Názory k článku WebSocket jako cesta k úniku z příliš restriktivní sítě

Zatim mi stacila openvpn na tcp 443

a kdyby nestačila, tak proč nepoužít sstp ?

Pekny clanok i s navodom, dakujem.
Osobne som zachytil uz davnejsie, ze niekto implementoval tunel, ktory vyuzival DNS. Teda, clovek sa pripojil na wifi (napriklad vo fastfoode), kde "nic neslo", ale dns requesty prechadzaly. Nasledne spustil svoju VPN sluzbu, ktora vyuzivala na komunikovanie so serverom iba DNS requesty. Bolo k tomu potrebne mat jednu domenu a delegovat si na nu resolving. Nasledne requesty ako "chcemPosledny­RedditClanok.mo­jadomena.sk" sa prekladali na zaznamy, kde boli potrebne data. Malo to nic moc efektivitu, ale na gigabitovej sieti si vyskusal, ze zvladne prenasat cca 60 MBps tusim. Aktualne to mam problem vygooglit, lebo tento pristup sa zda byt udomacneny u malwaru...

Ta metoda se obecně jmenuje DNS tunneling a implementuje ji například utilita iodine. Taky o tom můžu někdy napsat, pokud bude zájem. Je to spíš taková zajímavost a hodí se opravdu jen pro nouzové použití.

Za mna to malo nadherne prakticke vyuzitie... IoT. Napriklad GPS tracker by takto vedel bez trapenia sa s "prihlasenim" do siete, rovno komunikovat na viacerych free wifi. Za nas bol ale problem v neschopnosti ludi vyrabajucich HW. Ziaden rozumny GPS tracker nemal wifi a ani chalani, co robili HW na mieru, nemali chut to tam pridat... A ked sme objavili opensource HW od rakusakov, tak sa nam uz nechcelo :/ (a bolo by to aj dost FW vyvoju, co nie je celkom nasa domena).

Zájem je. Jinak funkci trochu popisuje tento web: https://dnstunnel.de/
Je to asi dostačující na pár příkazů přes SSH/ odpovědět na email.

Toto ma v sebe Softether, ale neskusal som ...
(VPN over ICMP, and VPN over DNS)

Ještě tak před pěti lety se dal DNS tunel pohodlně používat na placených letišních a hotelových wifi jako taková nouzovka a třeba 1mbit/s to dalo. Ale především tam, kde proběhla nějaká rekonstrukce wifi a výměna za modernější HW, tak se ty hotspot controllery tomu brání a omezují velikost DNS požadavků, případně blokují TXT nebo DNS dotazy prostě ratelimitují...

Diky za navod, treba se bude hodit. I kdyz jsem cekal ze se to bude tykat webovych aplikaci, ktere jedou v browseru...

Zajímavé řešení. Když narazím na problém s hotelovou sítí, která filtruje porty a protokoly, tak se na ně vyprdnu a připojím se přes své LTE na telefonu. :-) A kvalitativně si nezřídka dost polepším, jak co do propustnosti tak i co do odezvy. Je to smutné, ale je to tak.

To je fajn, ak máš dostatok dát a si v EÚ roamingu. Ak cestuješ mimo EÚ alebo nemáš dáta, tak mobil bude veľmi drahé riešenie. Alebo stačí, že pôjdeš na miesto bez LTE signálu (áno aj ubytovne, hotely sú v takých lokalitách) a mobilný internet bude zrazu nanič.

Samozřejmě, není to všespásné, ale drtivou většinu situací mi to vyřeší. To co je v článku, je vyšší level. Pokud beru pouze území ČR, tak dnes už je LTE i tam, kde by ho člověk kolikrát ani nečekal (v mém případě data od O2 a VDF). V zahraničí je to různé podle lokality.

No já mám zase zkušenost, že tam, kde bych očekával LTE není ani GPRS... Namátkou třeba za Brnem u Ořešína po cestě k Jezírku se na mobilu nepodíváte ani na blbé odjezdy MHD...

Zajimavy napad... Co zkusit wstunnel poustet proste z PostUp skriptu v konfiguraku wg-quick? Wireguard by mel zvladnout, ze WS tunel jeste nebezi pri jeho spusteni.

Přidal jsem link na článek do wiki, kde máme mimo jiné návod na L2 spojení přes WireGuard.

https://wiki.spoje.net/doku.php/howto/network/wireguard

Vďaka za tip. Zaujímavé riešenie. Kedysi som to riešil cez obalenie SSH do SSL, ale toto vyzerá robustnejšie a univerzálnejšie.

To je mi ale zajímavé řešení, myslím, že to hned někde vyzkouším. Jen dodám jedno info k tomu nginxu, jelikož jsem si s websockety užil při nastavování collabora. Pokud by jste na nginxu měli povolené http3, hlavička Host, resp. $http_host se nepoužívá a je třeba použít $http_alt_used.

Já používám už roky corkscrew: Tunnel TCP connections through HTTP proxies. Mám to vlastně jen na ssh.

A na rozdělení provozu ssh/ssl na jednom portu lze použít sslh (nepoužívám) - umí i další protokoly.

Někdy taky stačí ssh tunel + https://github.com/bryanpkc/corkscrew. Výhoda je, že pokud má člověk někde běžící ssh server, tak to nevyžaduje nic víc, než stažení balíčku a úpravu lokálního ssh na klientovi a dá se tedy rozfungovat až poté, co člověk zjistí, že je zaseknutý na http/s.

Zajímavé řešení, aktuálně používám socat SSL tunel (s klientským certifikátem) na portu 443, což zabere jednu IP. Líbí se mi použití web socketů, které to obchází. Bohužel tomu chybí vlastní šifrování dat websocketu (kvůli MIM korporátní proxy) a autentizace.

Tohle vypadá velmi slibně, jdu testovat...
https://github.com/vi/websocat