Читатели сообщают, что ночью возникли проблемы с VPN в Беларуси. Что они заметили

Источник материала:

Сегодня читатели из Минска сообщили в редакцию TUT.BY, что ночью, примерно с часу до двух, у них наблюдались проблемы в работе VPN. Рассказываем, что заметили пользователи.

VPN, или Virtual Private Network, переводится как «виртуальная частная сеть» — это обобщенное название технологий, позволяющих обеспечить одно или несколько сетевых соединений поверх другой сети. VPN служит для создания туннеля между двумя компьютерами, по которому передается информация в зашифрованном виде.

О том, что с VPN ночью 16 июля возникли проблемы, нам сообщило несколько пользователей. Также об этом пишут в соцсетях.

Программист Павел Селицкас написал об этом подробный пост в Facebook. Цитируем его с согласия автора.

По словам Павла, у него «сломались» IPSec (набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP) и SSH (сетевой протокол прикладного уровня, позволяющий производить удаленное управление операционной системой и туннелирование TCP-соединений), а также «все, что на него завязано».

Например, у минчанина не работали Git (распределенная система управления версиями, которая была создана создан Линусом Торвальдсом для управления разработкой ядра Linux) и SFTP (протокол прикладного уровня, предназначенный для копирования и выполнения других операций с файлами поверх надежного и безопасного соединения). При этом некоторые другие сервисы, использующие так или иначе SSH, работали.

«SSH блокировался не по Dst. Port (порт назначения. — Прим.TUT.BY). Кидал его на другие порты, на 80, на 443 — бесполезно», — пишет Павел. При этом, по словам автора, не работал и VPN-протокол OpenVPN, а вот новый VPN-протокол WireGuard «выстоял». Tor — бесплатный браузер для анонимной работы в Сети — также продолжил работать.

Павел отмечает, что атака TCP Reset (способ манипулирования интернет-соединениями) не использовалась. «В зависимости от L7 протокола происходит первоначальный обмен одним-двумя информационными сообщениями, затем тишина в эфире. Дальше череда Retransmissions и один RST/ACK в пустоту», — пишет он (орфография и пунктуация сохранены).

Все это продлилось примерно час, с 1.00−1.15 до 2.00 ночи.

Что означают сокращения в посте Павла

— IPSec — это один из самых популярных методов туннелирования именно в enterprise, то есть, в бизнесе, — пояснил 42.TUT.BY Павел. — OpenVPN тоже любят — это разные реализации, которые, в принципе, позволяют достичь довольно схожих целей. Анонимизация и так далее — это побочный продукт использования технологии, а не цель.

SSH — это технология для терминального доступа к удаленным серверам. По сути, он выполняет ту же функцию — шифрует трафик. Вот это можно использовать в том числе для создания других туннелей.

Конкретно в IT эти технологии используются для работы — даже не столько IPSec, сколько SSH. У меня, например, ночью работа встала. Это используется повсеместно — и для доступа к удаленным серверам, и для использования систем контроля версии кода. Много для чего.

— А что значит «SSH блокировался не по Dst. Port»?

— У нас каждая машина имеет собственный адрес — мы называем это IP-адрес. Но у вас на одной машине, на компьютере или сервере есть много разных сервисов: веб-сайт или сервис с игрой, видео. В общем, у каждой службы, у каждого сервиса внутри этого хоста (машины) есть адресация по портам. Соответственно, каждому протоколу, каждой службе в соответствии с различными техническими стандартами присвоен по единому интернет-регистру собственный порт.

У большинства перечисленных технологий есть свой стандартный порт, на котором они работают. Допустим, SSH — это порт 22. HTTP — у не шифрованного веб-трафика порт 80, у зашифрованного — 443 и так далее, и тому подобное.

Некоторые протоколы не предполагают, что порт будет меняться. А некоторые, как OpenVPN, позволяют менять порт любым удобным способом. То же и с SSH.

Я менял на сервере один порт на другой, в том числе и на порты, зарезервированные для веб-трафика — которые 443 и 80. Однако сами порты работали — в браузере сайты спокойно открывались.

В чем может быть причина — возможные варианты

В Сети предположили, что ночью была «тренировка блокировки VPN». Но можно ли в принципе заблокировать VPN?

— VPN понятие обширное, классифицировать их можно по разным параметрам, — поясняет технический директор компании hoster.by Денис Отвалко. — Утверждать, что можно заблокировать все их типы, нельзя.

Да, какие-то можно заблокировать легко и надежно, каким-то можно создать проблемы, но на 100% заблокировать все варианты мне представляется маловероятным или практически невозможным. Если IPsec, например, заблокировать легко, то c SSL VPN (OpenVPN и другие) есть вопросы.

— Как считаете, есть ли сейчас у нашей страны ресурсы расшифровывать трафик «на лету»?

— Честно говоря, я в этом сильно сомневаюсь.

Telegram-канал «ЗаТелеком» сообщает, что, по их данным, в Беларуси GRE (Generic Routing Encapsulation — протокол туннелирования сетевых пакетов) никто не блокировал, и что проблема «у одного из российских апстримов НЦОТа», проще говоря, поставщика соединений с интернетом за пределами страны.

В НЦОТ нам сообщили, что не в курсе возможных проблем с зарубежными партнерами, но у Национального центра обмена трафиком «никаких аварий не было».

Напомним, что 16 июля по сообщениям наших читателей и пользователей Сети примерно с двух до трех часов ночи также наблюдались проблемы в работе Telegram.

Теги: Минск