Пользователи из разных регионов РФ вновь сообщили о проблемах в работе протоколов OpenVPN и Wireguard. Сбои наблюдаются как у мобильных операторов (МТС, «Билайн», «Мегафон», Yota, Tele2), так и у «домашних» провайдеров.

Напомню, что первая волна массовых сообщений о проблемах с OpenVPN возникла еще в мае текущего года. Тогда предполагалось, что наличие или отсутствие блокировки может зависеть от установленного у конкретных провайдеров оборудования (технические средства противодействия угрозам, ТСПУ), и новые правила фильтрации применялись только на некоторых сетях или только для определенных групп абонентов в тестовом режиме.

В итоге сбои просто прекратились у большинства пользователей (хотя время от времени проблемы продолжили возникать в разных регионах), а никаких официальных комментариев о произошедшем не поступило.

В начале августа отдельные пользователи вновь стали сообщать о сбоях в работе OpenVPN, но на этот раз проблемы также затронули протокол Wireguard, а вчера и вовсе приобрели массовый характер.

Как уже было сказано выше, проблемы наблюдаются у пользователей МТС, «Билайн», «Мегафон», Yota, Tele2 и «Тинькофф Мобайл», а также у некоторых провайдеров «домашнего» интернета (в основном у небольших региональных провайдеров).

Как сообщают специалисты на форумах ntc.party, «блокируют, по-видимому, все популярные стандартизированные (корпоративные) VPN-протоколы на части провайдеров и в особенности мобильных операторов, возможно, по географической принадлежности AS: если диапазон закреплен не за Россией, то соединение подвергается фильтрации. VPN из-за рубежа внутрь России продолжает работать».

Также ИБ-специалист, известный под псевдонимом ValdikSS, пишет:

«Для тестов установил свежую VPS у Ramnode, но проверял не только на ней.

Для всех VPN-протоколов, кроме L2TP, сначала выполняется обнаружение протокола, затем «проверка» протокола (проверка ответа или мониторинг нескольких пакетов в TCP/UDP-сессии), затем происходит разрыв сессии (TCP) или блокировка прохождения трафика по связке srcip-srcport-dstip-dstport (UDP).

Мобильный Теле2 Санкт-Петербург:

  • L2TP (UDP 1701, без IPsec): пакеты L2TP Control Message (самые первые пакеты сессии) не доходят до сервера на порт 1701
  • IPsec (UDP 500/4500): блокируется прохождение UDP-пакетов после нескольких переданных пакетов во время установления сессии
  • PPTP (TCP 1723): разрывается TCP-соединение после отправки сервером ответа Start-Control-Connection-Reply на первый пакет в сессии Start-Control-Connection-Request, до установки GRE-туннеля не доходит
  • OpenVPN UDP: блокируется прохождение UDP-пакетов после нескольких переданных пакетов DATA после установки сессии
  • OpenVPN TCP: разрывается TCP-соединение после нескольких переданных пакетов DATA после установки сессии
  • WireGuard: блокируется прохождение UDP-пакетов после 5 принятых пакетов данных (Transport Data) с сервера

Проводной МТС Кузбасс:

  • Блокируется только OpenVPN UDP/TCP, L2TP, WireGuard, но не PPTP и IPsec
  • L2TP, в отличие от Теле2, доставляет пакеты на сервер, но ответы сервера блокируются
  • WireGuard: блокируется прохождение UDP-пакетов после первого пакета данных (Transport Data) с сервера

Блокировки отличаются от тех, какие применяют для коммерческих VPN-сервисов (вроде ProtonVPN, Windscribe): их фильтруют с самого первого пакета, не позволяя сессии установиться».

Возникшие проблемы не оставили без внимания и представители ряда VPN-сервисов. К примеру, в Terona VPN сообщают, что у их клиентов возникли трудности с использованием VPN, и в компании «готовятся к переходу на новые более устойчивые к блокировкам протоколы».

Представители Planet VPN так же подтверждают, что «российские операторы связи массово блокируют протоколы OpenVPN, IKEv2 и WireGuard» и обещают пользователям найти другие варианты для обеспечения стабильного подключения к серверам компании.

UPD.

Филипп Кулин, IT-эксперт и автор Telegram-канала «Эшер II» сообщил «Коммерсант FM»:

«Мы точно можем сказать, что Роскомнадзор активизировал свои усилия. Такого никогда не было. Было по нескольким регионам, чуть-чуть, ночью, в выходные обычно. А тут в будний день, долго, достаточно много регионов, и способы блокировки еще отличались. То есть такое подозрение, что это глобальная такая проверка, насколько все работает, насколько блокировки эффективны. Бизнес очень не любит афишировать такие вещи, но хочу заметить, что действительно задело довольно мало. Это в том плане, что крупняков не задело, мелочь мы или не слышим, или молчит».

UPD. 2

Вечером 8 августа 2023 года ValdikSS сообщил, что «сняли блокировки, похоже». По словам специалиста, фильтр был отключен в сторону всех зарубежных диапазонов, однако отдельные фильтры для OVH, Scaleway и Oracle Швеция по-прежнему сохраняются.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    26 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии