Ipsec vpn mtu 1400 что это
Перейти к содержимому

Ipsec vpn mtu 1400 что это

  • автор:

Ipsec vpn mtu 1400 что это

На сайтах проверки анонимности вы часто можете встретить разновидность такой проверки, как VPN Fingerprint. В этой статье мы ответим на следующие вопросы:

Что такое VPN Fingerprint?

Если перевести с английского название VPN Fingerprint (fingerprint с англ. – отпечаток), становится понятно, что речь идет про отпечаток VPN . Действительно, задача данной проверки состоит в том, чтобы обнаружить пользователя, который использует VPN, по определенным цифровым отпечаткам.

На картинке ниже изображены вариации модуля проверки VPN Fingerprint на нескольких известных сайтах проверки анонимности. Полную версию этого модуля вы можете найти в разделе «Информация о системе».

Так все-таки, на основании чего и как происходит эта проверка?

Постараемся все объяснить как можно проще. Если спешите, можете перейти к проблемам в обнаружении или сразу к выводам 🙂

Итак, как это работает. Допустим, вы хотите зайти на какой-то сайт:

  1. Вы вводите в своем браузере нужный сайт и нажимаете enter.
  1. В этот самый момент происходят переговоры между вашим ПК и сервером, на котором расположен данный сайт о том, как будет происходить передача данных.
  • Возможно вы не знали, но все сетевые устройства передают/принимают данные не сплошным потоком, а разбивают их порционно на пакеты.
  • На каждом устройстве заранее установлен максимальный размер пакета, который он может передать (MTU — Maximum Transmission Unit) за один раз.
  • Размер MTU обычно задается вашим провайдером и может быть разный на каждом устройстве.
  1. Устройства сообщают друг другу, какое максимальное количество данных (MSS — Maximum Segment Size) они могут принять друг от друга в одном пакете MTU, это делается с целью:
  • информирования друг друга о возможностях своего интернет-соединения;
  • использования канала передачи данных на всю катушку, с максимальной скоростью.
  1. Модуль проверки, перехватывает эту информацию и анализирует пакеты MTU / MSS.
  • Вообще, стандартный размер MTU 1500, он используется в интернете в подавляющем большинстве случаев.
  • А вот, при подключении по PPTP, L2TP (±IPsec), IPsec IKE пакеты меньше. Это связано с тем, что пакеты помещаются в другие пакеты, что приводит к увеличению их размера. Поэтому операционная система вашего ПК уменьшает значение MTU на сетевом интерфейсе, чтобы предотвратить снижение скорости передачи данных.
  • При подключении по OpenVPN происходит чуть по-другому, система оставляет значение MTU неизменным, но может изменять размер MSS внутри пакета.

    Модуль проверки сверяет размеры пакетов с базой данных различий MTU/MSS и на основании этого делает вывод, используете вы VPN или нет.

Есть очень важные моменты, о которых вы должны знать:

  • Если сайт использует такую проверку, то использует исключительно какую-то своюбазу данных.
  • В текущий момент времени нет единой базы данных, которую бы 100% использовали все сайты, поэтому проверки на каждом сайте могут быть разные.

Насколько точная получается проверка?

Стоит отметить, что обнаружение пользователей, описанным выше способом, хорошо лишь в теории. В реальности зачастую все происходит далеко не столь гладко и вот основные проблемы:

Проблема № 1 – нет единой базы для всех сайтов.

Как уже указывалось ранее, нет единой базы для всех сайтов, которая бы предоставляла всем одинаковые результаты и при этом была бы авторитетной.

Чтобы наглядно продемонстрировать данную проблему:

  • подключимся к VPN;
  • будем использовать разные размеры MTU, например: 1396, 1418, 1420.
  • проверим на трех разных сайтах, как они определят VPN.

Результат проверки на трех сайтах вы можете видеть на изображении ниже.

  • MTU 1396: 2 из 3 сайтов определили VPN;
  • MTU 1418: 2 из 3 сайтов определили VPN;
  • MTU 1420: 1 из 3 сайтов определил VPN.

Как видим, в проверке участвовало всего лишь 3 сайта, а результаты уже у всех разные.

Вы спросите: «Почему же тогда ваш сайт определил во всех случаях, что используется VPN?»

  • На основании своего опыта, мы предположили, что пользователь с таким размером MTU, вероятно подключен к VPN.
  • Мы внесли корректировки в нашу базу данных. Теперь всех пользователей с таким размером MTU будет определять, будто они используют VPN. Хотя в реальности, этого может и не быть (проблема № 2, о ней чуть позже).
  • Мы вам наглядно продемонстрировали, что такой результат будет отображаться только на одном сайте, в данном случае, на нашем.

Если учесть тот факт, что сайтов в мире более миллиарда, и нет единой базы, то вряд ли уважающий себя сайт, будет на сто процентов полагаться только на результат проверки VPN fingerprint.

Проблема № 2 – размер MTU задается провайдером.

Как уже писали, размер пакетов MTU задается вашим провайдером. В большинстве случаев используют стандартный размер MTU 1500.

Но, довольно часто провайдеры используют специфический размер MTU. В большинстве случаев это делают для того, чтобы согласовать работу сетевого оборудования. Например, оборудование Cisco считает размер MTU без учета заголовка, а оборудование Juniper вместе с заголовком L2 и размер MTU у них будет разный, поэтому необходимо согласовать размер MTU.

В качестве наглядного примера, приведем крупных российских провайдеров. Например, в некоторых регионах провайдер Yota использовал MTU 1358, а Мегафон MTU 1440. Оба эти MTU определяются, как подключенные к VPN. Хотя в реальноcти пользователь может и не использовать VPN. Действительно ли на стороне провайдеров есть туннели или это так оборудование настроено, знает лишь провайдер, но пользователей определяет будто они подключены к VPN.

Проблема 3 – MTU меняют сами пользователи.

Довольно часто такую рекомендацию, как сменить размер MTU вручную, можно встретить в Интернете. В некоторых случаях подобная рекомендация может помочь при решении следующих проблем:

  • По неизвестной причине не открываются определенные веб-страницы или появилась/увеличилась задержка при их загрузке.
  • Присутствуют ошибки при передаче файлов.
  • Большой пинг, который необходимо уменьшить и т.д.

Не спешите сразу менять MTU, к этому процессу нужно подходить с умом, поэтому хотим вас заранее предостеречь: если вы выставите неправильное значение, у вас может перестать работать интернет, либо ощутимо пострадает скорость работы.

Чтобы убедиться в несовершенстве проверки VPN Fingerprint, просто сменим размер MTU в своем роутере. Установим, например, значение MTU 1408. В роутере TP-LINK это делается так:

Получим следующий результат:

К VPN мы не подключены, однако сайты определяют, будто мы используем VPN. Как видите, полагаться только на VPN Fingerprint не имеет смысла.

Хотелось бы добавить, что основной задачей данной статьи было не показать, на каком сайте проверке анонимности слабее или сильнее тесты. Все сайты справляются с данной задачей на все сто процентов. А объяснить принцип и наглядно продемонстрировать несовершенство такого способа проверки в целом.

Стоит ли бояться того, что VPN Fingerprint меня обнаружил?

На основании вышеизложенного можно сделать вывод, что бояться этого точно не стоит.

Результат проверки получается весьма поверхностный и к тому же зависит от соблюдения множества условий. Выходит, что нельзя до конца определить используете ли вы VPN или может это у вас настройки провайдера такие, а возможно это просто криво настроен маршрутизатор/софт на ПК, или специально установлен такой размер MTU для удобства взаимодействия с определенными устройствам и т.д.

Поэтому, можете спать спокойно и серфить в интернете не взирая на подобные сообщения, вы в безопасности.

Главное помните, что после смены IP адреса, обязательно удостоверьтесь в следующем:

  • сменился ли ваш IP адрес в реальности;
  • изменен ли ваш DNS (например, Google DNS);
  • нет ли утечки реального IP адреса.

Прокси / VPN Детект — методы пассивного анализа цифровых отпечатков (fingerprints)

Эти инструменты используются для пассивного анализа отпечатков TCP/IP-стека на стороне сервера. По поступающим от вас пакетам данных можно определить, используете ли вы Proxy / VPN, а также вашу ОС, тип соединения, расстояние (количество пройденных узлов), аптайм системы и другую информацию.

Что такое MTU / MSS?

MTU (Maximum Transmission Unit) — задает при передаче данных максимальный размер отправляемого IP-пакета (включая заголовок).

MSS (Maximum Segment Size) — максимальный размер передаваемых данных за вычетом длины заголовка IP-пакета.

Соотношение MTU / MSS в настройках адаптера позволяет оптимизировать пропускную способность канала для более быстрой передачи данных.

Как можно определить использование Proxy / VPN через MTU / MSS параметры?

При прямом соединении вашего устройства с сервером размер MTU имеет одно значение (например, для Ethernet — 1500, для PPTP — 1480), а при соединении через Proxy/VPN по протоколам PPTP, L2TP(±IPsec), IPsec IKE пакеты помещаются в другие пакеты (инкапсулируются), что приводит к увеличению их размера. Поэтому ОС снижает значение MTU на сетевом интерфейсе (например, для IPsec — 1400) во избежание излишней фрагментации пакетов. Так предотвращается снижение скорости передачи данных.

В случае подключения через OpenVPN система оставляет значение MTU неизменным, но может изменять размер MSS внутри пакета.

Поэтому с помощью таблицы различий MTU/MSS и может быть определено наличие Proxy/VPN.

Как защититься от определения информации через MTU / MSS?

Для этого необходимо вручную отредактировать MTU/MSS параметры для сетевого адаптера.

Тест на анонимность 2ip по SoftEther VPN выдает VPN fingerprint

Делаю тест на анонимность 2ip.ru выдает VPN fingerprint MTU 1349 MTU, отключил ускорение UDP по рекомендации на форуме SoftEther VPN, после выдает VPN fingerprint MTU 1317.

Т.е. шило на мыло.

Zemb
22.04.18 19:27:54 MSK

Повторяй, пока не запомнишь: VPN ≠ anonymity

beastie ★★★★★
( 22.04.18 19:52:19 MSK )
Ответ на: комментарий от beastie 22.04.18 19:52:19 MSK

А сколько повторять надо? Ну так, в среднем.

entefeed ☆☆☆
( 22.04.18 20:02:22 MSK )
Ответ на: комментарий от beastie 22.04.18 19:52:19 MSK

VPN ≠ anonymity Ты видно не внимательно читал, вопрос задан был не про анонимность.

Zemb
( 23.04.18 01:19:01 MSK ) автор топика

Задача еще актуальна

Zemb
( 23.04.18 12:38:03 MSK ) автор топика
Ответ на: комментарий от Zemb 23.04.18 12:38:03 MSK

выкрути mtu в конфиге клиента, что тебе мешает?

anonymous
( 23.04.18 12:46:50 MSK )
Ответ на: комментарий от anonymous 23.04.18 12:46:50 MSK

Т.е. ты имеешь ввиду поставить значение 1317 MTU?

Zemb
( 23.04.18 12:52:47 MSK ) автор топика
Ответ на: комментарий от Zemb 23.04.18 12:52:47 MSK

Подправить значение MTU, чтобы на выходе получалось желаемое.

mogwai ★★★★
( 23.04.18 12:54:05 MSK )
Ответ на: комментарий от Zemb 23.04.18 12:52:47 MSK

Сделать такое, чтобы тестом не опредялялось.

anonymous
( 23.04.18 12:56:30 MSK )
Ответ на: комментарий от beastie 22.04.18 19:52:19 MSK

не = в том случае если есть утечка днс, а если таковой нет и взят например отсюда http://dnsrec.meo.ws/ ? поясните ваше утверждение. http://imgsharing.ru/47eb73a2.png

anonymous
( 23.04.18 13:06:38 MSK )
Ответ на: комментарий от anonymous 23.04.18 12:46:50 MSK

В конфиге нет ничего связанное с MTU, полез в конфиг на сервер нашел uint NatMtu 1500, заменил на 1317. 2ip.ru выдает как прежде fingerprint 1317.

Zemb
( 23.04.18 13:45:06 MSK ) автор топика
Ответ на: комментарий от mogwai 23.04.18 12:54:05 MSK

Можно конкретнее, изменения в конфиге ни к чему не привели

Zemb
( 23.04.18 18:59:25 MSK ) автор топика
Ответ на: комментарий от beastie 22.04.18 19:52:19 MSK

Тут в соседних темах особо наивные считают иначе, даже ip свои пишут для ФСБ, считая, что vpn их спрячет, если они сами вдруг понадобятся. Это похоже на самовнушение вида «я в домике», только они об этом не догадываются.

grem ★★★★★
( 23.04.18 19:23:42 MSK )

При установлении tcp соединения, во время хендшейка, определяется mss для пакетов: MSS = MTU — загаловки tcp + ip. Полезная нагрузка должна нарезаться на MSS. Для чего это сделано — для того чтоб пакеты не сегментировались. Например стандартный mtu 1500, по размеру это похоже стандартный payload для фрейма эзернета, следовательно при MTU 1500 — 20 байт (заголовок ip) — 20 байт (заголовок tcp) = 1460 байт MSS, место для полезной нагрузки и тогда один пакет tcp влезет в один фрейм ethernet’а. А если используется тоннель то он тоже должен добавить служебных данных, потому и MSS=1500-20-20-X, где X размер в байтах служебных данных туннеля.

Выход только один, сегментировать пакеты. В случае openvpn на клиенте и сервере нужно его запускать с флагом —mssfix 0 , беда в том, что в nm-applet так сделать нельзя, может уже что исправили(?), но можно просто поправить код и пересобрать.

anonymous
( 23.04.18 19:28:22 MSK )
Ответ на: комментарий от Zemb 23.04.18 01:19:01 MSK

Ты видно не внимательно читал, вопрос задан был не про анонимность.

Заголовок «Тест на анонимность»
Видимо мы все «не внимательно» читаем.
Не понятно что вас парит? Ви таки наркотики/педофилию/etc продавать собрались? Для этого «вроде» есть tor.
Серьезно, огромное кол-во международных компаний выпускают свои филиалы только через свою точку доступа. Типа головная компания в германии, филиал в россии, российский филиал идет через тунель в германию и в инет выходит через их ip. Это стандартная практика.
Падумаешь какой-то mtu. вам пишет об этом только сайт, подчеркиваю только сайт, на который вы зашли, а оно вам не пофигу, если вы не педо-некро-терро-фил?
Также выше написали про возможность фраг-дефраг, это возможно, но нужно ли?

anc ★★★★★
( 25.04.18 08:11:45 MSK )
Ответ на: комментарий от anc 25.04.18 08:11:45 MSK

Ви таки наркотики/педофилию/etc продавать собрались?

Почему у людей только в эту сторону ассоциации работают в первую очередь? Есть же ещё много чего, за что можно отвечать перед законом. Почему сразу такая жесть как наркота/педофилия/продажи обязательно чего то там.

anonymous
( 25.04.18 08:30:04 MSK )
Ответ на: комментарий от anonymous 25.04.18 08:30:04 MSK

Есть же ещё много чего, за что можно отвечать перед законом.

Да наверное, это просто самое распространенное, т.е. не более чем мем. И тащето там etc было. Я хз за что еще сажают.
ЗЫ А не, к etc еще тероров можно добавить

anc ★★★★★
( 25.04.18 08:37:57 MSK )
Последнее исправление: anc 25.04.18 08:41:58 MSK (всего исправлений: 2)

Ответ на: комментарий от Zemb 23.04.18 18:59:25 MSK

Если вы будете выставлять MSS 1460 (MTU 1500), то у вас будет фрагментация пакетов, и VPN будет работать медленнее, чем мог бы. Все эти тесты «на анонимность» от 2ip и whoer — туфта. Говорю вам, как автор теста на MTU, после которого они появились на этих сервисах: https://habr.com/post/216295/

ValdikSS ★★★★★
( 03.05.18 19:40:34 MSK )
Ответ на: комментарий от ValdikSS 03.05.18 19:40:34 MSK

Ну почему все туфта?
Весьма хорош тест на VPN, со сравнением опроса по двум каналам (ICMP и XMLHttpRequest).

aidaho ★★★★★
( 02.06.18 15:55:02 MSK )
Ответ на: комментарий от aidaho 02.06.18 15:55:02 MSK

все эти проверки на анонимность (а потом в конце проценты), никакого отношения к ней не имеют.

anonymous
( 03.06.18 05:55:05 MSK )
Ответ на: комментарий от anonymous 03.06.18 05:55:05 MSK

Я ничего не говорил про анонимность.

Изменение параметров максимального размера единицы передачи (MTU) по умолчанию для подключений PPP или VPN-подключений

В этой статье описывается, как изменить реестр, чтобы изменить параметры максимального размера единицы передачи (MTU) по умолчанию для подключений протокола «точка — точка» (PPP) или для подключений виртуальной частной сети (VPN).

Область действия: Windows 10 — все выпуски, Windows Server 2012 R2
Исходный номер базы знаний: 826159

Аннотация

Windows Server 2003, Windows 2000 и Windows XP используют фиксированный размер MTU 1500 байт для всех подключений PPP и фиксированный размер MTU 1400 байт для всех VPN-подключений. Это параметр по умолчанию для клиентов PPP, VPN-клиентов, серверов PPP или VPN-серверов, на которых выполняется маршрутизация и удаленный доступ.

Подключения PPP — это подключения, такие как модемные подключения, подключения isDN или прямые кабели по NULL-последовательному кабелю или параллельному кабелю. VPN-подключения — это подключения протокола PPTP или протокола туннелирования уровня 2 (L2TP).

Используйте методы, указанные в этой статье, чтобы изменить параметры размера MTU в реестре. Если после изменения параметров размера MTU возникают проблемы или проблемы, связанные с производительностью, удалите добавленные разделы реестра.

Изменение параметров MTU для подключений PPP

Чтобы изменить параметры MTU для подключений PPP, добавьте значение DWORD Типа протокола, DWORD PPPProtocolType и значение DWORD ProtocolMTU в следующий раздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndiswan\Parameters\Protocols\0

Для этого выполните следующие действия.

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения о резервном копировании и восстановлении реестра см. в разделе «Резервное копирование и восстановление реестра в окне».

  1. Нажмите кнопку Пуск, выберите команду Выполнить, в поле Открыть введите regedit и нажмите кнопку ОК.
  2. Найдите и выберите следующий подраздел реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NdisWan\Parameters
  3. Добавьте подраздел « Протоколы» (если он еще не существует):
    1. В меню Правка наведите указатель мыши на Создать, затем щелкните Раздел реестра.
    2. Введите протоколы и нажмите клавишу ВВОД.
    1. Щелкните подраздел «Протоколы», созданный на шаге 3.
    2. В меню Правка наведите указатель мыши на Создать, затем щелкните Раздел реестра.
    3. Введите 0 (ноль) и нажмите клавишу ВВОД.

    Изменение параметров MTU для VPN-подключений

    Чтобы изменить параметры MTU для VPN-подключений, добавьте значение DWORD типа протокола , значение DWORD PPPProtocolType и значение DWORD TunnelMTU в следующий раздел реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndiswan\Parameters\Protocols\0

    Для этого выполните следующие действия.

    В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Для получения дополнительной информации о том, как создать резервную копию и восстановить реестр, см. статью Сведения о резервном копировании и восстановлении реестра Windows.

    1. Нажмите кнопку Пуск, выберите команду Выполнить, в поле Открыть введите regedit и нажмите кнопку ОК.
    2. Найдите и выберите следующий подраздел реестра:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NdisWan\Parameters
    3. Добавьте подраздел « Протоколы» (если он еще не существует):
      1. В меню Правка наведите указатель мыши на Создать, затем щелкните Раздел реестра.
      2. Введите протоколы и нажмите клавишу ВВОД.
      1. Щелкните подраздел «Протоколы», созданный на шаге 3.
      2. В меню Правка наведите указатель мыши на Создать, затем щелкните Раздел реестра.
      3. Введите 0 (ноль) и нажмите клавишу ВВОД.

      Ссылки

      Дополнительные сведения о PPP см. в разделе Request for Comments (RFC) 1548. Для этого см. RFC 1548.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *