Vergogna France Telecom - deep packet inspection!

[kbios]

Visto che non è specificato che questo sottoforum è dedicato solo ai provider italiani, ne approfitto per fare un piccolo sfogo
In Francia ho una connessione adsl con orange (ovvero France Telecom, l'incumbent), attestata su una centrale da 9000 linee con 4 operatori in ULL. In questi mesi ho notato che per alcuni periodi (giorni), la mia vpn verso l'italia funziona da schifo, con velocità nell'ordine dei bytes per secondo e ping che portano o a latenze di secondi o a >80% di pacchetti persi. In altri momenti invece funziona tutto perfettamente. Così mi sono messo a fare prove: cambiare porte, passare da udp a tcp come incapsulamento, persino giocare con i parametri del modem etc senza nessun risultato. Finchè...
preso dalla disperazione ho provato a fare una connessione diretta http con lo stesso server. Nessun problema. Ho fatto altre prove, per esempio generando pacchetti casuali e mandandoli al server e vedendo che dopo poco venivano bloccati esattamente come quelli della vpn.
CONCLUSIONE: in determinati momenti, forse quando la rete è satura, france telecom va a ispezionare in profondità il contenuto dei pacchetti, ed è in grado di differenziare una connessione http da una vpn (o da pacchetti casuali) sulla stessa porta tcp! A mio parere un comportamento assolutamente vergognoso.
Che ne pensate?

[attackment]

per certi versi torto torto non ne ha, almeno a mio avviso, evito i motivi altrimenti si scatena un pandemonio, posso dire pero che in germania non accede, almeno non con il mio provider.

[kbios]

beh in realtà sarebbe molto interessante sapere per quali motivi pensi che sia corretto, così si può parlarne

[attackment]

Quote:

Originariamente inviato da kbios

beh in realtà sarebbe molto interessante sapere per quali motivi pensi che sia corretto, così si può parlarne

spero vivante non si scateni un flame mostruoso, con tutto il cuore.

pensiamo un momento a facebook, google quindi il tubo, e netflix e compagnia bella, fanno un traffico impressionante, eppure non sganciano un cents per le reti dove passa il LORO traffico, che genera utili A LORO, i gestori che subiscono questo traffico vedono le loro reti saturarsi a causa loro(ovviamente non in modo completo ma poco ci manca) è normale che debbano prendere provvedimenti.

magari nel tuo caso c'è qualche sbaglio, questo è sicuro, non vedo che senso abbia bloccare una vpn, ma se magari loro mettono un limite al tubo e con la vpn lo si sorpassa.....ma a mio avviso meglio segare servizi ciucciabanda e far navigare tutti che inchiodare tutti.

è un mio punto di vista ovviamente, non dico sia giusto debbano pagare google e facebook, ma neanche che se ne sbattano come fanno adesso.

[Supr3mo]

Vuoi dirmi che se ti fai un tunnel ssh sulla 443 il traffico ti viene segato o stai parlando solo della 80?

[kbios]

Quote:

Originariamente inviato da attackment

spero vivante non si scateni un flame mostruoso, con tutto il cuore.

pensiamo un momento a facebook, google quindi il tubo, e netflix e compagnia bella, fanno un traffico impressionante, eppure non sganciano un cents per le reti dove passa il LORO traffico, che genera utili A LORO, i gestori che subiscono questo traffico vedono le loro reti saturarsi a causa loro(ovviamente non in modo completo ma poco ci manca) è normale che debbano prendere provvedimenti.

Be a mio modo di vedere facebook&co pagano i loro provider di transito per il traffico che generano, e noi paghiamo i nostri provider per ricevere detto traffico. Quindi i gestori non dovrebbero preoccuparsi di chi comunica con chi

Quote:

Originariamente inviato da Supr3mo

Vuoi dirmi che se ti fai un tunnel ssh sulla 443 il traffico ti viene segato o stai parlando solo della 80?

Non ho provato ssh perché non mi fido ad aprire il firewall sulla 22 (il server ssh è accessibile solo dalla intranet), però la vpn viene bloccata su qualsiasi porta, tcp o udp; mentre per esempio l'http sulla stessa identica porta passa regolarmente

[Supr3mo]

l'unica idea è quella di provare una vpn via ssl/tls, dubito che riescano a riconoscere il traffico rispetto al normale https sulla 443

[kbios]

Io uso openvpn, che per quanto ne so usa tls per l'autenticazione. Sinceramente non ho idea di come facciano a distinguerla

[kbios]

Purtroppo ho solo copertura adsl (nemmeno vdsl, essendo a 2km dalla centrale), però sto seriamente pensando di farmi una connessione con free, se non altro a differenza di orange danno un ip statico e non fanno porcate come bloccare a tutti la porta 25...

[Kelso81]

Se io sono un provider e voglio fare shaping applicativo, è ovvio che devo fare Full Inspection altrimenti la maggior parte del traffico lo considero HTTPS o SSH e la mia azione è molto meno efficace.

Non ci vedo nulla di vergognoso in questo, piuttosto si potrebbe volere scegliere un altro operatore (come se non si vuole shaping su P2P e simili, ma questo è un altro tema).

[Supr3mo]

Quote:

Originariamente inviato da kbios

Io uso openvpn, che per quanto ne so usa tls per l'autenticazione. Sinceramente non ho idea di come facciano a distinguerla

Ok ma hai provato sulla porta 443? se si e continua a bloccartelo puoi aggiungere un tunnel ssl ( o ssh se non è bloccato ) in modo da confondere il dpi nel caso abbia regole apposta per l'handshake di openvpn