dpi protocol detection notes

wireguard_iproute_openwrt.txt

@@ -8,12 +8,22 @@
 Ведь openvpn основан на tun, а tun - всегда в разы медленнее решения в kernel mode,
 и если для PC оно может быть не так актуально, для soho роутеров - более чем.
 Wireguard может дать 50 mbps там, где openvpn еле тащит 10.
-Другая важная особенность - затрудненное обнаружение протокола системами DPI.
 Но есть и дополнительное требование. Wireguard работает в ядре, значит ядро должно
 быть под вашим контролем. vps на базе openvz не подойдет ! Нужен xen, kvm,
 любой другой вариант, где загружается ваше собственное ядро, а не используется
 общее, разделяемое на множество vps. В openvz вам никто не даст лезть в ядро.
 
+Если вдруг окажется, что основные VPN протоколы блокируется DPI, включая wireguard,
+то стоит смотреть в сторону либо обфускации трафика до состояния нераспознаваемого
+мусора, либо маскировки под TLS (лучше на порт 443). Скорость, конечно, вы потеряете, но это
+та самая ситуация, которая описывается словами "медленно или никак".
+Маскированные под TLS протоколы DPI может распознать двумя действиями :
+пассивно через анализ статистических характеристик пакетов (время, размер, периодичность, ..) 
+или активно через подключение к вашему серверу от себя и попытку поговорить с сервером по
+известным протоколам (называется active probing). Если вы подключаетесь к серверу
+с фиксированных IP, то активный пробинг можно надежно заблокировать через ограничение
+диапазонов IP адресов, с которых можно подключаться к серверу.
+
 Понятийно необходимо выполнить следующие шаги :
 1) Поднять vpn сервер.
 2) Настроить vpn клиент. Результат этого шага - получение поднятого интерфейса vpn.