Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: Twinity 01. 03. 2016, 17:56:17
-
Zdravím,
neví někdo, zdali se dá obejít FUP pomocí VPN, která komunikuje přes port 443 u některých z operátorů?
Nikde nemůžu dohledat přesný informace o tom, jak jejich FUP přesně funguje.
-
Obávám se, že to budeš muset zkusit. Například openvpn prý jde snadno poznat podle magic stringu (nezkoušel jsem)
iptables -I FORWARD -o eth0 -p tcp --dport 443 -m string --algo bm --hex-string '|00 0e 38|' --from 20 --to 80 -j LOG
taky HTTPS spojení typicky bude pár požadavků a konec, VPN poběží trvale. Atd.
-
Myslim ze pomoci VPN FUP neobejdes, jelikoz OP ma z 99% VPN prave ve skupine ktera se orezava pri vyprseni FUPka nejvice.
napr. u O2 VPN spada do sede zony spolu s https
-
je snad jedno jestli 10MB stáhnu přes VPN nebo klasickym spojením. Furt to bude co se týče obsahu stejné
-
je snad jedno jestli 10MB stáhnu přes VPN nebo klasickym spojením. Furt to bude co se týče obsahu stejné
Nebo spis vetsi, ne? Kdyz se jedna komunikace bali do jine, tak tam asi bude vznikat nejaky extra binec, ktery se take musi prenest.
-
je snad jedno jestli 10MB stáhnu přes VPN nebo klasickym spojením. Furt to bude co se týče obsahu stejné
Ty sis jeste nevism, ze nekteri to vylepsili tak, ze nektere protokoly se do FUP pocitaji vic a jiny min? A to je presne to, o co mu de, ze kdyz ten tunel posle pres http, tak se do fup pocitat nebude.
A jako fakt, da se udelat sifrovanej tunel, kterej se zvenku bude jevit jako nesifrovany http. Samotny pouziti portu stacit nemusi. Ale protokol v protokolu proleze i pres proxy.
-
Nebo spis vetsi, ne? Kdyz se jedna komunikace bali do jine, tak tam asi bude vznikat nejaky extra binec, ktery se take musi prenest.
jde zapnout lzo komprese, takze muze byt mensi
jestli se ale bavime o FUP, tak jde asi o torrent? a na multimedia lzo nefunguje
-
Ne, nejde. Zdrojová IP se samozřejmě nemění, takže pořád jsi připojen k operátorovi přes svoji IP a tím pádem máš svoje FUP.
FUP pokud vím funguje na síťové vrstvě, takže jak by jsi chtěl změnit něco na nižší vrtsvě nečím na vyšší vrstvě.
Prakticky: Mám ADSL a 8MB/512kB - vytvořím tunel ... tunel jede rychlostí 512kB, protože jede symetricky.
-
on by asi delal vpn z domova nekam jinam, takze je mu jedno rychlost
spis mu de o to, jestli na 443 prolezou data, kdyz uz ma skoro vsechno doma zariznuty tim FUP
ja poradim, ze by to mel zkusit nebo prejit k nekomu bez FUP
-
Prakticky: Mám ADSL a 8MB/512kB - vytvořím tunel ... tunel jede rychlostí 512kB, protože jede symetricky.
A na tuhle blbost si prisel kde?
-
To kdyby VPN server byl někde doma na nesym lince
-
U vodafonu by v případě připojení turbo nedošlo ke zpomalení, pokud by bylo tunelováno přes 443, nebo jiný port, který je uvedený v kolonce Nedochází ke zpomalení po dosažení 20 GB
http://www.vodafone.cz/podminky/podminky-doplnkovych-sluzeb/podminky-sluzby-mobilni-pripojeni-turbo/ (http://www.vodafone.cz/podminky/podminky-doplnkovych-sluzeb/podminky-sluzby-mobilni-pripojeni-turbo/)
Klidně postačí i ssh tunel a nebude se počítat do fupu. Nebo použít port 443, nebo porty pro imap, pop3, smtp, atd.
-
bych myslel, ze treba analyzujou pakety, tak port nestaci, ale asi je portera zkusit
-
bych myslel, ze treba analyzujou pakety, tak port nestaci, ale asi je portera zkusit
Myslím, že analýza paketů není legislativně možná, u nás ve firmě (ISP) jsem navrhoval, že bychom mohli přijít se službou cachování často navštěvovaných webů či stahovaných souborů, a bylo mi řečeno, že to není možné, že bychom museli analyzovat a zasahovat do komunikace atd, a že to nemůžeme, protože nějaké zákony tomu brání.
-
Taky jsem nad tím uvažoval. IMHO používaj DPI pro detekci paketů, takže "jen" změnit port na 443 by nestačilo, protože to nemá charakteristiku HTTPS spojení. Nicméně i velký čínský firewall se s úspěchem obchází přes kombinaci stunnel + OVPN. Právě stunnel by měl zaručit, že to žádnej chytrej firewall nevyhodnotí jako podezřelý traffic. Kdyžtak to někdo pls vyzkoušejte a podělte se o info. Thx
-
Myslím, že analýza paketů není legislativně možná, u nás ve firmě (ISP) jsem navrhoval, že bychom mohli přijít se službou cachování často navštěvovaných webů či stahovaných souborů, a bylo mi řečeno, že to není možné, že bychom museli analyzovat a zasahovat do komunikace atd, a že to nemůžeme, protože nějaké zákony tomu brání.
Nebudu se vyjadřovat k zákonům, ale je to hrozná prasárna. Zákazník očekává, že si kupuje internetové připojení, ne transparentní proxy. Dokonce i méně znalý zákazník očekává, že si kupuje internetové připojení jako ostatní, i když třeba sám neví, co to přesně znamená. V dnešní době se dejme tomu dá tolerovat CG-NAT, protože IPv4 adresy prostě nejsou. ISP samozřejmě může poskytnout další vlastní služby jako je třeba proxy, a aktivně je zákazníkovi nabízet.
I když je pravda, že se člověk v tomto světě potkává s ledasčím a třeba zaměstnanci O2 se mnou běžně mluvili o připojení rychlosti 6 mbit, ačkoli se po tom připojení nedalo odeslat více než stovky kilobitů. Podobně zaměstnanci UPC za 100 mbit označovali připojení, přes které člověk pošle cca megabajt. Když se k tomu přidá omezování na základě konkrétních protokolů, tak už by mě nepřekvapila ani manipulace s komunikací.
-
Myslím, že DPI právě nemohou používat.
-
existuje neco jako sitova neutralita, tudiz neni legislativne mozne jednak zasahovat do provozu, jednak omezovat/uprednostnovat jednotlive cile/zdroje provozu a provadet dalsi veci. Ted zrovna visi v EU parlamentu dasli vec, ktera se sitovou neutralitou souvisi - tyka se (ne)dorucovani spamu zakaznikum - proste legislativne nebude mozne defaultne odmazavat zakaznikum spam na urovni serveru, pokud si o to vyslovene nepozadaji.
Pokud vam nestiha konektivita, tak je rozhodne lepsi a cistejsi cesta posileni privodu. Jit cestou transparentnich proxy je prasarna nejvyssiho radu, silne nedoporucuji.
BTW u vetsich provideru si poskytovatele obsahu umistuji CDNky, coz je ve vysledku cache, ale toto urcite nebude vas prikpad.
-
Ted zrovna visi v EU parlamentu dasli vec, ktera se sitovou neutralitou souvisi - tyka se (ne)dorucovani spamu zakaznikum - proste legislativne nebude mozne defaultne odmazavat zakaznikum spam na urovni serveru, pokud si o to vyslovene nepozadaji.
Ach to je tak báječný a chytrý nápad! A taky zavirované emaily zásadně doručovat!!! Ještě že tady tu Brusel máme!!!
P.S. Vzpomínám, kterak v Bruseli zahazavali v europarlamentu všechny maily europoslancům - zcela úmyslně - poté, co jim lidi na popud švédských Pirátů začali posílat masově ohlasy na nějaký podobně geniální nápad týkající se internetu.
-
Jediné, co reálně funguje např. i u českých mobilních operátorů je tunelování přes ICMP.
-
U Vodafonu obchazim VPNkou na PPTP, pres OpenVPN (ani na 443) mi to negungovalo (FUP jsem neobesel).
-
...Zákazník očekává, že si kupuje internetové připojení, ne transparentní proxy. ...
Mi povidej, zakaznik pres moje varovani, ze to nebude fungovat, chtel nasadit prave transparentni proxy ... mno po cca mesici se to zrusilo. Normalni web jeste jakz takz OK, ale ... trebas nektery banky (bezici pres javu) proste nefungovaly (pres nakonfigurovanou proxy jo, ale ne pres transparentni). A narazelo se na dalsi a dalsi veci, ktery pres to provozovat bylo minimalne narocny na konfiguraci.
BTW: ISPcku by daleko vic ulehcilo mit torrent cache (nebo jeste lip, verejnej prostor pro sdileni filmu, muziky a her), coz je taky legislativni dilema. Pisu dilema, protoze by se i na to dalo pohlizet jako na technicky prostredek, stejne jako router/kabel/switch ...
...
Ach to je tak báječný a chytrý nápad! A taky zavirované emaily zásadně doručovat!!! Ještě že tady tu Brusel máme!!!
...
Spis jde o to, aby ti do toho nehrabal nejakej dobroser nekde cestou bez tvyho vedomi. Takze pokud si vylozene nevyzadas likvidaci zavirovanych mailu, tak by ti mely byt spolehlive doruceny ;D.
-
BTW: ISPcku by daleko vic ulehcilo mit torrent cache...
Chapu, ze u maleho ISP muze torrent zpusobovat spicky na privodu, vice problemu ale zpusobi na posledni mili.
Presto si dovolim oponovat, torrent tvori radove jednotky procent celkovyho toku. Zato streamovane video, ktere je navic navic narocnejsi na prenos (musi byt dopraveno vcas) dela 30% tafficu.
-
Zato streamovane video, ktere je navic navic narocnejsi na prenos (musi byt dopraveno vcas) dela 30% tafficu.
No větší ISP dosáhnou třeba na tohle: https://isp.google.com/iwantggc/ (https://isp.google.com/iwantggc/).
-
Jde.
Obchazim tak FUP u O2.
Nasel jsem si mensi firmu, ktera nabizi VPN servery i v cesku a stoji to kolem 50Kc mesicne..
Zkousel jsem ruzne kombinace VPNek. Jedine co funguje je pokud cely provoz jede pres https (443). Bohuzel OpenVPN musi byt spravne nastavene na tento port (na serveru) coz neni bezne.
A tady prichazi se spasou Microsoft :D SSTP - proprietarni protokol, ale funguje dokonale (jede defaultne na 443).
Na windows to ma implicitni podporu, na mac jsem nasel free program EasySSTP (trochu horsi vykon nez na windows).
Pro linux jsem nehledal.
-
Pokud pouzivaj heuristiku provozu, tak Vam to neprojde. Prakticky vyzkouseno.
-
Mohu potvrdit, že tunelování přes VPN s protokolem SSTP při současném zapnutém šifrování dat spolehlivě obejde FUP u O2. Používám PureVPN.
-
Ehm, jak to myslite s tim zapnutym sifrovanim? Bez nej by to nebylo VPN ale jaksi jen VN.
-
No ale ona je povinná síťová neutralita. Tedy mít různá FUP pro různé druhy provozu zakázala EU?
-
No ale ona je povinná síťová neutralita. Tedy mít různá FUP pro různé druhy provozu zakázala EU?
Asi ne, o2 sou smejdi co treba nepocitaj do fup nejake weby s kterejma se dohodnou a prochazi jim to.
-----
Cili staci rozjet openvpn na 443 a nezapocitava se fup? To se me nezda...
-
Zdravím, neví někdo, zdali se dá obejít FUP pomocí VPN, která komunikuje přes port 443 u některých z operátorů?
Nikde nemůžu dohledat přesný informace o tom, jak jejich FUP přesně funguje.
Záleží, jak je ten FUP postavený – někde jsem viděl pravidla taková, že Facebook, lžiDnes a něco dalšího se do limitu nepočítalo – pak bys mohl tunelovat VPN přes zprávy posílané přes Facebook (na druhém konci bys měl účet, který by s tebou „chatoval“). To by bylo konečně nějaké užitečné využití této služby.
Ale otázka je, jak dlouho by to fungovalo – Facebook (a NSA) by si všiml, že ve zprávách neposíláš slova v žádném přirozeném jazyce ale třeba Base64 a posíláš toho hodně. ISP by si zase všiml, že intenzivně využíváš Facebook (ale neviděl by dovnitř, takže tam by to vadit nemuselo – mohl by si myslet, že odtamtud stahuješ nějaké srágory a nahráváš tam fotky).
-
Zdarte,
funguje prosím někomu obcházení FUP u Vodafone?
-
Mozes to vyskusat este cez ICMP. Skus dat do googlu "Covert channel HTTP/ICMP...".
-
Taky se tunluje pres DNS. Clovek si na to musi nekde rozjet server na necem jako RPi. Vyhoda je, ze to casto chodi i na vselijakych placenych sitich, jako trebna na letistich, kde to jeste nejede zadarmo, protoze DNS provoz obvykle pousteji ven.
-
Taky se tunluje pres DNS. Clovek si na to musi nekde rozjet server na necem jako RPi. Vyhoda je, ze to casto chodi i na vselijakych placenych sitich, jako trebna na letistich, kde to jeste nejede zadarmo, protoze DNS provoz obvykle pousteji ven.
A nebo jen na servery, predane v DHCP :-(.
-
A nebo jen na servery, predane v DHCP :-(.
Mozne je vsechno, nicmene DNS patri asi k vecem, ktere v takovych sitich nepovazuji za nutne blokovat. Nestoji zo za tu praci, protoze sance, ze nekdo pouzije DNS tunelling je dost miziva. Hrozi to leda tak u maleho procenta uzivatelu Linuxu/BSD.
Osobne jsem zkousel pristup na DNS Googlu z letiste v ublinu, kde se normalne z browseru clovek dostal jen na captive portal. Chodilo to. Dneska tam maji snad wifi zdarma, jak jsem slysel, ale nezkousel. Ale jinde by to mohlo byt sikovne.
-
Jde.
Obchazim tak FUP u O2.
Nasel jsem si mensi firmu, ktera nabizi VPN servery i v cesku a stoji to kolem 50Kc mesicne..
Zkousel jsem ruzne kombinace VPNek. Jedine co funguje je pokud cely provoz jede pres https (443). Bohuzel OpenVPN musi byt spravne nastavene na tento port (na serveru) coz neni bezne.
A tady prichazi se spasou Microsoft :D SSTP - proprietarni protokol, ale funguje dokonale (jede defaultne na 443).
Na windows to ma implicitni podporu, na mac jsem nasel free program EasySSTP (trochu horsi vykon nez na windows).
Pro linux jsem nehledal.
A funguje ti to i na LTE ? obecně se mi nedaří pripojit na VPNku u O2 na 4G.
kdyz prepnu telefon na 3G tak vpn funguje. jenze pokryti 3G je dost tragicky.
-
Pred vela vela rokmi to bolo pre mna aktualne u SK T-Mobile, nakolko som mal "neobmedzene surfovanie", ale platilo to len pre HTTP/HTTPS... OpenVPN nastavit na TCP/443 nestacilo, ale ked som ho pustil cez stunel... uz to fungovalo ;)
Akurat ten overhead opevpn cez stunel cez edge, to bolo utrpenie.
-
https://github.com/matiasinsaurralde/facebook-tunnel
Tady už někdo realizoval tunel přes Facebook. Ale ta závratná rychlost.. :D