускаю wireguard.

Ростелеком на проводных сетях блокируют OpenVPN UDP. Ситуация аналогична как на мобильных. OpenVPN TCP соединение устанавливается и не блокируется, но скорость мала. Вероятнее всего зависит от сервера.
wireguard лишь некоторые серверы работают как и ранее.
Пора покупать VPS и настраивать серв shadowsocks.

XOR-нуть часть кадра, где инкапсулированы данные (высших уровней). Заголовок изменить соответствующим образом, там же хеш-сумма какая-то?

Ну то есть ты предлагаешь зашифровать pay load? И чем это отличается от того же vpn или ss?

A post was merged into an existing topic: Обсуждение: Блокировка VPN-протоколов на ТСПУ (05.08.2023 - xx.xx.2023)

Да.

Так вот я и спрашиваю - список белый или чёрный? Если список белый, то ничем. Если список чёрный, то тем, что для оператора это будет неизвестный “протокол”, которого нет в его чёрном списке.

А глобально отличается чем, что я понять хочу

Тащ майор не докладывает нам конфиги black box’ов.

Ну так это уже все давно придумано, SS с плагинами, и еще тонна других хитрых протоколов которые мало того что не банятся по сигнатуре, так еще и могут маскироваться под валидный https трафик.

Вот для этого нужно подучить “матчасть” как не банально это звучало бы.
Почитай Таненбаума для начала, 6-е издание на текущий момент есть на русском

Вот это я и хочу понять. Нужно ли, на данный момент, тонна всех этих разных видов маскировки, или достаточно подсунуть что-то неизвестное.

То есть, понять хочу, что/как блокируют. А что касается матчасти. Ну извините, да, действительно, пакет и кадр - это принципиально разные вещи. Что касается payload, то, как раз, решил не использовать термин, чтобы снова не ошибиться.

Спасибо!

Попробуйте что-нибудь непопулярное. Например, tox vpn (linux only).

Да, кстати, скорость где-то 30-50% от максимальной стала, раньше была выше…

Йота, Сибирь. OpenVPN TCP и UDP работают.

Приветствую присутствующих.

Возможно я ошибаюсь, но вроде бы где-то в этой ветке я видел разъяснения куда следует обращаться для добавления/регистрации адресов корпоративного VPN в исключения блокировки VPN-протоколов.
Или может быть кто-то знает и подскажет.

Извиняюсь, если вопрос не по теме ветки.

Билайн, Ульяновск, openvpn tcp (proton / surfshark), скорость режут жёстко. Сразу после подключения — 50мбит\с, через минуту уже 2-3мбит\с.

Это?

Челябинск. Кабельный Билайн и Йота, чистый OpenVPN UDP - работает.

Спасибо! Оно

Не похоже на резку блокировщиком. Возможно сам провайдер шейпит для долгоиграющих TCP сессий.

Архангельск. Ростелеком / Теле2: OpenVPN UDP. Сессия устанавливается, но трафик не проходит сквозь, спустя минуту сессия слетает, реконнект успешный, но аналогично трафик не проходит
Архангельск. Билайн: Всё ОК

Москва, SurfShark платный, пользуюсь через OVPN, Windows и iOS
Ростелеком проводной, МТС мобильный - TCP сразу обрывает при любом подключении, UDP включается, но ничего не коннектит.

Сочи. Проводной билайн. ТСP рвёт сессии. UDP до таймаута, переподключается клиент.
Мегафон мобильный аналогичное поведение. openvpn внутри страны! Черти что творят.

Москва, мобильный Tele2. Впервые зацепило мой WireGuard до домашнего сервера (также Москва).

Причем пока ехал домой иногда работал туннель. От сот что ли зависит.

domru тула UPD И ТСP в openvpn перестали работать, днем работали вечером накрылись (впс сервер использовал для впн)

ДОМ РУ СПБ:

PIA сейчас работает только в режиме Shadowsocks-OpenVPN(TCP)

(до этого не работал весь Wireguard (всмысле PIA-серверы), и OpenVPN на порту по умолчанию, и швейцарские серверы, сегодня отвалился весь OpenVPN (TCP/UDP на любых портах любые серверы).

Никто не подскажет, а можно ли как то остаться на SurfShark через OVPN при текущих блокировках ТСP и UDP? Я чайник если что, просто может какую еще прогу поставить, что бы все работало, а то год у Сёрфа оплачен и качество связи полностью устраивает с их серверами

goodbyedpi (windows) с обходом блока ovpn где-то тут на форуме обсуждали.

Похоже что пока грязные игры свои прекратили. tcp udp работает.

Переключились похоже на другие регионы, с утра OpenVPN не работает, северо-запад

Москва. TCP/UDP через OVPN работает

у кого-нибудь сейчас блочится чистый shadowsocks?

Нет. Прецедентов я даже не видел. Наверное криво настроил что-то)

Можно попасть под чужую блокировку (адрес, подсеть, AS) и принять за блокировку протокола. Зависит от правила и ТСПУ. Например могут блокировать не любой пакет, а только сегмент с данными.

Более вероятен поиск сервера, чем определение протокола. Общие рекомендации как уберечься.

Владивосток. Мобильный Билайн. С сегодняшнего дня блокируется Openvpn на Нидерландский и российский ip. TCP\UDP, разные порты.

Краснодар, Билайн мобильный. Блокируются международные Wireguard, OpenVPN, L2TP. Открытый до блокировки Wireguard не рвали. Российский L2TP не блокируется.

У меня не подключалось на Билайн Мск. Все разом и SS / VLESS / VMESS… Но увы проблема оказалась в блоке VPS от Inferno Solutions((( Жаль конечно. Переехал в другое место и все ожило.

Заработало. Похоже тренируются.

Ростелеком, Саратовская область, проводной. С 14 сентября начали блокировать v2ray на моём арендованном VPS, там он всё ещё работает, как сказали мне там в поддержке.
Полагаю, что они (РТК) начали заниматься после устранения проблем с моими камерами видеонаблюдения (13-14 сентября).

Уфанет/йота, Башкортостан, проблем с SS through Cloak не наблюдаю.

Краснодар, мобильный Билайн перестал блокировать.

Только что заметил проблему и на проводном Билайне, та же самая участь: блокировка v2ray.
Полагаю, что больше подводит сам сервер, на котором был развёрнут этот VPN.

V2ray он блин настолько разный у каждого в конфигурации, а в вашем посте никаких подсказок какой у вас конфиг, да и вообще непонятно ничего. Проанализируйте ситуацию полностью и напишите пост только после этого

А что именно “проанализировать”? Вы это поясните, мне непонятно.
Как мне сказали в поддержке хостинга, тот виртуальный сервер всё ещё работает, как ни в чём не бывало.
Я проделал все операции, отключал DPI Tunnel, использовал запасные устройства, в которых не имеются root-прав. Но даже в таком случае, никакие страницы не грузят со включённым v2ray.

То что ваш виртуальный компьютер работает не говорит ничего о запущенном на нем софте. Никто еще не жаловался на блокировку v2ray. Ищите проблему у себя на сервере или для простоты переустановите ос и v2ray, желательно уже другим скриптом

Отбой. Проблема решилась простой перезагрузкой VPS.
Всё снова заработало теперь на проводном Билайне. Извините, если я кого-то ввёл в заблуждение. Настройки в v2rayNG были те же до падения. но вот именно просто перезагрузка в dashboard’е виртуального сервера, поборола эту проблему.

Билайн, Ульяновск. Surfshark и ProtonVPN заработали с UDP через OpenVPN. С TCP скорость тоже перестали резать, но она меньше, чем с UDP. Также заработал и торрентовый DHT.

Доброго всем дня! Тут есть жители зоны СВО? Бердянск. На город один канал с Крыма. Три проводных провайдера (Онет, Юпитер и МирТелеком - новый провайдер основанный на остатках Киевстара и Укртелекома, 1 админ с не очень прямыми руками), 1 мобильный - монополист (7 телеком) и немного ДНРовского Феникса (покрытие есть, офиса и пополняшек не продается, сразу были - потом выгнали). В бане по классике с РФ, но добавлен Google и Youtube с Вайбером (региональные ограничения), на большой земле я так понимаю это все работает. С 16-18е сентября у нас банился OpenVPN протокол на провайдере Онет. Сегодня ожил, параллельно с мобильным, который начал блокироваться еще в начале сентября. Если б не Ютуб и гугл (яндекс не всегда ищет что надо), от вайбера уже отвыкли давно. Имею 2 vps в Молдове и Польше, какие протоколы развернуть с небольшим прицелом на будущее? Есть человек 10 которые юзают опенвпн на микротах, остальные все в телефонах и ТВ боксах. Пробовал Оутлайн, проработал дня 4 и сдох, да и толку от него смотрю много не будет без обуфускации. В общем - ищу колег из Зоны СВО для оптимизации собранных сведений и совместного решения проблем которых по идее и существовать то не должно =)

Вот тут, если можно, подробнее. На своих впсках? Симптомы? Если на тех же портах что-то другое запустить, работает? Что? Дампы есть?

может просто впску перезагрузить или переустановить? сомневаюсь что оутлайн сдох по внешним причинам. Выше в постах писали что v2ray заблокировали, но даже не разобрались что проблема была в vps

Москва. SurfShark через OPVN
Ростелеком дома только TCP работает, UDP коннектит но ничего не грузит
МТС мобильный - работает TCP/UDP

Один и тот же ip адрес сервера проверяете на разных провайдерах? У SurfShark можно подключиться к разным серверам по одному конфигу.

Outline зафорсили как “Революционный, непреодолимый, непокалебимый”. Даром, что React и Node.js.

в OVPN есть только тумблерок на каждом профиле страны(Дания например), либо UDP профиль тумблер, либо TCP профиль тумблер. Профили подтягиваешь из оф аккаунта своего кабинета SurfShark. Один раз поставил профиль и все, пользуйся. Офф приложение не работает по понятным причинам, поэтому через OVPN все идет и включается

Билайн, Ульяновск. Surfshark по udp снова заблокировали, ProtonVPN по udp работает. Surfshark по tcp работает, но снова режут скорость. Всё это с профилями через OpenVPN.

У них раньше в конфиге было доменное имя, например dk-cph.prod.surfshark.com. Резолвится в 2 разных адреса за один запрос, и на каждый запрос могут вернуть новые пары. У конфига и приложения адреса пересекаются, но блокировали по адресу и порту, который не пересекался. Но все меняется, поэтому сейчас может быть все что угодно. Вы проверяли, что сейчас? Блокировку протокола проще тестировать на частных серверах, чем пытаться выяснять это на уже блокируемом сервисе. Даже если вы угадали в этот раз.

3 мбита?

UDP никак не робит к сожалению на Ростелекоме, только TCP, МТС мобильный работает и то и то

Москва, TELE2. Сегодня перестало работать, раньше работало где то неделю примерно, проходит подключение, но интернета нет. Пробывал только на одном провайдере в данный момент - Contabo. Скоро попробую на нового провайдера с домашним IP

перестало работать что?

“проходит подключение, но интернета нет”. На МГТС все работает

Билайн, Москва, проводной, wireguard 5 пакетов ловит и падает.

понятнее о чём вы не стало. у меня тоже не едет, а что не едет я вам не скажу… телега или машина сами гадайте.

Проблема точно такая же которая была у всех. Проходит подключение и первые пакеты, но и все, TCP/UDP не работали, в плане все пакеты были заблокированы. На данный момент всё хорошо работает

0ka хотел уточнить wireguard или openvpn или может еще какой протокол. Но поскольку вы упоминаете TCP/UDP видимо речь идет о openvpn.

К сожелению не понял в начале, но да, использовал OpenVPN

Проблемы с WireGuard начались на днях.
Несколько минут (около 5 минут) траффик через WG ок, потом режется в ноль.
Провайдеры, у которых это замечено:
Скайнет, Санкт-Петербург
Проксима, Москва
Орион Телеком, Красноярск

Теле2 в Санкт-Петербург спокойно работает с WG, соединение не пропадает, скорость в ноль не падает.
Так же нормально работает в Мурманске, Ростелеком

службе “жарова” удалось добиться «деградации» телеграм на 30% WG за 5 минут

Похоже на таймауты. Никто 5 минут сессию держать для анализа не будет. Вероятно ищут/нашли новый способ покашмарить без последствий для себя, на любом уровне ответственности.

Похоже на запоздалый блок. Wireguard локальный шлюз не разрывает при проблемах (продолжает слать пакеты), поэтому кажется, что интернета нет или скорость ноль.

Сегодня с утра в Санкт-Петербурге отключили openvpn и wireguard на мегафон и мтс.

подтверждаю пробемы с WG в СПб, отвалислось на МТС. МФ, Йота. При этом блокировались и локальные соединения, т.е. WG туннель до РФ адреса.
Сегодня WG в прибалтику заработал, а на РФ еще нет.

Краснодар, мобильный Билайн. Международные направления блокируются с того же времени, что и в Санкт-Петербурге.

Мне вот что интересно. Блокируются по анализу первых пакетов. Значит, мысля логически, их надо как-то их уберечь. Мне удалось запустить Wireguard на телефоне через имеющийся шифрованный туннель на роутере, потом отсоединиться и через собственное мобильное соединение остаться с поднятым Wireguard. Но хотелось бы какое-то более изящное решение.

Если есть рут - nfqws от zapret

МСК
МТС, Мегафон, Теле2 - с телефона блочится WG на своем VPS.

Однако, на роутере Keenetic + модем Huawei B525 (с мод прошивкой в режиме моста), WG работает как ни в чем не бывало. И отключал соединение, и перезагружал роутер - без проблем идет коннект.
Что за приколы?) На роутере что с МТС, что с Мегафоном - все работает.

а если поменять симки местами или попереключать режим полёта?

Пока есть питание на модеме и нет команды для модема на сброс, сохраняется привязка к точке терминации мобильного трафика. Перезагрузка роутера не гарантирует сброса модема. А сброс не гарантирует обнуление нужных данных. Для гарантии обнуления ID, лучше обесточить. Но выбор новой точки возможно (не) случаен, могут выбрать прежнюю.

Тесты с симками могут быть полезны. Возможно будет наблюдаться достоверная воспроизводимость (N тестов с обесточиванием) для симок вне связи с точкой терминации. Это было бы интересно.

10 posts were merged into an existing topic: Обсуждение: Блокировка VPN-протоколов на ТСПУ (05.08.2023 - xx.xx.2023)

MTS Москва, TCP/UDP через OVPN не робит

+1, Москва, МТС, VPN от Surfshark, TCP/UDP через OpenVPN не работают

Мобильные МТС и Теле2 на текущий момент блокируют протоколы WG и IKEv2 уже внутри РФ. Дропы пакетов после установки соединения, чтобы создавалось впечатление, что отвалился интернет. Забавно то, что эти опсосы блокируют сервера, с которых кроме как во внутреннюю сеть предприятия, никуда попасть невозможно.

К сожалению, могу лишь подтвердить, что Теле2 сегодня начал блокировать WG и L2TP внутри РФ. Сервера с VPN находятся на территории Белгородской области (в этой же области и происходит попытка подключения).
У WG рукопожатие происходит и успевают пройти несколько пакетов с пингом, а дальше тишина.
L2TP соединение вовсе не устанавливает.
По телефону техподдержки, конечно же, ничего внятного сказать не смогли.
Через Ростелеком подключение к VPN работает без проблем.

Может кто-то сталкивался с намеренными блокировками ssh\rdp со стороны РКН и прочих росментов? Я не встречал, но интересно стоит ли подобное ожидать.

Выделенный сервер у Selectel, датацентр в СПб. На нём Wireguard с пятью пирами - три в России, один в Нидерландах, один в Турции. И к нему же подключаются по OpenVPN (UDP) пользователи из России и Турции.
До позавчера всё работало без единого сбоя, сейчас стал отваливаться Wireguard в Турцию. При этом с Нидерландами работает без сбоев (видимо, ненадолго), OpenVPN из той же Турции к этому серверу тоже работает. Внутри России всё работает (и хотелось бы надеяться, что продолжит).

Опять adguard перестал работать…
Пришло репли от позоровцев… с 4 октября v2 ray и им же подобные на всех ТСПУ, ss на трансграничных ТСПУ. Видимо нашли способ. На ss видимо много ресурсов надо, поэтому только на наружних.
Также был намек на полную блокировку всех средств туннелирования внутри РФ.

27 posts were merged into an existing topic: Обсуждение: Блокировка VPN-протоколов на ТСПУ (05.08.2023 - xx.xx.2023)

Сегодня проверял tele2 спб. Нет блока wireguard. Соединение из ленобласти к проводному провайдеру в СПБ работает

Видимо до меня тоже дошли современные технологии чебурнета (или ВПН-провайдера нашли).
Blancvpn по в европу нет соединения, в Казахстан что-то пытается. Протоколы. Wireguard, OpenVPN - SamaraLan

Ростелеком Москва, домашний инет, UDP лежит, TCP работает, все через OVPN

подмосковье: билайн, йота, мтс. wg и ovpn опять лежат.

Подтверждаю, нет WG через МТС в Москве.
А поднятый в выходные из подмосковья через билайн WG линк по-прежнему UP.

Проверяя, впервые столкнулся с невозможностью подключиться (через мобильный Ростелеком) к консоли сервера через вебинтерфейс зарубежного ВПС провайдера. Только с четвертого-пятого раза соединение установилось. Раньше такого не было… :(((

Чистый ss на tele2 соединяется с vds забугром

Beeline Тула, что-то отвалились и openvpn и outline сегодня вечером, намертво. Пару пакетов первых проходит, а потом отображается, что сети на компьютере нет 0_о. Сервера впн нидерландские собственные

Вы уверены, что на outline такое же поведение, что и на openvpn? Может просто не подключается? Сколько у вас пользователей на сервере? Десятки, сотни? Из других городов есть?

Действительно, это с outline проблема какая-то локальная на компьютере, он не может установить последнюю версию. С телефона с wi-fi все норм. Но openvpn (очень малая нагрузка, человек пять), мертв со всех устройств с beeline. В целом первый раз вижу, чтобы при включении openvpn у меня просто обрубался интернет.

04.09 крутился приватный openvpn сервер на домашнем роутере в ЕС для друзей/семьи из РФ. С 3.10 люди не могут больше использовать протокол. Подключаться подключаются - трафик тупо не идет.

последние 24 часа вовсю корёжат топологию. уже минимум 3 раза замечал.

то с 6 до 8 ttl пришлось повышать в gbd, то назад откатывать.

а щас вот сломали маршрут из эрэфии и стали https://invent.kde.org/ и https://www.instagram.com/ открываться\пинговаться хоть были по ip заблочены

ПАКТ СПб

Билайн мобильный, Краснодар. Блокируются международные направления VPN.

Вставлю свои 5 копеек. Сегодня заметил странное, возможно совсем не связанное с блокировками.
На ПК установлено 2 системы, 10 и 11 windows. Потребовалось загрузится в 10ку, и там зайти на заблокированный рутрекер, и каково было мое удивление, что скачанный конфиг WG с 11 винды сначала заработал, но скорость была 40-45 кб/с (скачивал драйвер), а после совсем перестал подключатся. OVPN при этом подключался, но трафик не пробивался.

При этом загрузившись в 11 и WG и OVPN прекрасно работали. Впрочем, как и с телефона в той же сети. Провайдер Ростелеком Краснодар

Аналогичная ситуация - брал сервер ПиКьюХост в Финке. Коннект есть, IP получаю - трафик не идет.

Опять wg блочат. Теле2. Домашний норм. Как по графику.

Начали блокировать OpenVPN внутри РФ (TCP, UDP) с 4 октября около 21:00 МСК.
До этого в последние дни OpenVPN блокировали только заграницу.

Проверено на мобильных Мегафон и МТС. Урал.

UPD: Как раз на 4pda пишут, что примерно с этого времени перестала работать умная техника Xiaomi. Нет соединения с серверами из Китая.

Подтверждаю, внутри РФ OpenVPN udp сегодня не соединяется (Проводной интернет, Татарстан)

Таттелеком и билайн режут ovpn с wireguard. Sstp работает только после ребута роутера, l2tp ни в какую.

Новосибирск Мегафон - утром удалённые точки с Микротиком Openvpn tcp работали как по писаному - подключается и через несколько секунд/пакетов рвётся.
Ровно в 11:00 НСК облава прекратилась.

Москва, Билайн. Openvpn, wireguard, ipsec ikev1/ikev2 работают без каких-либо проблем как через мобильный интернет, так и через стационарный

Ростелеком/Теле2 - Кузбасс. Блокировки L2TP/IPSec, IKEv2 и IKEv1 внутри страны и самого провайдера. Забугор личный тоже заблокирован.

вчера вечером медленно загружались заблокированые сайты, у мен развёрнут контейнер антизапрета на vdsке у inferno solutions в Эстонии, я подумал ну ок с ним с етим openvpnом, там же у мен развёрнуты и vless+reality, dumbproxy, psiphon и прочие телодвижения всё было бесполезно сначала норм потом тормозит потом ваще тухнет потом опять норм, я так подозреваю в чём прикол типа етих всех маскировок когда dpi можно насроить на блокировку шифрованых тунелей (даже если их нельзя однозначно идентифицировать протокол) на ружу походу так и было

кто нибудь знает как можно самолично проверить режут на тпсу или в других местах потому что у меня уже крыша едет, а ведь ето ещё даже не 24 год

ps
на другой впске от российского хостера которая якобы в Нигерландах (а на самом деле где-то Воронеже)) всё было норм, может просто режут ip-адреса когда видят что туда идёт щифрованый тунель?

МТС Кузбасс блокируют трафик OVPN (UDP) на “Сибирские Сети”. Внутри “Сиб. Сетей” всё пока бегает.
Поправка: заработало. Не знаю, на чьей стороне было ограничение, но после переписки с обоими провайдерами (и, разумеется, “это не мы, у нас всё разрешено”) доступ по OVPN в сеть сервера и клиентов появился.

Вчера просто ради эксперимента отключил warp,скачал с сайтов www.vpngate.net и www.vpnjantit.com файлы ovpn.Ничего не работало,соединения разрывалось.Сегодня скачал с тех же сайтов vpn файлы.Всё работает нормально.Похоже мой провайдер вчера блокировал протокол openvpn.
Провайдер Таттелеком проводной интернет.

Воронеж и воронежская область, Теле2, Билайн, МТС блокировка OpenVPN с утра. В 10:46 разблокировали.
В Курской области Мегафон при этом работал.

Краснодар, мобильный Билайн перестал блокировать VPN.

У меня wireguard как работал, так и работает. Правда, он не совсем обычный.

WG MSK MTS заработал

У нас сервере в Нидерландах, тоже по wireguard данные в некоторых регионах не проходят.
Например в Крыму и в Дагестане.
А если купить простой VPS в России, что ASN был RU.
На него поставить wireguard сервер, а далее уже трафик напрямую слать в Нидерланды ?
Это поможет ?
Я так понимаю простого решения, чтоб просто установил и забыл на данный момент нет ?

Тоже заметил изменения на IS, тоже в Эстонии. Только пользуюсь Outline (ShadowSocks). Несколько дней приходится переподключаться, иначе не грузит ничего. Особенно часто замечаю на телеге, но вряд ли это связано.

сеть диагностировали?

Не знаю как сейчас, но у меня в августе во время блокировок нормально работало соединение WG до сервера в Европе с российским ASN. В остальных случаях блокировки были как у всех. По-моему, они все таки по ASN блокируют.

У меня и в августе, и в сентябре, и до сих пор без единого перебоя работает соединение WG с сервера в России до сервера в Нидерландах (с нидерландским же ASN). А вот с того же самого сервера в России до роутера в Турции - уже были перебои в последнюю волну блокировок. Хотя с этого же роутера в Турции до двух других роутеров в России (у меня там mesh на WG) - тоже без проблем.

Так что если что-то до сих пор работает - это может означать, что просто не добрались ещё, блокировки пока далеки от ковровых. На всякий случай готовлюсь к тому, что блокировать будут всё, включая “из России в Россию” (поскольку такие отчёты есть, можно надеяться, что это побочный эффект неправильной настройки оборудования, но лучше “подстелить соломки”).

У меня тоже работало, я даже не знал о каких-то блокировках впн протоколов со стороны ркн, прочитал только уже на форумах в конце августа, правда у меня туннели из РФ в сторону импортных ASN. Проблемы начались в конце августа. Но на деле - кто ж знает как там они это организуют… Мы тут просто пока догадываетмся.

Извиняюсь, не так часто на форуме тут сижу.
С сеткой все было хорошо.
Написал в ТП (07.10), с запросом, были ли перебои за последнюю неделю, ответ дословно:

Здравствуйте.
График нагрузок без провалов в 0, головной сервер не перезагружался 1696678853106.png (222 kb) закачан 7 октября 2023 г. Joxi
Перебои с сетью в Эстонии кратковременные были, но они из-за аварий у магистральных провайдеров. Была частичная потеря связности, не глобальная. Возможно, была и недоступность <IP моего сервера> из некоторых мест.
Пока Outline, как протокол VPN, не определяется и не блокируется. Если с ним будут проблемы, можем попробовать установить иранскую версию hiddify - я им пользуюсь, проблем нет.

5 posts were merged into an existing topic: Обсуждение: Блокировка Jabber/XMPP в России

Wireguard до серверов PrivateInternetAccess начали блокировать, МТС+Мегафон. Подключаться - подключаются, трафик не идёт

Вчера утром начали замедлять трафик до моего личного сервера по IPv6 на YourServer, OpenVPN UDP. Примерно до 128 кбит/с с burst’ами до 256 кбит/с, или около того. Policier с огромным временным интервалом, не shaper, поэтому работает всё отвратительно: несколько пакетов передаются долю секунды, оставшуюся секунду никакие пакеты не идут.

У него один пользователь (я) и одно устройство (мой ноутбук) на одном подключении (дом).

3 дня были проблемы с Сбербанковским ВПНом, тем который для банк-клиента. Судя по беглому анализу - не работают TLS сессии, они прерываются после первых нескольких пакетов. Проблема была у проводного Билайна на Урале и некоторых сотовых опреторах (точно Теле2, Йота). При этом, на других сетях работало. Сегодня заработало и на билайне. Может конечно это в СБ проблемы…

Что интересно, СБ впн частично использует Akamai сервисы. По крайней мере, вначале устанавивает соединения с ними, потом пробует несколько других адресов, всегда рэндамно.

Примерно с 19 октября через одного провайдера замедляют IKEv2, а через второго периодически блокируют порт с Shadowsocks.

Причем явно делают на основе статистики использования “запрещённых” протоколов и только для связки src_ip > dst_ip:dst_port. С соседних IP-адресов в тех же сетях подключения к тому же серверу проходят нормально.

Видел что-то похожее у китайцев, но там автоматика блокировала порты на несколько минут сразу после подключения.

По какому протоколу работает этот VPN?

Там что-то своеобычное - вот это:

Алгоритм шифрования: ГОСТ 28147-89
VPN-протокол / избыточность протокола: Собственный (на базе UDP-протокола) / не более 30 байт на пакет

Да, это оно.
Детали, сессии, к сожалению не сохранил. Сейчас все работает, но сессию могу посмотреть на неделе.

10 posts were split to a new topic: Обсуждение: неработоспособность ShadowSocks (30.10.2023 +)

A post was merged into an existing topic: Обсуждение: неработоспособность ShadowSocks (30.10.2023 +)

A post was merged into an existing topic: Обсуждение: Блокировка VPN-протоколов на ТСПУ (05.08.2023 - xx.xx.2023)

снова начали блочить. Архангельск мобильный ростелеком.OpenVPN UDP сразу разрывается. OpenVPN TCP соединение устанавливается, не разрывается, но передача трафика полностью блокируется.

del

ничего не работает, т.к включен native kill switch, телефон андроид. Без включенного vpn все соединения блочатся. Сейчас абсолютно тоже самое как и в августе и сентябре.

2 posts were merged into an existing topic: Обсуждение: Блокировка VPN-протоколов на ТСПУ (05.08.2023 - xx.xx.2023)

Мoбильный Рoстeлекoм: OpenVPN завернутый в SS - ограничение по скорости до ~ 10 КБ/с, по аналогии с ограничением BitTorrent. По факту не возможно практически загрузить полноценно какой-либо сайт.
MTProxy с параметром dd - ограничение по скорости аналогичное.
Чистый SS ограничений по скорости нет.
Детектируют “обёрточное” шифрование?

регион?

Западная Сибирь

2 часа дня, Казань, провайдер Уфанет, сбрасывает подключения через антизапретовский протокол, через goodbye dpi трафик проходит

Ростовская область, Ростелеком. Тоже самое.

Хотя нет. GoodByeDPI также не работает.

11 posts were merged into an existing topic: Обсуждение: Блокировка VPN-протоколов на ТСПУ (05.08.2023 - xx.xx.2023)

Сегодня в СПб Мегафон и МТС не подключится через openvpn до иностранных серверов

Подключение есть, но лимит opevpn 4 байта/с вход и ~800 байтов/с выход, тоесть в интернет зайти невозможно. Интернет ростелеком, ВПН в Польше и Германии (пробывал 2). Проходит несколько пакетов и все прекращается

PING 1.1.1.1 (1.1.1.1) 56(84) bytes of data.
64 bytes from 1.1.1.1: icmp_seq=1 ttl=59 time=67.4 ms
64 bytes from 1.1.1.1: icmp_seq=2 ttl=59 time=67.7 ms
64 bytes from 1.1.1.1: icmp_seq=3 ttl=59 time=66.5 ms
64 bytes from 1.1.1.1: icmp_seq=4 ttl=59 time=68.7 ms
64 bytes from 1.1.1.1: icmp_seq=5 ttl=59 time=65.6 ms
64 bytes from 1.1.1.1: icmp_seq=6 ttl=59 time=65.3 ms
64 bytes from 1.1.1.1: icmp_seq=7 ttl=59 time=62.7 ms
64 bytes from 1.1.1.1: icmp_seq=8 ttl=59 time=70.3 ms
64 bytes from 1.1.1.1: icmp_seq=9 ttl=59 time=65.6 ms
64 bytes from 1.1.1.1: icmp_seq=10 ttl=59 time=66.7 ms
64 bytes from 1.1.1.1: icmp_seq=11 ttl=59 time=66.2 ms
64 bytes from 1.1.1.1: icmp_seq=12 ttl=59 time=66.7 ms
64 bytes from 1.1.1.1: icmp_seq=13 ttl=59 time=68.5 ms

--- 1.1.1.1 ping statistics ---
24 packets transmitted, 13 received, 45.8333% packet loss, time 23261ms
rtt min/avg/max/mdev = 62.708/66.759/70.297/1.801 ms

На Урале тоже самое. Началось сегодня. Проверено на мобильном МТС.
Невозможно подключиться по TCP/UDP до иностранных серверов.
Подключение до своего VPN в РФ работает.

рт сз, wireguard блочится через 0.15 - 5 секунд после подключения.

РТ Центр. OpenVPN TCP на сервере в NL работает.

Татарстан, провайдер Эртелеком (бизнес) – блокируется WG до европы (не сразу, после первых n байт). OpenVPN, SS, Cloak – работают. WG внутри сети провайдера не блокируется.

Домашний инет, Ростелеком.Москва
UDP лежит, TCP работает
OpenVPN

Не только бизнес. Домашний тоже. Дом.ру Самара. WG до европы после первых байт, в КЗ можно пробиться.
Но на заблокированные сайты войти не получается. Ошибка сертификата. Ругается именно на Эртелкомовский. (походу Хрому что-то не понравилось)

WireGuard со вчерашнего дня блокирую в Билайн, Tele2. На вход пропускают 92 Байта и на этом всё.

[TUN] [wg] Startup complete
[TUN] [wg] Receiving handshake response from peer 1 (ip:port)
[TUN] [wg] Keypair 1 created for peer 1
[TUN] [wg] Retrying handshake with peer 1 (ip:port) because we stopped hearing back after 15 seconds
[TUN] [wg] Sending handshake initiation to peer 1 (ip:port)
[TUN] [wg] Handshake for peer 1 (ip:port) did not complete after 5 seconds, retrying (try 2)

Не работает WG на Билайне к серверу в США.

vless на том же сервере продолжает работать.

Да, второй день Эртелеком блокирует WG, но только новые подключения. У меня две сессии WG были активны до начала блокировки на серверах и они продолжают работать до сих пор.

WG Калининград в отлупе, аутлайн пока работает. Краснодарский Край wg работает (ростелеком и местный провайдер)

Краснодарский край wg на мтс (мобильный и домашний) не работает.

Ростелеком в СПб домашний и корпоративный не работает openvpn до Европы, сегодня еще разные мелкие проводные провайдеры подключились к блокировкам.

Калининград отвалился L2TP/IPSec, IKEv2 на билайне + мобильные МТС, Билайн,т2, мегафон
Vless живет

Мой отчет за сегодня:
Сегодня у сотрудников появились проблемы с подключением L2TP ipsec до Эстонии.
Проводные Пакт (СПб), Сампо (Карелия), мобильный Теле2(СПб) с ошибкой согласования.

Однако, старые L2TP ipsec соединения не рвались: проводной Skynet в СПб (7d up), модемный Yota в СПб (3d и 20d uptime)

СПб

1. Со вчерашнего дня мобильный Мегафон блокирует OpenVPN и wireguard.
2. На домашнем Билайн вчера оба протокола работали, сегодня блокируются.
   На обоих провайдерах wireguard работает, если перед началом сессии отправить несколько (использовал 5) мусорных пакетов через клиент AmneziaVPN.
3. Провайдер NewLink не блокирует OpenVPN, но блокирует wireguard. Лишние пакеты не помогают обойти блокировку.

Владивосток. Мобильный Билайн.
OpenVPN UDP подключается до Нидерландов, но трафика нет.
ss2022(вроде), на тот же сервер работает.
OpenVPN UDP в пределах россии работает.

Москва. Домашний Билайн.
Wireguard до немецкого сервера не работает, пару байт отсылает и умирает. Shadowsocks с v2ray работает.

SSTP живой?

Санкт-Петербург SkyNet
Wireguard до сервера в Финляндии - не работает. Траффик блокируется провайдером. Из панели видно первые килобайты подключения, а дальше разрыв сессии.
L2TP до сервера в Финляндии - не работает. Траффик сразу блокируется провайдером.

VLESS с XTLS-Reality Работает.

4 точки в России (Москва проводной Билайн, Подмосковье местечковый провайдер, Питер местечковый провайдер, Питер дата-центр Селектел), 2 точки за границей (Амстердам, Стамул). Wireguard-туннели от всех к всем, все работают, хотя во время прошлых “учений” частично отваливались. OpenVPN UDP из России в Россию работает (впрочем, сейчас нет никого в Калининграде, раньше оттуда были с ним постоянные проблемы) Продолжаю наблюдения, резервные туннели настроены, но пока простаивают…

Проводной Ростелеком - так же начался отвал wg до зарубежных хостов.

OpenVPN UDP (Татарстан проводной) внутренние соединения без обрывов.

WG до Голландии умерло на:
Корбина (Подмосковье); мобильных Мегафоне, Теле2, МТС.
Причём вчера соединение рвал только Мегафон.

Wg до сша и до Европы не работает. Теле2. С домашнего рт все гуд

Москва (РТК), Самара (провайдера не знаю). wg и outline до Хецнера (Финляндия) сдох

AS49301 (Хабаровский край, ТТК домашний) блокировка чистого Wireguard до европейских и азиатских серверов. Протоколы с обфускацией работают
AS34584 (Хабаровский край, Ростелеком домашний) на том же ртк новых блокировок Wireguard до европейских серверов не замечено, подключается к VPN без проблем.

Добавлю. Проводной Подряд.
OpenVPN TCP работает
OpenVPN UDP не работает
Wireguard чистый не работает
Wireguard обфусцированный работает
ss2022 работает

мск, openvpn udp до Нидерландов.
Теле2 и проводной ростелеком работают. Билайн - нет.

Татарстан, Эртелеком. Сегодня с утра блокировку WG и OpenVPN сняли. На этот раз 4 дня продержалось. С каждым разом всё дольше и дольше. Такое чувство, что это всё тестирование с охватом всё большего количества сетей. Вероятно подготовка к выборам?

Москва. МГТС(МТС)
Перестал работать канадский OVH на Wireguard

Сегодня умер немецкий wg, Hetzner, nbg1-dc3

Удалено

Подтверждаю блокировку Wireguard на Ростелекоме (СЗФО) к трём локациям, что пробовал (VPS OVH в Польше, VPS Frantech в США и фактически все локации VPN от Netbouncer AB). udp2raw в режимах udp и faketcp работает как и прежде.

Заметил еще одну интересную штуку касательно блокировок. Отпало несколько Signal proxy серверов, а другие при этом работают. Никто с таким не сталкивался? Хочется понять, это взялись за протокол, или просто что-то пошло не так?
К примеру вот этот: https://signal.tube/#sgnl-02.cyberpath.tech/
Внешне это обычный https.

МТС Москва, TCP/UDP лежит под OVPN

Значит сейчас ТЗ такое поставлено, что не блочить. С августа 2023 были блокировки и tcp: соединение устанавливалось и сразу же разрывалось.

Заголовок топика пора менять на xx.xx.202x

4 posts were merged into an existing topic: Обсуждение: Блокировка VPN-протоколов на ТСПУ (05.08.2023 - xx.xx.2023)

МТС Москва, по прежнему TCP/UDP лежит под OVPN

Есть/были внутри компании pptp, l2tp(ipsec), openvpn. Пару месяцев назад перед НГ прямо наглухо отвалились все попытки подключения, из РФ в РФ (Краснодар - несколько серверов по ЮФО, Краснодар - Москва). AS в РФ приземлена, ip диапазон - тоже ру, даже в РАНР (это такой православный вариант гео ip) был внесён как ру. Все впн умерли почти единомоментно в пару дней. openvpn на всех вариантах tcp/udp.

Заработало только когда безопасник из компании связался с РКН, объяснил ситуацию. После этого заработало всё. Вроде как объяснили, что добавили наши адреса в специальный список. Вайтлист же получается, по сути.

Не работало через стационарные РТ, Домру и пару местных мелкопровайдеров, через мобильные МТС, Билайн и Тинькофф.

Также перестал подключаться (проводные домру и РТ, мобильный билайн) наглухо через private internet access через любые вариации параметров и на openvpn, и на wireguard, если не использовать shadowsocks. До начала января стабильно подключалось в Швецию без всяких мани пуляций. Похоже, что адрес был в каком-то вайтлисте по недосмотру или умышленно. Это состояние продолжается беспрерывно с начала января 2024 (проверяю ежедневно).

кто нить вкурсе какие вобще остались рабочие вариканты? яимею ввиду протоколы для организациии впна, столкнулся с ниобходимостью объеденинить свое девайсы в одну виртуальную сеть с шифрованием поверх интернета (внезапно для чего и был придуман впн)), скакчал кликент на ондроед виригуард аоно тока успевает хендшейкнуца с сервером (внутри рф) на мегафоне потом затык, при етом на стационарном ростелекоми норм всё работает, собсно подозреваю что на опенвпне тоже самое буит, лень в хололстую поднимать сервисы просто так вот поетому и ришил поиндирисоватся здесь

Очень странно. Для таких же целей использую WireGuard. Сервер и все клиенты в РФ. Из провайдеров Мегафон, Ростелеком, МТС - всё работает.

Amnezia WG

Не знаю я его даже на арме собирал

Ростелеком Москва, инет проводной домашний, заблочили, видимо опять же на ТСПУ, OpenVPN протокол для подключения к серверам из списка vpngate.net. Заблочили в догонку и виндовый MS-SSTP тоже. Блокировки как udp так и tcp, порт значения не имеет. Удивительно, но работает подключение по OpenVPN с использование конфигурационного фвйла с сайта antizapret.prostovpn.org. Сам сайт, кстати, тоже заблочен наглухо. С месяц назад еще все работало, но теперь звереют с каждым днем. Пока удается подключатся через softether vpn клиент, благо есть версия и для openwrt с инструкцией по настройке. Сколько это проживет не знаю. Возможно блокировки как-то можно будет пробить zapret’om, если конечно не глухой бан на ТСПУ, но я не настолько спец чтобы настраивать zapret на работу с каждым отдельным сервером да еще и выборочно с OpenVPN протоколом. Вообщем, чебурнет наступает

Внутри РФ тоже бывают блокировки. Обнаружено такое поведение. Если ТСПУ замечает с IP адреса активность по подключению за рубеж, то адрес попадает в черный список, и с этого адреса начинают рубить и подключения внутри РФ. Время блокировки прогрессивное, т.е. начиная с нескольких минут и дальше увеличивается.
Проверяла лично. Подключаюсь к РФ серверу → все ок. Делаю подключение к зарубежному VPN → оно блокируется ТСПУ. После этого какое-то время (несколько минут, часов) не могу подключиться к РФ серверу. Проходит время, и подключения к РФ серверу снова начинают работать. Ровно до момента очередной попытки коннекта за рубеж.

2 posts were merged into an existing topic: Обсуждение: Блокировка VPN-протоколов на ТСПУ (05.08.2023 - xx.xx.2023)

На территории Дагестана у некоторых провайдеров появились трудности с работой мессенджеров. Как передает корреспондент «Ъ», без включения VPN не работает ни один мессенджер или соцсеть. Однако и при включенном VPN его приходится каждые 10 минут переподключать для стабильной работы.

Как сообщает ТАСС со ссылкой на источник, профильные ведомства в республике начали глушить WhatsApp (принадлежит признанной экстремистской и запрещенной в РФ Meta). По словам собеседника агентства, в мессенджере распространяются призывы к участию в экстремистских акциях. Власти республики направляли администрации мессенджера запросы с требованием пресечь распространение таких сообщений, но администрация эти требования проигнорировала.

внезапно снова заработал OpenVPN. зато отвалился outline к тому же самому серверу.

Заметил еще странность, сломался IKEv2/IPsec к домашнему роутеру, но только с телефона. С мобильных операторов коннект устанавливается, траффик не идет. С гостевого wifi то же самое. Но в том же самом гостевом wi-fi с обычного компа все работает.

AmneziaWG на iOS с профилями SurfShark не коннектит по мобильному интернету (МТС МСК), еще на той неделе все было норм. Домашний Ростелеком работает без проблем и на компе и на тел по вафле.

Может снова надо что то подкрутить как было описано в статье?
Мы добрались до ядра, или новые возможности AmneziaWG / Хабр

UPD: в Амнезия группе ТГ народ говорит, что на МТС не работает, может у всех так, проверьте кто на Амнезии или WG сидит

UPD2: Сработал метод из поста Telegram: Contact @amnezia_vpn

у кого не работает AWG

Jc ставим от 3 до 5
Jmin=40
Jmax=70
Этого должно быть достаточно, и даже не поломает совестимость с уже выданными конфигами. (Выяснилось что при изменении Jc Jmin Jmax пропадают все юзеры из панели управления конфигами, мы чиним это)

Если всё равно не коннектит, можно ещё это:
S1 и S2 ставим от 2 до 10

Мне хватило изменить только первые три параметра

Подтверждаю, на МТС в Москве не работает AmneziaWG. XTLS-REALITY до того же сервера работает

Крымский Миранда медиа, локального провайдера не называю, при двух-трех неудачных попытках подключится за рубеж через опенвпн протокол рубят инет на 20 минут

апд после двух попыток уже не отрубает и даже подключение заработало)

Ростелек развлекается (500 км от Москвы на юг).
На основном VPN отвалились wg, wg+vmess/quic, wg+vmess/tcp.
Пока работают ovpn, ovpn obfs3, ovpn obfs4 (IAT0/1/2).
В прошлый раз живы были только чистые ovpn и wg. Прям вторник патчей как у майкрософт (╥﹏╥)

Та же локация, но с Амнезией и двумя арендованными серверами (NL и BE), работают awg, xray, ovpn over cloak. В отрубе как и ожидалось ovpn, wg, ss.

С утра и до текущего момента начались новые блокировки протокола OpenVPN на части провайдеров. Они похоже на старые, но с улучшенными фильтрами: модификация протокола, какая применена на АнтиЗапрете, уже не срабатывает.
В сравнении с прошлым фильтром, в текущем реализована «заморозка» TCP-сессии (а не её разрыв) путём отброса пакетов от клиента к серверу (но от сервера к клиенту доходят).
Сессия замораживается после 15-го data-пакета OpenVPN.

Фильтр работает по таймеру. Если в течение 7-8-9 секунд клиент не отправлял никаких пакетов, то фильтр отключается, VPN работает. Если в течение 1-3 секунд клиент отправил хоть один пакет, таймер сбрасывается (не могу засечь точное количество, возможно, оно каждый раз разное), счёт пакетов продолжается, соединение заморозится после 15 пакета.

Обходится просто: route-delay 11 (не уверен, что нужно именно 11 секунд, но это работает).

Также сообщали о подобных блокировках на POST LTD и ПЖ19.

lv6.pvpn.pw-tcp-cap-from-client.pcapng (63.0 KB)
lv6.pvpn.pw-tcp-cap-from-server.pcapng (50 KB)

Спасибо за инфу. Обход блокировки openvpn протокола пока работает у меня на линуксе с помощью zapret даже с непатченным сервером. Посмотрим, может тоже отвалится.

2024-09-11T21:00:00Z на рт сз стал блочиться AmneziaWG после хендшейка (до этого работал с 1 авг, хендшейки несколько раз в день), мусорных пакетов нет, блок из-за параметра S1: с значениями 10, 29, 30, 50 (рандом выбрал, не все) блок есть, с значениями 60, 100 (тоже рандом выбрал, не все) блока нет, остальные параметры не имеют значения для блока, добавление мусорных пакетов почти всегда снимает блок даже с S1=10,29,30,50

2024-09-15T21:00:00Z заметил тоже самое на моб мегафоне сз

del

В приморском крае (ростелеком) набдюдается уже три дня подяд, что снята блокировка по протоколу исходящих openvpn за пределы РФ.

PlanetVPN снова перестал работать. Вчера работал нормально.

Почему del? Таки стоит людям знать что РКН способен блокировать WmneziaWG.

Для тех, кто был не в курсе: 16.10 после полуночи по всей стране отвалилась амнезия. Заработало спустя два часа

Столкнулся с проблемой блокировки OpenVPN даже с route-delay 12. Трафик тупо встает после установки соединения. Судя по всему блочится из за настроек пинга который шлет сервер Timers: ping 5, ping-restart 30. Есть локальные варианты решения или надо писать провайдеру VPN и просить изменить настройки пинга? Логи прикладываю:

2024-11-19 12:41:01.283186 *Tunnelblick: Attempting connection with italy using shadow copy; Set nameserver = 0x00000301; monitoring connection
2024-11-19 12:41:01.285377 *Tunnelblick: openvpnstart start italy.tblk 54189 0x00000301 0 1 0 0x0210c130 -ptADGNWradsgnw 2.6.12-openssl-3.0.14 <password>
2024-11-19 12:41:01.321360 *Tunnelblick: openvpnstart starting OpenVPN
2024-11-19 12:41:01.702225 OpenVPN 2.6.12 x86_64-apple-darwin [SSL (OpenSSL)] [LZO] [LZ4] [MH/RECVDA] [AEAD]
2024-11-19 12:41:01.702694 library versions: OpenSSL 3.0.14 4 Jun 2024, LZO 2.10
2024-11-19 12:41:01.703949 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:54189
2024-11-19 12:41:01.703967 Need hold release from management interface, waiting...
2024-11-19 12:41:01.911699 *Tunnelblick: openvpnstart log:
     OpenVPN started successfully.
     Command used to start OpenVPN (one argument per displayed line):
          /Applications/Tunnelblick.app/Contents/Resources/openvpn/openvpn-2.6.12-openssl-3.0.14/openvpn
          --daemon
          --log-append /Library/Application Support/Tunnelblick/Logs/-SUsers-Smacosuser-SLibrary-SApplication Support-STunnelblick-SConfigurations-Sitaly.tblk-SContents-SResources-Sconfig.ovpn.769_0_1_0_34652464.54189.openvpn.log
          --cd /Library/Application Support/Tunnelblick/Users/macosuser/italy.tblk/Contents/Resources
          --machine-readable-output
          --setenv IV_GUI_VER "net.tunnelblick.tunnelblick 6130 6.0beta09 (build 6130)"
          --verb 3
          --config /Library/Application Support/Tunnelblick/Users/macosuser/italy.tblk/Contents/Resources/config.ovpn
          --setenv TUNNELBLICK_CONFIG_FOLDER /Library/Application Support/Tunnelblick/Users/macosuser/italy.tblk/Contents/Resources
          --verb 3
          --cd /Library/Application Support/Tunnelblick/Users/macosuser/italy.tblk/Contents/Resources
          --management 127.0.0.1 54189 /Library/Application Support/Tunnelblick/Mips/italy.tblk.mip
          --setenv IV_SSO webauth
          --management-query-passwords
          --management-hold
          --script-security 2
          --route-up /Applications/Tunnelblick.app/Contents/Resources/client.up.tunnelblick.sh -9 -d -f -m -w -ptADGNWradsgnw
          --down /Applications/Tunnelblick.app/Contents/Resources/client.down.tunnelblick.sh -9 -d -f -m -w -ptADGNWradsgnw
2024-11-19 12:41:01.930077 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:57986
2024-11-19 12:41:01.969014 MANAGEMENT: CMD 'pid'
2024-11-19 12:41:01.969223 MANAGEMENT: CMD 'auth-retry interact'
2024-11-19 12:41:01.969276 MANAGEMENT: CMD 'state on'
2024-11-19 12:41:01.969324 MANAGEMENT: CMD 'state'
2024-11-19 12:41:01.969405 MANAGEMENT: CMD 'bytecount 1'
2024-11-19 12:41:01.970282 *Tunnelblick: Established communication with OpenVPN
2024-11-19 12:41:01.991164 *Tunnelblick: >INFO:OpenVPN Management Interface Version 5 -- type 'help' for more info
2024-11-19 12:41:01.993127 MANAGEMENT: CMD 'hold release'
2024-11-19 12:41:10.425415 MANAGEMENT: CMD 'username "Auth" "vpnuser56789"'
2024-11-19 12:41:10.425639 MANAGEMENT: CMD 'password [...]'
2024-11-19 12:41:10.425870 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
2024-11-19 12:41:10.440071 TCP/UDP: Preserving recently used remote address: [AF_INET]45.138.100.100:443
2024-11-19 12:41:10.440451 Socket Buffers: R=[131072->131072] S=[131072->131072]
2024-11-19 12:41:10.440517 Attempting to establish TCP connection with [AF_INET]45.138.100.100:443
2024-11-19 12:41:10.440556 MANAGEMENT: >STATE:1732009270,TCP_CONNECT,,,,,,
2024-11-19 12:41:10.519372 TCP connection established with [AF_INET]45.138.100.100:443
2024-11-19 12:41:10.519647 TCPv4_CLIENT link local: (not bound)
2024-11-19 12:41:10.519673 TCPv4_CLIENT link remote: [AF_INET]45.138.100.100:443
2024-11-19 12:41:10.519811 MANAGEMENT: >STATE:1732009270,WAIT,,,,,,
2024-11-19 12:41:10.591661 MANAGEMENT: >STATE:1732009270,AUTH,,,,,,
2024-11-19 12:41:10.591892 TLS: Initial packet from [AF_INET]45.138.100.100:443, sid=ae791bd8 d7b528ca
2024-11-19 12:41:10.592014 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
2024-11-19 12:41:10.760195 VERIFY OK: depth=1, CN=TG-VPN-CA
2024-11-19 12:41:10.761519 VERIFY KU OK
2024-11-19 12:41:10.761546 Validating certificate extended key usage
2024-11-19 12:41:10.761561 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
2024-11-19 12:41:10.761575 VERIFY EKU OK
2024-11-19 12:41:10.761587 VERIFY OK: depth=0, CN=server
2024-11-19 12:41:11.049546 Control Channel: TLSv1.3, cipher TLSv1.3 TLS_AES_256_GCM_SHA384, peer certificate: 2048 bits RSA, signature: RSA-SHA256, peer temporary key: 384 bits ECsecp384r1
2024-11-19 12:41:11.049790 [server] Peer Connection Initiated with [AF_INET]45.138.100.100:443
2024-11-19 12:41:11.049818 TLS: move_session: dest=TM_ACTIVE src=TM_INITIAL reinit_src=1
2024-11-19 12:41:11.049947 TLS: tls_multi_process: initial untrusted session promoted to trusted
2024-11-19 12:41:12.126864 MANAGEMENT: >STATE:1732009272,GET_CONFIG,,,,,,
2024-11-19 12:41:12.127187 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
2024-11-19 12:41:12.196412 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1,dhcp-option DNS 10.9.0.1,dhcp-option DNS 10.8.0.1,sndbuf 524288,rcvbuf 524288,route 10.8.0.1,topology net30,ping 5,ping-restart 30,socket-flags TCP_NODELAY,compress,ifconfig 10.8.0.93 10.8.0.94,peer-id 0,cipher AES-128-GCM'
2024-11-19 12:41:12.196848 OPTIONS IMPORT: --sndbuf/--rcvbuf options modified
2024-11-19 12:41:12.196919 Socket Buffers: R=[131072->524288] S=[131600->524288]
2024-11-19 12:41:12.196945 OPTIONS IMPORT: --socket-flags option modified
2024-11-19 12:41:12.196966 OPTIONS IMPORT: --ifconfig/up options modified
2024-11-19 12:41:12.196982 OPTIONS IMPORT: route options modified
2024-11-19 12:41:12.197003 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
2024-11-19 12:41:12.198439 Opened utun device utun4
2024-11-19 12:41:12.198492 MANAGEMENT: >STATE:1732009272,ASSIGN_IP,,10.8.0.93,,,,
2024-11-19 12:41:12.198528 /sbin/ifconfig utun4 delete
                           ifconfig: ioctl (SIOCDIFADDR): Can't assign requested address
2024-11-19 12:41:12.260203 NOTE: Tried to delete pre-existing tun/tap instance -- No Problem if failure
2024-11-19 12:41:12.260279 /sbin/ifconfig utun4 10.8.0.93 10.8.0.94 mtu 1500 netmask 255.255.255.255 up
2024-11-19 12:41:12.276855 Data Channel: cipher 'AES-128-GCM', peer-id: 0, compression: 'stub'
2024-11-19 12:41:12.276914 Timers: ping 5, ping-restart 30
2024-11-19 12:41:24.868181 /sbin/route add -net 45.138.100.100 192.168.1.1 255.255.255.255
                           add net 45.138.100.100: gateway 192.168.1.1
2024-11-19 12:41:24.891847 /sbin/route add -net 0.0.0.0 10.8.0.94 128.0.0.0
                           add net 0.0.0.0: gateway 10.8.0.94
2024-11-19 12:41:24.904281 /sbin/route add -net 128.0.0.0 10.8.0.94 128.0.0.0
                           add net 128.0.0.0: gateway 10.8.0.94
2024-11-19 12:41:24.911746 MANAGEMENT: >STATE:1732009284,ADD_ROUTES,,,,,,
2024-11-19 12:41:24.911778 /sbin/route add -net 10.8.0.1 10.8.0.94 255.255.255.255
                           add net 10.8.0.1: gateway 10.8.0.94
                           12:41:24 *Tunnelblick:  **********************************************
                           12:41:24 *Tunnelblick:  Start of output from client.up.tunnelblick.sh
                           12:41:25 *Tunnelblick:  Primary network service: Wi-Fi
                           12:41:27 *Tunnelblick:  Disabled IPv6 for 'USB 10/100/1000 LAN'
                           12:41:27 *Tunnelblick:  Disabled IPv6 for 'AX88179A'
                           12:41:27 *Tunnelblick:  Disabled IPv6 for 'Wi-Fi'
                           12:41:27 *Tunnelblick:  Disabled IPv6 for 'Thunderbolt Bridge'
                           12:41:27 *Tunnelblick:  Retrieved from OpenVPN: name server(s) [ 10.9.0.1 10.8.0.1 ], search domain(s) [ ] and SMB server(s) [ ] and using default domain name [ openvpn ]
                           12:41:27 *Tunnelblick:  WARNING: Ignoring ServerAddresses '10.9.0.1 10.8.0.1' because ServerAddresses was set manually and '-allowChangesToManuallySetNetworkSettings' was not specified
                           12:41:27 *Tunnelblick:  Setting search domains to 'openvpn' because the search domains were not set manually (or are allowed to be changed) and 'Prepend domain name to search domains' was not selected
                           12:41:29 *Tunnelblick:  Saved the DNS and SMB configurations so they can be restored
                           12:41:29 *Tunnelblick:  Did not change DNS ServerAddresses setting of '1.1.1.1 1.0.0.1' (but re-set it)
                           12:41:29 *Tunnelblick:  Changed DNS SearchDomains setting from '' to 'openvpn'
                           12:41:29 *Tunnelblick:  Changed DNS DomainName setting from '' to 'openvpn'
                           12:41:29 *Tunnelblick:  Did not change SMB NetBIOSName setting of ''
                           12:41:29 *Tunnelblick:  Did not change SMB Workgroup setting of ''
                           12:41:29 *Tunnelblick:  Did not change SMB WINSAddresses setting of ''
                           12:41:29 *Tunnelblick:  DNS servers '1.1.1.1 1.0.0.1 2606:4700:4700::1111 2606:4700:4700::1001' were set manually
                           12:41:29 *Tunnelblick:  WARNING: that setting is being ignored; '1.1.1.1 1.0.0.1' is being used.
                           12:41:29 *Tunnelblick:  DNS servers '1.1.1.1 1.0.0.1' will be used for DNS queries when the VPN is active
                           12:41:29 *Tunnelblick:  The DNS servers include only free public DNS servers known to Tunnelblick.
                           12:41:29 *Tunnelblick:  Flushed the DNS cache via dscacheutil
                           12:41:29 *Tunnelblick:  /usr/sbin/discoveryutil not present. Not flushing the DNS cache via discoveryutil
                           12:41:29 *Tunnelblick:  Notified mDNSResponder that the DNS cache was flushed
                           12:41:29 *Tunnelblick:  Not notifying mDNSResponderHelper that the DNS cache was flushed because it is not running
                           12:41:29 *Tunnelblick:  Setting up to monitor system configuration with process-network-changes
                           12:41:29 *Tunnelblick:  End of output from client.up.tunnelblick.sh
                           12:41:29 *Tunnelblick:  **********************************************
2024-11-19 12:41:29.426426 Initialization Sequence Completed
2024-11-19 12:41:29.426449 MANAGEMENT: >STATE:1732009289,CONNECTED,SUCCESS,10.8.0.93,45.138.100.100,443,192.168.1.79,57988
2024-11-19 12:41:30.669791 *Tunnelblick: DNS address 1.0.0.1 is being routed through the VPN
2024-11-19 12:41:30.778764 *Tunnelblick: DNS address 1.1.1.1 is being routed through the VPN
>
>
> Здесь происходит реконект
>
>
2024-11-19 12:41:59.212410 [server] Inactivity timeout (--ping-restart), restarting
2024-11-19 12:41:59.213087 /sbin/route delete -net 10.8.0.1 10.8.0.94 255.255.255.255
                           delete net 10.8.0.1: gateway 10.8.0.94
2024-11-19 12:41:59.231192 /sbin/route delete -net 45.138.100.100 192.168.1.1 255.255.255.255
                           delete net 45.138.100.100: gateway 192.168.1.1
2024-11-19 12:41:59.244815 /sbin/route delete -net 0.0.0.0 10.8.0.94 128.0.0.0
                           delete net 0.0.0.0: gateway 10.8.0.94
2024-11-19 12:41:59.252258 /sbin/route delete -net 128.0.0.0 10.8.0.94 128.0.0.0
                           delete net 128.0.0.0: gateway 10.8.0.94
2024-11-19 12:41:59.258520 Closing TUN/TAP interface
2024-11-19 12:41:59.258910 /Applications/Tunnelblick.app/Contents/Resources/client.down.tunnelblick.sh -9 -d -f -m -w -ptADGNWradsgnw utun4 1500 0 10.8.0.93 10.8.0.94 init
                           12:41:59 *Tunnelblick:  **********************************************
                           12:41:59 *Tunnelblick:  Start of output from client.down.tunnelblick.sh
                           12:41:59 *Tunnelblick:  Cancelled monitoring system configuration changes
                           12:41:59 *Tunnelblick:  Restored State:DNS
                           12:41:59 *Tunnelblick:  Restored Setup:DNS
                           12:41:59 *Tunnelblick:  Restored DNS and SMB settings
                           12:41:59 *Tunnelblick:  Re-enabled IPv6 (automatic) for "USB 10/100/1000 LAN"
                           12:41:59 *Tunnelblick:  Re-enabled IPv6 (automatic) for "AX88179A"
                           12:41:59 *Tunnelblick:  Re-enabled IPv6 (automatic) for "Wi-Fi"
                           12:41:59 *Tunnelblick:  Re-enabled IPv6 (automatic) for "Thunderbolt Bridge"
                           12:41:59 *Tunnelblick:  Flushed the DNS cache with dscacheutil -flushcache
                           12:41:59 *Tunnelblick:  Notified mDNSResponder that the DNS cache was flushed
                           12:41:59 *Tunnelblick:  Up to six 'No such key' messages may appear next and may be ignored.
                           12:41:59 *Tunnelblick:  End of output from client.down.tunnelblick.sh
                           12:41:59 *Tunnelblick:  **********************************************
2024-11-19 12:41:59.996261 SIGUSR1[soft,ping-restart] received, process restarting
2024-11-19 12:41:59.996271 MANAGEMENT: >STATE:1732009319,RECONNECTING,ping-restart,,,,,
2024-11-19 12:42:00.310652 *Tunnelblick: Delaying HOLD release for 1.000 seconds
2024-11-19 12:42:01.313499 MANAGEMENT: CMD 'hold release'
2024-11-19 12:42:01.313665 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
2024-11-19 12:42:01.319302 TCP/UDP: Preserving recently used remote address: [AF_INET]45.138.100.100:443
2024-11-19 12:42:01.319734 Socket Buffers: R=[131072->524288] S=[131072->524288]
2024-11-19 12:42:01.319754 Attempting to establish TCP connection with [AF_INET]45.138.100.100:443
2024-11-19 12:42:01.319819 MANAGEMENT: >STATE:1732009321,TCP_CONNECT,,,,,,
2024-11-19 12:42:01.394129 TCP connection established with [AF_INET]45.138.100.100:443
2024-11-19 12:42:01.394258 TCPv4_CLIENT link local: (not bound)
2024-11-19 12:42:01.394287 TCPv4_CLIENT link remote: [AF_INET]45.138.100.100:443
2024-11-19 12:42:01.394387 MANAGEMENT: >STATE:1732009321,WAIT,,,,,,
2024-11-19 12:42:01.459754 MANAGEMENT: >STATE:1732009321,AUTH,,,,,,
2024-11-19 12:42:01.459874 TLS: Initial packet from [AF_INET]45.138.100.100:443, sid=8bb5d809 e4d2246f
2024-11-19 12:42:01.623702 VERIFY OK: depth=1, CN=TG-VPN-CA
2024-11-19 12:42:01.624272 VERIFY KU OK
2024-11-19 12:42:01.624293 Validating certificate extended key usage
2024-11-19 12:42:01.624305 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
2024-11-19 12:42:01.624314 VERIFY EKU OK
2024-11-19 12:42:01.624323 VERIFY OK: depth=0, CN=server
2024-11-19 12:42:01.807156 Control Channel: TLSv1.3, cipher TLSv1.3 TLS_AES_256_GCM_SHA384, peer certificate: 2048 bits RSA, signature: RSA-SHA256, peer temporary key: 384 bits ECsecp384r1
2024-11-19 12:42:01.807312 [server] Peer Connection Initiated with [AF_INET]45.138.100.100:443
2024-11-19 12:42:01.807339 TLS: move_session: dest=TM_ACTIVE src=TM_INITIAL reinit_src=1
2024-11-19 12:42:01.807495 TLS: tls_multi_process: initial untrusted session promoted to trusted
2024-11-19 12:42:03.120961 MANAGEMENT: >STATE:1732009323,GET_CONFIG,,,,,,
2024-11-19 12:42:03.121794 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
2024-11-19 12:42:03.206532 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1,dhcp-option DNS 10.9.0.1,dhcp-option DNS 10.8.0.1,sndbuf 524288,rcvbuf 524288,route 10.8.0.1,topology net30,ping 5,ping-restart 30,socket-flags TCP_NODELAY,compress,ifconfig 10.8.0.93 10.8.0.94,peer-id 0,cipher AES-128-GCM'
2024-11-19 12:42:03.206951 OPTIONS IMPORT: --sndbuf/--rcvbuf options modified
2024-11-19 12:42:03.207169 Socket Buffers: R=[524288->524288] S=[525000->524288]
2024-11-19 12:42:03.207195 OPTIONS IMPORT: --socket-flags option modified
2024-11-19 12:42:03.207218 OPTIONS IMPORT: --ifconfig/up options modified
2024-11-19 12:42:03.207237 OPTIONS IMPORT: route options modified
2024-11-19 12:42:03.209474 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
2024-11-19 12:42:03.235259 Opened utun device utun4
2024-11-19 12:42:03.235427 MANAGEMENT: >STATE:1732009323,ASSIGN_IP,,10.8.0.93,,,,
2024-11-19 12:42:03.235454 /sbin/ifconfig utun4 delete
                           ifconfig: ioctl (SIOCDIFADDR): Can't assign requested address
2024-11-19 12:42:03.265758 NOTE: Tried to delete pre-existing tun/tap instance -- No Problem if failure
2024-11-19 12:42:03.265823 /sbin/ifconfig utun4 10.8.0.93 10.8.0.94 mtu 1500 netmask 255.255.255.255 up
2024-11-19 12:42:03.275021 Data Channel: cipher 'AES-128-GCM', peer-id: 0, compression: 'stub'
2024-11-19 12:42:03.275051 Timers: ping 5, ping-restart 30
2024-11-19 12:42:15.881057 /sbin/route add -net 45.138.100.100 192.168.1.1 255.255.255.255
                           add net 45.138.100.100: gateway 192.168.1.1
2024-11-19 12:42:15.891947 /sbin/route add -net 0.0.0.0 10.8.0.94 128.0.0.0
                           add net 0.0.0.0: gateway 10.8.0.94
2024-11-19 12:42:15.903077 /sbin/route add -net 128.0.0.0 10.8.0.94 128.0.0.0
                           add net 128.0.0.0: gateway 10.8.0.94
2024-11-19 12:42:15.908516 MANAGEMENT: >STATE:1732009335,ADD_ROUTES,,,,,,
2024-11-19 12:42:15.908541 /sbin/route add -net 10.8.0.1 10.8.0.94 255.255.255.255
                           add net 10.8.0.1: gateway 10.8.0.94
                           12:42:15 *Tunnelblick:  **********************************************
                           12:42:15 *Tunnelblick:  Start of output from client.up.tunnelblick.sh
                           12:42:16 *Tunnelblick:  Primary network service: Wi-Fi
                           12:42:18 *Tunnelblick:  Disabled IPv6 for 'USB 10/100/1000 LAN'
                           12:42:18 *Tunnelblick:  Disabled IPv6 for 'AX88179A'
                           12:42:18 *Tunnelblick:  Disabled IPv6 for 'Wi-Fi'
                           12:42:18 *Tunnelblick:  Disabled IPv6 for 'Thunderbolt Bridge'
                           12:42:18 *Tunnelblick:  Retrieved from OpenVPN: name server(s) [ 10.9.0.1 10.8.0.1 ], search domain(s) [ ] and SMB server(s) [ ] and using default domain name [ openvpn ]
                           12:42:18 *Tunnelblick:  WARNING: Ignoring ServerAddresses '10.9.0.1 10.8.0.1' because ServerAddresses was set manually and '-allowChangesToManuallySetNetworkSettings' was not specified
                           12:42:18 *Tunnelblick:  Setting search domains to 'openvpn' because the search domains were not set manually (or are allowed to be changed) and 'Prepend domain name to search domains' was not selected
                           12:42:20 *Tunnelblick:  Saved the DNS and SMB configurations so they can be restored
                           12:42:20 *Tunnelblick:  Did not change DNS ServerAddresses setting of '1.1.1.1 1.0.0.1' (but re-set it)
                           12:42:20 *Tunnelblick:  Changed DNS SearchDomains setting from '' to 'openvpn'
                           12:42:20 *Tunnelblick:  Changed DNS DomainName setting from '' to 'openvpn'
                           12:42:20 *Tunnelblick:  Did not change SMB NetBIOSName setting of ''
                           12:42:20 *Tunnelblick:  Did not change SMB Workgroup setting of ''
                           12:42:20 *Tunnelblick:  Did not change SMB WINSAddresses setting of ''
                           12:42:20 *Tunnelblick:  DNS servers '1.1.1.1 1.0.0.1 2606:4700:4700::1111 2606:4700:4700::1001' were set manually
                           12:42:20 *Tunnelblick:  WARNING: that setting is being ignored; '1.1.1.1 1.0.0.1' is being used.
                           12:42:20 *Tunnelblick:  DNS servers '1.1.1.1 1.0.0.1' will be used for DNS queries when the VPN is active
                           12:42:20 *Tunnelblick:  The DNS servers include only free public DNS servers known to Tunnelblick.
                           12:42:20 *Tunnelblick:  Flushed the DNS cache via dscacheutil
                           12:42:20 *Tunnelblick:  /usr/sbin/discoveryutil not present. Not flushing the DNS cache via discoveryutil
                           12:42:20 *Tunnelblick:  Notified mDNSResponder that the DNS cache was flushed
                           12:42:20 *Tunnelblick:  Not notifying mDNSResponderHelper that the DNS cache was flushed because it is not running
                           12:42:20 *Tunnelblick:  Setting up to monitor system configuration with process-network-changes
                           12:42:20 *Tunnelblick:  End of output from client.up.tunnelblick.sh
                           12:42:20 *Tunnelblick:  **********************************************
2024-11-19 12:42:20.340170 Initialization Sequence Completed
2024-11-19 12:42:20.340196 MANAGEMENT: >STATE:1732009340,CONNECTED,SUCCESS,10.8.0.93,45.138.100.100,443,192.168.1.79,58043
2024-11-19 12:42:21.564051 *Tunnelblick: DNS address 1.0.0.1 is being routed through the VPN
2024-11-19 12:42:21.672283 *Tunnelblick: DNS address 1.1.1.1 is being routed through the VPN

Файл конфига

client
dev tun
proto tcp
remote 45.138.100.100 443
remote-cert-tls server
route-delay 12
keepalive 11 30
auth SHA1
resolv-retry infinite
nobind
tls-version-min 1.2
cipher AES-128-GCM
auth-user-pass

tun-mtu-extra 32
<ca>
[... redacted ...]
</ca>

Может стоит перейти на нормальный протокол?

И что же вы можете предложить лучше openvpn? (Весь тот же функционал, доступность, или больше)

влесс?

Заверните трафик через zapret например: Обход блокировки OpenVPN UDP. · Issue #153 · bol-van/zapret · GitHub

Влесс, реалити и т. п. – это НЕ впн, это прокси. Не путайте тёплое с мягким. Реализовать нормальную двустороннюю связность посредством проксей – может и получится, но будет жуткий велосипед. Прокси решает другие задачи, хоть для обывателя это и похоже.