VPN Engelleme Başladı >> VPN engellemeyi aşmak için Stunnel kullanın, Twitter ve Youtube’a özgürce girin

VPN-VPN_engelleme-VPN_yavaşlatma-Stunnel

Türkiye’de Twitter ve Youtube’a girip internette özgürce dolaşmanın en kullanışlı yollarından biri VPN. Ancak, kullanıcıların tercih ettiği bazı genel VPN hizmetlerinin de engellendiğini görüyoruz. Şansımıza bu engeli aşmak kolay.

Son olarak bazı VPN sunucuları engellendi. Ancak, VPN ayarlarında “TCP ile bağlan” seçeneğini işaretleyince VPN hizmetini kullanabiliyorsunuz. VPN engelleme varsa önce bunu deneyin.

Gerçi bugün VPN engelini aşmak için elinizde başka bir seçenek daha var: Genel VPN kullanmak yerine, yurt dışından sunucu kiralayıp kendi VPN hizmetinizi kurabilirsiniz. Yine de her ihtimale hazırlıklı olmak lazım.

Türkiye’de ünlü “Çin Güvenlik Seddi” gibi çok gelişmiş bir sansür sistemi kurulursa özel VPN sunucularını bile engelleyebilirler. Oysa bunun da çözümü var. Aşağıda anlatıldığı gibi bilgisayara Stunnel kurarak bu engeli aşabiliriz. Peki Türkiye’de VPN nasıl engelleniyor?

 

VPN-VPN_engelleme-VPN_yavaşlatma-StunnelBağlantı noktası ve IP engeleme

VPN hizmeti, bilgisayarımızdaki bir portu (bağlantı noktası) kullanarak VPN sunucusuna bağlanıyor ve internet trafiğini şifreleyip engellenen sitelere girmemizi sağlıyor. VPN hizmetleri bunun için iki ana port kullanıyor: UDP 1194 ve TCP 443.

Son yapılan engellemede bazı VPN sunucularının IP adresleri ve UDP 1194 portu engellendi. Örneğin Private Internet Access (PIA) kullanıyorsanız, artık VPN’e UDP ile bağlanamıyorsunuz. VPN ayarlarında “TCP ile bağlan” seçeneğini işaretleyerek bu engeli aşabilirsiniz. Öyleyse sansürcüler neden önce bu yöntemi seçti?

 

VPN ayarlarında hızlı bağlantı için UDP 1194 portu ve TCP için de 443 portu kullanılıyor. Bu aslında, güvenli web sitesi bağlantıları için SSL şifreleme desteği sağlayan HTTPS protokolünün kullandığı porttur.

Türkiye ve dünyada TCP 443 internet bankacılığı gibi güvenli hizmetlerde, şirketler ve devlet dairelerinde kullanılıyor. Dolayısıyla Türkiye’de TCP 443 portunu genel olarak engelleselerdi, bankada online havale yapmak bile mümkün olmayacaktı. Aynı şey UDP 1194 için de geçerli.

 

VPN-VPN_engelleme-VPN_yavaşlatma-Stunnelİnterneti sansürlemek için tür takla atıyorlar

Bunun yerine bir kurnazlık yaptılar ve yurt dışından VPN hizmeti aldığınız VPN sunucularının IP adreslerini engellemeye başladılar. Tıpkı Twitter ve Youtube’a yaptıkları gibi. Böylece UDP 1194 portunu genel olarak engellemeden, o portun üzerinden VPN kullanmamızı önlüyorlar.

Genel VPN hizmetleri dünyanın dört bir yanında kullanılıyor. Dolayısıyla bu hizmetlere ait sunucuların IP adresleri de biliniyor. Türkiye’deki sansür otoriteleri önce VPN sunucularının IP adresini öğreniyor, ardından bu adresleri engelliyor.

 

VPN-VPN_engelleme-VPN_yavaşlatma-StunnelDiyelim ki PIA’nın VPN hizmetini kullanıyorsunuz. Bu durumda sansür sistemine (güvenlik duvarı, firewall) şöyle bir komut ekliyorlar: PIA’nın IP adreslerinin UDP 1194 portunu kullanmasını engelle.

PIA gibi OpenVPN tabanlı çözümler, VPN kullanırken internetin yavaşlamasını önlemek için hızlı UDP 1194 portunu tercih ediyor. Bizim kurnaz sansür otoriteleri de IP adresini bildikleri VPN’lerin bu portu kullanmasını önlüyorlar. Dediğim gibi, VPN hizmetiniz çalışmıyorsa ayarlara gidin ve “TCP ile bağlan” seçeneğini işaretleyin.

 

 

VPN-VPN_engelleme-VPN_yavaşlatma-StunnelTürkiye’de sansür daha yeni başladı

Yakında VPN’e bağlanmak için bu basit yöntem yeterli olmayacak ve bilgisayarımıza Stunnel kurmamız gerekecek. Çünkü ülkemizde sansürü geliştirmek için Çin Güvenlik Seddi’ne benzeyen özel bir sistem kurmaya hazırlanıyorlar (The Great Firewall of China).

Bu sistemin bir benzerini İran kullanıyor ve yeni sansür duvarı devreye girdiğinde, TCP 443 portunu seçsek bile VPN’e bağlanamayacağız. Şansımıza bu engeli aşmanın kolay bir yolu var: Bilgisayarımıza Stunnel yazılımını kurmak. Stunnel Çin Güvenlik Duvarını bile aşabiliyor. Peki Çin VPN’i nasıl engelliyor?

TCP 443 portunu seçtiğimizde VPN hizmetimiz SSL şifreleme kullanıyor. Ancak VPN’in SSL şifreleme tekniği ile TCP 443’te HTTPS bağlantıları için kullanılan standart SSL şifreleme tekniği biraz farklı. Çin Güvenlik Duvarı, DPI teknolojisi (derin paket inceleme) sayesinde VPN trafiği kullandığınızı anlıyor ve VPN bağlantınızı kesiyor.

 

VPN-VPN_engelleme-VPN_yavaşlatma-StunnelÇare Stunnel’da

Öncelikle Stunnel, VPN kullanmak için bilgisayarımızdaki yaklaşık 65 bin porttan birini seçmemizi sağlıyor ve VPN bağlantımızı SSL ile şifreliyor. Bu portu istediğimiz gibi değiştirebiliyoruz. Aslında Stunnel, güvenli olmayan TCP portlarını OpenSSL şifrelemesi ile TCP 443 gibi güvenli bağlantı noktalarına dönüştürüyor.

Çin Güvenlik Duvarı, hangi portu seçtiğinizi bilmediği için ve Stunnel ile kurduğunuz şifreli VPN bağlantınızı normal TCP 443 HTTPS trafiğinden ayırt edemediği için VPN kullandığınızı fark etmiyor. Böylece VPN bağlantınızı kesemiyor. Bunun tek dezavantajı Stunnel kurduğunuz zaman internet bağlantınızın yavaşlayacak olması.

 

VPN-VPN_engelleme-VPN_yavaşlatma-StunnelVPN bağlantınızı Stunnel ile gizleyin

Stunnel kullanmak için öncelikle Stunnel destekleyen bir VPN hizmetine abone olmanız gerek. VPN hizmeti aldığınız firmaya Stunnel destekliyorlar mı diye sorun. Cevabı evetse onlara Stunnel ile hangi portu kullanmak istediğinizi söyleyin, ayarları birlikte yapın. Yok ben bununla uğraşamam diyorsanız, şurada anlatıldığı gibi kendi özel VPN hizmetinizi kurabilirsiniz. Buna VPS kurmak diyoruz.

Yurt dışından sunucu kiralayıp içine kendi özel VPN hizmetinizi kurmanın en büyük avantajı şu: Genel hizmet olmadığı için VPN sunucusun IP adresini öğrenmeleri zor olur; yani VPN hizmetinizi kolay kolay engelleyemezler. Ayrıca Stunnel kullanmak için Stunnel’ı hem bilgisayarınıza hem de VPN sunucunuza kurmanız gerek. Kendi sunucunuz varsa bunu birkaç basit adımda, maksimum yarım saat içinde yapabilirsiniz.

 

VPN-VPN_engelleme-VPN_yavaşlatma-StunnelÇocuğa anlatır gibi Stunnel

Stunnel kurduğunuz zaman bilgisayarınız önce Stunnel için seçtiğiniz porta bağlanıyor. Stunnel bu portu şifreliyor ve ardından bu şifreli port ile bilgisayarınızı VPN sunucunuza bağlıyor. Stunnel’ı VPN sunucunuza kurduğunuz için, sunucu sadece belirttiğiniz port üzerinden gelen şifreli bağlantıyı kabul ediyor.

Böylece hem VPN’e bağlandığımızı gizliyoruz hem de kötü niyetli bir kişinin VPN sunucumuzu hacklemesini, yani bilgisayar saldırısı düzenlemesini önlüyoruz. Bu nedenle Stunnel’a mini VPN veya VPN şifreleyen VPN de diyebiliriz. Şimdi nasıl Stunnel kuracağımızı anlatalım:

 

1)      Yurt dışındaki bir firmadan sunucu kiralayın (bulut bilişim hizmeti veren yer sağlayıcı bir firma, hosting firması vb.).

2)      Sunucuya Ubuntu işletim sistemi ve OpenVPN AS yazılımı kurun. Bütün bunları nasıl yapacağınızı şurada anlattık.

3)      VPN sunucunuzun işletim sistemi olan Ubuntu’yu güncelleyin (güncellemek için Windows bilgisayar ile sunucuya nasıl bağlanacağınızı ve Windows’ta siyah komut penceresini nasıl kullanacağınızı aynı yazıda anlattık).

Sunucuya girdikten sonra siyah komut penceresine sırayla şunları yazın:

apt-get update

apt-get upgrade

Böylece sunucumuzun işletim sistemini güncelledik.

 

VPN-VPN_engelleme-VPN_yavaşlatma-Stunnel4)      Ardından siyah pencereye aşağıdaki komutu girerek sunucunuza Stunnel kurun

apt-get install stunnel4 –y

5)      Şimdi sunucuya kurduğumuz Stunnel’ın ayarlarını yapalım (hep siyah komut penceresi içinde çalışıyoruz). Bunun için sunucuda ayarlarımızın kaydedildiği basit bir dosya oluşturacağız.

Stunnel ayar dosyasının adı “stunnel.conf”tur. Stunnel için “/etc/stunnel” dizinin altında bu adla bir dosya oluşturuyoruz.

Siyah pencereye aşağıdaki satırı girin ve “stunnel.conf” dosyasını oluşturun ve dosyayı açın.

nano /etc/stunnel/stunnel.conf

 

VPN-VPN_engelleme-VPN_yavaşlatma-Stunnel6)      Önce kendimize bir güvenlik sertifikası oluşturacağız. Böylece VPN sunucumuz, VPN’e belirttiğimiz porttan bağlanan kişinin gerçekten biz olduğunu anlayacak. “stunnel.conf” ayarlar dosyasına bu SSL sertifikasının yolunu yazacağız (ki bilgisayar sertifikayı nerede bulacağını anlasın). Dosyanın içine şunu yazın:

cert = /etc/stunnel/stunnel.pem

 

Şimdi Stunnel ile hangi servisi kullanacağımızı yazacağız. İsterseniz “BenimVPN” adını verebilirsiniz.

“stunnel.conf” dosyasına Stunnel’ın hangi portu kullanarak bizi VPN sunucumuza bağlayacağını da yazmak lazım. 65.535 farklı port arasından birini seçebilirsiniz. Sunucunuzda güvenlik duvarı varsa, bu güvenlik duvarının seçtiğiniz portu engellemediğinden emin olun. Seçtiğiniz port sunucunuzda açık olsun. Ayrıca başka bir servis tarafından kullanılmayan boş bir port olsun.

Örneğin “stunnel.conf” dosyasına şunu yazıyoruz:

[BenimVPN]

accept = 8888

 

VPN-VPN_engelleme-VPN_yavaşlatma-StunnelŞimdi de VPN sunucumuza, bilgisayarımızın ona hangi port üzerinden bağlanacağını belirteceğiz. Bilgisayarımıza kuracağımız Stunnel yazılımı (Stunnel proxy) varsayılan olarak 3128 no’lu portu kullanır. Stunnel kurulumu için bir de IP adresi yazacağız. “stunnel.conf” dosyasının içine aşağıdaki satırı ekleyelim:

connect = 127.0.0.1:3128

 

Böylece VPN’e bağlanmak istediğimizde, Stunnel ile şifrelediğimiz VPN sunucumuza 127.0.0.1 IP adresi ve 3128 no’lu port ile bağlanacağız. VPN sunucumuz, yalnızca yazdığımız IP adresi ve port numarası üzerinden gelen şifreli bağlantıları kabul edecek (yalnızca doğru güvenlik sertifikasını sağlayan bilgisayar bağlantıları).

Özetle “stunnel.conf” dosyasının içine şunları yazıyoruz:

client = no

[BenimVPN]

accept = 8888

connect = 127.0.0.1:3128

cert = /etc/stunnel/stunnel.pem

Not: “client = no” satırı aslında gereksiz, çünkü Stunnel zaten varsayılan olarak sunucu modunda çalışıyor. Yukarıdaki gibi yazıp “stunnel.conf” dosyasını kaydediyoruz ve kapatıyoruz.

 

VPN-VPN_engelleme-VPN_yavaşlatma-Stunnel7)      Şimdi güvenlik sertifikamızı oluşturalım

Sunucumuzdaki Stunnel yazılımı güvenli bağlantı için SSL sertifikası kullanacak. Bu sertifikayı sunucumuzda OpenSSL paketi ile oluşturabiliriz. Siyah pencerede aşağıdaki satırları tek tek yazın.

openssl genrsa -out key.pem 2048

openssl req -new -x509 -key key.pem -out cert.pem -days 1095

cat key.pem cert.pem >> /etc/stunnel/stunnel.pem

 

VPN-VPN_engelleme-VPN_yavaşlatma-StunnelNot: SSL sertifikasını oluştururken size siyah pencerede bir takım sorular sorulacak. Hangi ülkede ve hangi şehirde yaşadığınız gibi. Bunları yazmak zorunda değilsiniz veya kendinizi gizlemek için başka bir ülke ve şehri de yazabilirsiniz. Ancak “Common Name” diye sorduğu zaman, kullandığınız VPN sunucusunun (VPS) IP adresini girmek zorundasınız. Sunucunuzun IP adresi ne ise onu girin.

Şimdi küçük bir ayar daha yapacağız ve VPN sunucumuzu yeniden başlatmak istediğimiz zaman Stunnel yazılımı da otomatik olarak başlayacak. Siyah pencereye şunu yazın:

nano /etc/default/stunnel4

 

Dosyamız açıldı. Şimdi dosyada ENABLED satırına gidelim. Bu satırı “1” olarak değiştirelim.

ENABLED=1 olacak.

Kaydedip çıkalım. Şimdi özel ayarlarımızın etkili olması için Stunnel yazılımını VPN sunucumuzda yeniden başlatıyoruz. Siyah pencereye aşağıdaki satırı girin:

/etc/init.d/stunnel4 restart

Sunucu tarafında işimiz bitti. VPN sunucumuzdan çıkabiliriz. Şimdi VPN kullandığımız bilgisayarımıza gidelim (laptop, masaüstü),

                              

VPN-VPN_engelleme-VPN_yavaşlatma-Stunnel8)      Bilgisayara Stunnel kurma

Burada Windows bilgisayara Stunnel kurmayı anlatıyoruz. Ancak Linux ve Android için de ayarlar hemen hemen aynı. Sadece kullandığımız bilgisayardaki ilgili klasöre “stunnel.conf” dosyasını koyacağız.

Önce, 6. adımda oluşturduğumuz güvenlik sertifikasını sunucumuzdan alıp bilgisayarımıza kopyalamak gerekiyor. Bu basit bir işlem. Bilgisayarımıza Filezilla gibi bir FTP yazılımı kuralım (İnternetten indirebilirsiniz. Güvenli iletişim (SFTP) destekleyen herhangi bir FTP yazılımı olabilir, ama dediğimiz gibi Filezilla kurmak yeterli).

 

VPN-VPN_engelleme-VPN_yavaşlatma-StunnelFilezilla’yı çalıştırarak bilgisayarımızdan VPN sunucumuza bağlanalım ve sunucumuzdaki dosyaları açalım. “/etc/stunnel/” dizinin altında “stunnel.pem” dosyasını bulalım. Bu dosyayı bilgisayarımızın masaüstüne kopyalayalım (taşımayın, kopyalayın).

Şimdi bilgisayarımıza Stunnel client yazılımını indirelim. Şu adreste: https://www.stunnel.org/downloads.html Hangi işletim sistemini kullanıyorsanız o kurulum programını indirin.

 

VPN-VPN_engelleme-VPN_yavaşlatma-StunnelStunnel’ı bilgisayara kurun. Az önce VPN sunucumuzdan Filezilla ile kopyaladığımız “stunnel.pem” dosyasını bilgisayarımızdaki Stunnel klasörünün içine kopyalayalım.

Ardından bilgisayarımızdaki Stunnel klasöründe (yoksa) bir “stunnel.conf” dosyası oluşturalım. Bu dosyası Notepad ile açalım (not defteri). Önce Stunnel’a bilgisayarımızda Stunnel klasörüne kopyaladığımız sertifikanın yerini söyleyeceğiz. Sertifikayı Windows’da Stunnel klasörünün altına koymuştuk.

Kısacası notepad ile açtığımız “stunnel.conf” dosyasına şunu yazalım:

 

cert = stunnel.conf

Bilgisayarımızdaki Stunnel yazılımı istemci (client) olarak çalışacak. Dosyaya şunu da yazalım:

client = yes

Ardından kullandığımız hizmetin adını (Örneğin: BenimVPN) ve bilgisayarımızdaki Stunnel’ın hangi portu ve IP adresini kullanacağını yazalım. Sunucuda yaptığımız işlemin aynısı:

[BenimVPN]

accept = 127.0.0.1:8080

 

VPN-VPN_engelleme-VPN_yavaşlatma-StunnelBilgisayarınızda herhangi bir portu seçebilirsiniz. Antivirüs programı veya güvenlik duvarı seçtiğiniz portu engellemesin. Seçtiğiniz port boş olsun, bilgisayarınızdaki başka bir hizmet bu portu kullanmasın.

Şimdi Stunnel istemcisine diyeceğiz ki “Kardeşim sen bilgisayarımdan VPN’e girdiğim zaman VPN bağlantımı bu portu kullanarak üzerine al. Sonra VPN bağlantımı bu port üzerinden sunucumun IP adresine ve portuna SSL şifreleme ile ilet”. Buna port forwarding diyoruz (bağlantı noktası yönlendirme).

 

Şimdi bilgisayarımızdaki Stunnel yazılımının “stunnel.conf” dosyasının içine port forwarding ayarlarını yazalım. Biliyorsunuz, sunucu portu olarak 8888’i seçmiştik. Dosyayı nodepad ile açıyoruz ve şunu yazıyoruz:

connect = [VPNsunucunuzunIPAdresi]:8888

Köşeli parantez içine VPN sunucunuzun IP adresini yazmayı unutmayın!

Kısacası bütün ayarlar dosyanızın içinde şu şekilde yazılacak.

cert = stunnel.pem

client = yes

[BenimVPN]

accept = 127.0.0.1:8080

connect = [VPNsunucunuzunIPAdresi]:8888

 

“stunnel.conf” dosyasını notepad’de kaydedin ve kapatın. Ardından Windows bilgisayarınızda “stunnel.exe” dosyasını çalıştırarak Stunnel istemcinizi başlatın. İşte oldu! Hepsi bu kadar.

Artık bilgisayarınız VPN’e doğrudan bağlanmayacak. Önce Stunnel’a bağlanacak. Stunnel da sizi VPN sunucunuza şifreli olarak bağlayacak. VPN sunucusuna sadece sizin seçtiğiniz şifreli bir TCP portu üzerinden bağlanacak.

 

VPN-VPN_engelleme-VPN_yavaşlatma-StunnelBaşka bir şey yapmanıza gerek yok. Siz kullanıcı adı ve şifrenizi girerek VPN’e normal olarak bağlanıyorsunuz. Gerisini bilgisayar hallediyor. 2 bilgisayarınız varsa, yukarıdaki ayarların aynısını öbür bilgisayara da yapın ve ona da Stunnel kurun

Artık Çin Güvenlik Duvarı bile sizi engellemekte zorlanacaktır. Ne yaptınız biliyor musunuz? VPN bağlantınızı gizlemek için VPN’e bağlanma işlemini bile şifrelediniz. Hayırlı olsun.

Son not: Şurada sayfanın en altında anlatıldığı gibi DNScrypt kullanmayı da unutmayın.

Özgür internette keyifli günler 🙂 .

15 Comments

Add a Comment

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

*