Proxpn e outras VPNs no Irã

2

De volta ao mundo livre eu comprei um pacote vitalício de proXPN e o testei com bastante sucesso no Linux.

Agora estou no Irã e tudo falha. Parece que usamos o ITC como ISP - que é o provedor governamental e provavelmente bloqueia qualquer conexão de fontes "não certificadas".

O aplicativo Android do proXPN não é carregado com a mensagem

Can't register device token. Please make sure you have an internet connection and try again

Um amigo meu tem um iPhone e usa o aplicativo OpenDoor, que aparentemente não está disponível no Android. Usando este método funciona para ele. Acabei de receber o OpenVPN Connect - mas ele recusa os arquivos de configuração do ProXPN.

Como não há nenhum pacote oficial do Linux para o proXPN, estou usando o ProXPN OpenVPN Bash Client .

Mas eu não posso usar o proxpn VPN-configuration do nm-applets. devido ao erro:

unknown PPTP file extension

O próprio openvpn também não quer "comer" meu arquivo:

qohelet@Iran:/usr/local/bin$ sudo openvpn --config proxpn.ovpn 
Options error: --nobind doesn't make sense unless used with --remote

O arquivo em si parece:

# Conf from ProXPN Mac OS X 4.0.2 package contents
# Modified and commented where appropriate and necessary.

client
dev tun
proto tcp

# Default configuration is to keep trying forever, we bail after 30 seconds
resolv-retry 30

nobind
persist-key
persist-tun
cipher BF-CBC
keysize 512

comp-lzo
verb 4
mute 5
tun-mtu 1500
mssfix 1450

# Added in the shell script as a flag so configuration can be specified
;auth-user-pass

reneg-sec 0

# Prevent man in the middle spying by other clients
# this is an addition which is not present in ProXPN's conf file
remote-cert-tls server

# Comment out this chunk since our script is Linux only
# and these configuration options are here to primarly deal
# with the built-in Windows firewall
;route-method exe
;route-delay 1
;route-metric 512
;route 0.0.0.0 0.0.0.0

# If you are connecting through an
# HTTP proxy to reach the actual OpenVPN
# server, put the proxy server/IP and
# port number here.  See the man page
# if your proxy server requires
# authentication.
;http-proxy-retry # retry on connection failure
;http-proxy [proxy server] [proxy port #]

# Root CA cert provided by ProXPN
<ca>
-----BEGIN CERTIFICATE-----
#The key...
-----END CERTIFICATE-----
</ca>

# Cert provided by ProXPN, all clients have the same cert.
# While at first this seems problematic, it may be beneficial
# because makes it difficult to identify any individual user
# based only on their cert. This would not be the case if all
# clients had unique certs.

#And here follow keys and certificates...

Agora não tenho certeza do que exatamente causa a incapacidade de se conectar. Poderia ser o protocolo? Os IPs do proXPN não estão bloqueados, como posso ver no ping. Eu poderia alcançar todos: link

Usando o cliente bash do openVPN, obtém-se a seguinte saída:

qohelet@Iran:~$ sudo proxpn

Welcome to the ProXPN OpenVPN Bash Client!

No credentials file found at /etc/proxpn/login.conf, you will be prompted by OpenVPN to login to ProXPN

Which exit node would you like to use?
1) Chicago    5) Dallas    9) NYC      13) Miami
2) Sweden     6) BASIC    10) Stockholm    14) SanJose
3) Netherlands    7) London   11) Prague
4) Singapore      8) LA       12) Seattle
Select an exit node:1
Running: 
/usr/sbin/openvpn --config /etc/proxpn/proxpn.ovpn --remote chi1.proxpn.com 443 --auth-user-pass  --auth-nocache

Mon Nov 16 19:47:48 2015 us=371638 Current Parameter Settings:
Mon Nov 16 19:47:48 2015 us=371831   config = '/etc/proxpn/proxpn.ovpn'
Mon Nov 16 19:47:48 2015 us=371872   mode = 0
Mon Nov 16 19:47:48 2015 us=371906   persist_config = DISABLED
Mon Nov 16 19:47:48 2015 us=371939   persist_mode = 1
Mon Nov 16 19:47:48 2015 us=371969 NOTE: --mute triggered...
Mon Nov 16 19:47:48 2015 us=372014 270 variation(s) on previous 5 message(s) suppressed by --mute
Mon Nov 16 19:47:48 2015 us=372050 OpenVPN 2.3.2 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [eurephia] [MH] [IPv6] built on Dec  1 2014
Enter Auth Username:[email protected]
Enter Auth Password:
Mon Nov 16 19:48:01 2015 us=840598 LZO compression initialized
Mon Nov 16 19:48:01 2015 us=840880 Control Channel MTU parms [ L:1544 D:140 EF:40 EB:0 ET:0 EL:0 ]
Mon Nov 16 19:48:01 2015 us=841014 Socket Buffers: R=[87380->131072] S=[16384->131072]
Mon Nov 16 19:48:01 2015 us=901436 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
Mon Nov 16 19:48:01 2015 us=901629 Local Options String: 'V4,dev-type tun,link-mtu 1544,tun-mtu 1500,proto TCPv4_CLIENT,comp-lzo,cipher BF-CBC,auth SHA1,keysize 512,key-method 2,tls-client'
Mon Nov 16 19:48:01 2015 us=901743 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1544,tun-mtu 1500,proto TCPv4_SERVER,comp-lzo,cipher BF-CBC,auth SHA1,keysize 512,key-method 2,tls-server'
Mon Nov 16 19:48:01 2015 us=901880 Local Options hash (VER=V4): '729fc673'
Mon Nov 16 19:48:01 2015 us=902116 Expected Remote Options hash (VER=V4): 'ce7b442d'
Mon Nov 16 19:48:01 2015 us=902287 Attempting to establish TCP connection with [AF_INET]10.10.34.36:443 [nonblock]
Mon Nov 16 19:48:11 2015 us=904720 TCP: connect to [AF_INET]10.10.34.36:443 failed, will try again in 5 seconds: Connection timed out
Mon Nov 16 19:48:26 2015 us=957119 TCP: connect to [AF_INET]10.10.34.36:443 failed, will try again in 5 seconds: Connection timed out
Mon Nov 16 19:48:41 2015 us=981127 TCP: connect to [AF_INET]10.10.34.36:443 failed, will try again in 5 seconds: Connection timed out
Mon Nov 16 19:48:57 2015 us=4394 TCP: connect to [AF_INET]10.10.34.36:443 failed, will try again in 5 seconds: Connection timed out
Mon Nov 16 19:49:12 2015 us=30729 TCP: connect to [AF_INET]10.10.34.36:443 failed, will try again in 5 seconds: Connection timed out
Mon Nov 16 19:49:27 2015 us=58663 NOTE: --mute triggered...

Estou com poucas ideias agora. Existe uma maneira de usar proXPN um servidor proxy no Firefox. Tentar uma vez simplesmente usando o IP e meus detalhes de login falhou sem nenhum resultado.

Eu ficaria feliz se algum de vocês tiver uma idéia ...

    
por Qohelet 16.11.2015 / 20:00

1 resposta

3

Usando o arquivo de configuração com uma GUI

Se você olhar o script proxpn , verá que o comando emitido é:

openvpn --config $OPENVPN_CONF \
  --remote $remote $PORT \
  --auth-nocache \
  --auth-user-pass $AUTH_CREDS

Se você quiser alimentar o arquivo de configuração do OpenVPN para alguma outra ferramenta (como uma GUI ou um cliente móvel), talvez seja necessário adicionar essas informações extras em algum lugar nos arquivos de configuração:

remote $remote 443
auth-nocache
auth-user-pass $password

Você precisa substituir as variáveis pelos valores adequados. Escolha um dos nós de saída do proxvpn .

Aviso

No entanto, você deve estar ciente de que:

  • O OpenVPN pode usar a porta TCP 443 e pode usar TLS, mas não está sendo executado em TLS / TCP ! O que isto significa é que o seu tráfego será reconhecido como tráfego OpenVPN. Ele não se parece com um tráfego TLS (HTTP / TLS, etc.) padrão.

  • Se você usar o nome DNS do servidor no arquivo de configuração, sua máquina fará uma pesquisa de DNS para foo.proxpn.com fora da VPN (em texto limpo) para obter o endereço IP da VPN remota servidor. As pessoas que visualizam o seu tráfego de DNS poderão saber que você está usando uma VPN.

  • Mesmo que você use o endereço IP no arquivo de confirmação, será muito fácil descobrir que esse endereço IP está fornecendo um serviço de VPN (conhecido).

  • Convém usar uma kill- alterne para evitar vazamentos de informações se o túnel da VPN cair.

Usar uma VPN oculta e protege o que você está fazendo na VPN, mas geralmente o fato de você estar usando uma VPN não está oculto. Algumas pessoas em seu país podem não gostar do fato de que você está tentando contornar suas restrições.

Atualização: DNS deitado

Como @ dave_thompson_085 apontou os endereços IP que você está recebendo são falsos. Isso porque o Irã está mentindo (censurando) muitas consultas ao DNS.

Da França:

$ dig A chi1.proxpn.com
chi1.proxpn.com.    14400   IN  A   50.7.1.243

Usando um servidor DNS no Irã :

$ dig A chi1.proxpn.com @2.189.64.2
chi1.proxpn.com.    889 IN  A   10.10.34.36

Muitos (mas não todos) dos servidores DNS desta lista estão dando a mesma resposta falsa.

O artigo Censura na Internet no Irã: uma primeira análise explica que esse endereço IP (na verdade, 10.10 .34.34 no artigo) está servindo uma página explicando:

Access to the requested website is not possible. For complaints click here."

[...]

Under this system, any web request to a blocked site is redirected to a web page owned by the censor, located at the address 10.10.34.34 (see Figure 1). This address, first established in March 2010 [2], is within private network address space as described by RFC 1918 [32] and is only accessible from inside Iran’s national network.

Outra referência: Estado atual da censura na Internet no Irã

    
por 17.11.2015 / 01:09