Хорошо это или плохо, но VPN инфраструктура нашего предприятия построена на базе OpenVPN. В последние 3 месяца операторы мобильных сетей блокируют сам протокол. Даже если VPN брошен в пределах одного города.
Wireguard не слышал, попадает он под блокировки или нет.

Посоветуйте, пожалуйста, альтернативы. Что сейчас работает стабильно? Определенности, что заблокируют в следующий раз нет?

(0) А с нестандартными портами поиграться пробовали? Или делать openvpn точка-точка, без SSL?

Если уж операторы начали гадить, они могут сделать так, что любой трафик, который они не могут классифицировать по белому списку, перестанет работать. И тут единственный способ будет - это VPN с маскировкой и обфускацией. Чтобы имитировать обычный веб-сайт с HTTP. Но в провайдерском DPI могут быть и на такое ловушки, по нехарактерному профилю нагрузки соединения..

(1) Ну без SSL он мне не особо нужен. А вот с портами играть не пробовал. Мне тупо ехать далеко, что бы там точку настраивать.

(3) У меня уже лет 20 openvpn на работу без ssl используется, на статических ключах. С любых сотовых операторов соединяется без особых проблем.

(4) Проблемы начались месяца 3 назад. Выглядит так - сессия устанавливается, проходит 4 пинга, потом все. Перезапускаешь сессию и снова 4 пинга.

Ладно, это вариант. Попробовать на статических ключах.

(5)Звоните вашему оператору, решайте с ним этот вопрос. Если не получится, уходите к другому

(0) С WG тоже месяц-два назад развлекались, на дефолтном порту каждые пару минут соединение рвалось секунд на 30.
Пробросил на роутере с 443го порта на порт WG, какое-то время работало, потом и там также стало, и на других портах тоже.
Но это было не из-за Йоты (с моей стороны), а из-за провойдера на конечной точке, вернее не из-за провайдера, а из-за оборудования РПН перед ним.
Потому что с другими конечными провайдерами, в это же время, было все нормально.
Сейчас нормально, видимо наигрась уже... Надолго ли?

(7) https://habr.com/ru/news/756664/

Нет не надолго.

Можно трафик в web-socket завернуть.
Если его будут блокировать - написать претензию.

Если оператор начинает гадить то нет другого способа решить проблему кроме как смены оператора

вы уверены что проблемы тупо в операторе который "гадит", а не в РКМ-овских правилах блокировки которые еще не на всех раскатали?

(11) Неважно в чем проблема.

Официально использование VPN сервисов не запрещено (неважно каких и кем).
Запрещено предоставление VPN сервисом доступа к запрещенным (заблокированным) ресурсам.

У пользователя нет никаких отношений с РКН, только с оператором связи (провайдером).
Если оператор не предоставляет в полном объеме услугу (ограничивает по сути) - выход только менять оператора.

(12) я к тому что бесполезно менять оператора, глючить в перспективе будет везде

проще найти способ подключение по другим протоколам
= ну и ругаться параллельно конечно

В конечном итоге максимум что они добьются это того что будут простые в установке и настройке VPN
Которые будут резервировать и автоматически переключаться по шлюзам (ip), динамически менять протокол и маскироваться под разные виды трафика

(15) максимум что они добъются, это сделают как в Китае, не стоит их особо недооценивать

(15)+ Например под протоколы аудио/видео связи
Вплоть до стеганографии

(16) В Китае все прекрасно обходится кому надо

(18) кому надо - это не бизнесу, мы сейчас про бизнесприменения говорим

Когда то заставляли регистрировать радиоприемники и запрещали радиопередатчики
Сейчас виток прогресса этот маразм привел в ИТ
Надо просто пережить

(12) Так провайдер не может этого сделать, он не имеет доступа к ТСПУ и за то что мимо ТСПУ пропустит трафик 1-5 лямов или даже уголовочка.

https://iz.ru/1546502/valerii-kodachigov/trafik-vinovat-ne-podkliuchivshikhsia-k-suverennomu-internetu-provaiderov-zhdut-shtrafy

В моем случае (7) блокировки начинались с утра и до конца рабочего дня. Тренировались...

(19) Бизнес может зарегистрироваться, начать проверять и выполнять блокировки внутри своих VPN и попасть в белый список

(22)+ Понятно что мелкий бизнес как обычно идет лесом и страдает
Но в РФ нет опоры на мелкий бизнес

(21) Представь что у тебя перестал работать Skype, Zoom, Telegram и все прочие мессенджеры
Опсос-провайдер на жалобы оговаривается РКН и ТПУ
Твои действия?

(22) вот это правильных подход, да, но в нашем контексте тупо менять провайдеров - неэффективно, менять надо протокол, иначе можно раза по три в месяц можно провайдера менять
(24) ну пожалуешся ты в суд, связь сразу появится? не появится

(25) "Ненадлежащее оказание услуги"

(26) если концы сойдутся на РКН и ТПУ то никакого "ненадлежащего" не будет

(27) Это суд решать будет

(28) пока суд решает, связь не работает

я к чему и клоню, надо менять протоколы и параллельно ругаться, смысла менять провайдеров (в качестве решения проблемы) нет, учитывая что причина реально находится в РКН

(24) Удаленщики терпели, провайдер на РКН кивал, а сменить провайдела там нельзя, складская территори и других туда не пускают.

(24) А что такое ТПУ в этом контексте?

(4) А как его настраивать если много клиентов? А если за некоторыми клиентами подсети?

https://openvpn.net/community-resources/static-key-mini-howto/

"Static Key disadvantages

    Limited scalability -- one client, one server
"

(32) Подсети разруливаются маршрутизацией, к vpn это отношения не имеет. Статический ключ подразумевает, что соединение происходит только между двумя узлами, кстати клиент и сервер там понятия условные. Но этих пар узлов может быть сколько угодно.

(33) Предлагаешь на каждого клиента поднимать по серверу? (мне даже по паре серверов придется). Ну и заморочки с маршрутизацией и файрволом имеются. Я их успешно решал скриптами, в которых клиентов можно по именам.

Альтернатива так себе.

l2tp/ipsec пока вроде не блочат
юзать его

(31) "технических средств противодействия угрозам" (ТСПУ)

(35) Тоже к этому склоняюсь.

(34) Какие проблемы накидать кучу .conf файлов в каталог конфигурации, со скриптами маршрутизации внутри?

(36)+ обычно это такая коробочка, где внутри по сути китайский роутер, который списки блокировок обновляет с РКН
и пропускает через себя весь трафик который на него завернул оператор/провайдер
ставится на линиях оператора

+(38) ну будет у вас не один tap-интерфейс, а по интерфейсу на клиента. Какие проблемы?

(37) а еще лучше поднять пару-тройку нешифрованных каналов и сделать на них bounding
и пусть ипутся...

(41) *bonding

(40) и по порту на клиента и как минимум отдельный конфиг на каждого клиента, что усложняет работу на местах. -1 к унификации +100 к проблемам.

Нет, можно так делать. Но не нужно.

(43) Ставишь клиенту кинетик
Все vpn и маршруты на нем, причем удаленно настраиваешь
Клиенту пофиг что и как у него будет или работает или нет

(44)+ например я когда этим занимался в магазинах кинетики там резерв каналов связи (проводной + lte или два lte разных опсосов)
внутри vpn аналогично основной и резервный

работало достаточно надежно, если конечно центральный сервер не упал или все каналы на нем
маршрутизация между магазинами шла через центральный

https://www.softether.org/
и как вариант обратит внимание на
Revolutionary VPN over ICMP and VPN over DNS features.

(46) softether запутанная глючная японская хрень

Outline VPN наше все

(35) если верить ссылке в (8) - c IPSec тоже не все гладко, потому что пытаются блочить IKEv2. Хотя с L2TP, кажется, используют первую версию...

А вот подключат нейросети к классификации трафика на разрешенный/запрещенный по комбинациям адресов, портов, профилю нагрузки, наличия шифрования - попляшем тогда..

(49) Это невозможно в ближайшем обозримом будущем.
И даже если попытаются - формировать фиктивный трафик (пустой в дополнение к реальному) не проблема, для маскировки.

(50) Наличие фиктивного трафика тоже будет замечено как отклонение от типичного профиля. Заблокируют автоматически, и пишите потом претензии, ждите ответа.
Как сбербанк начал делать уже, при действиях со счетом, которые отличаются от типичных, могут просто заблокировать действия по нему, до связи с техподдержкой.

(52) Сбербанк это делает на основании 115-ФЗ и прочих
А тут уже тоталитаризмом с перлюстрацией попахивает

(53) :) тю, тоже мне, проблема. Закончик нарисуют за несколько дней и сразу примут, как они умеют. Долго ли?

(53) Умные юристы напишут толкование, что перлюстрацией следует считать только прочтение сообщений человеком, а не алгоритмом. И автоматический анализ сообщений не означает нарушение тайны переписки и так далее. Ведь нет же ни одного человека, который это читает или смотрит. А то что алгоритм анализирует и принимает решение - ну так то машина бездушная.

(53) <А тут уже тоталитаризмом с перлюстрацией попахивает>
попахивает...хах