Comments | vitus_wagner: openvpn xor patch

vitus_wagner

openvpn xor patch

Feb 13, 2024 14:55

Тут возникла идея для защиты от блокировки openvpn посредством dpi использвать openvpn-xor патч. Поглядел я на этот патч и у меня возникло устойчивое впечатление что от данной поделки надо держаться подальше

Обсуждение патча на сайте людей которые его распростнаяют со своим продуктом содержит следующие моменты

1) As the OpenVPN developers point ( Read more... )

криптография, компьютерная безопасность, open source

Comments 9

berlinux February 13 2024, 12:16:24 UTC

Я использовал этот патч в 2013.
Большой китайский файерволл в итоге просто устраивает шейпинг соединению. Оно работает. На пару килобит в секунду. 😁
Мы в итоге перешли на платное MPLS соединение, которое китайский файерволл не трогает. Но там за канал в 25 мегабит из Шеньженя до Берлина платили порядка 2х тысяч евро в месяц.

meusche February 14 2024, 07:29:26 UTC

Это не китайский firewall, проблема в самом патче.

berlinux February 14 2024, 08:37:41 UTC

Окей.

meusche February 14 2024, 07:37:08 UTC

По определённым причинам, мы пытались добавить xor-обфускацию к своему "туннелю" -- это приводит к деградации канала. Причин не выяснили, есть только наблючдение, что время работы кода в user по показаниям time увеличилось в 5-10 раз, по сравнению с изначальной версией.

PS Кстати, а почему OpenVPN, а не wireguard?

vitus_wagner February 14 2024, 07:50:40 UTC

Это надо посмотреть предыдущие посты по тэгу "криптография"
Вот этот, например https://vitus-wagner.livejournal.com/1674111.html

Там я рассматривал премущества и недостатки openvpn vs wireguard для семейной сети в десяток устройств.

И то получается, что openvpn лучше. Поскольку предоставляет высокоуровневый сервис пропихивая на клиенты DNS и прочие опции, работает по нескольим протоколам (TCP/UDP), умеет делить порт с вебсервером, позволяет на сервере автоматически прописывать подключенных клиентов в DNS.

Если же речь идет о конторе в несколько сотен сотрудников, то большим преимуществом openvpn становится использование ключевой инфраструктуры X.509. Особенно при наличии нескольких точек входа с round-robin DNS. Распределять по этим точкам входа сотни ключей wireguard замучаешься.

vitus_wagner February 14 2024, 09:28:16 UTC

Если продумать,то просадка производительности совсем не удивительна.
Все-таки у нас процессоры нынче 64-битные. И соответственно чтобы эффективно что-то делать надо это делать блоками по 8 байт. А тут байтовые операции.

meusche February 14 2024, 14:29:54 UTC

Речь о 32-битной платформе и xor'илось блоками по 4. Это не помогает (

tzirechnoy February 14 2024, 11:07:31 UTC

А чем всех pre-shared key неустраивает?

Вроде, примерно тожэ самое, только давно есть в openvpn.

vitus_wagner February 14 2024, 19:31:41 UTC

Это tls-crypt который?

Возможно, Великий Китайский Файрвол про него уже знает. К сожалению, shaplov из Китая уже вернулся, так что проверить так просто не получится.

А скорее всего потому что obfsproxy и xor patch легко гуглятся. А прочитать man openvpn от корки до корки это время надо. И некоторые знания в области криптографии не помешают.