AdGuard maakt moeilijk detecteerbaar eigen vpn-protocol opensource

Die definitie zou best ergens kunnen kloppen, maar volgens https://github.com/TrustTunnel/TrustTunnel/blob/master/PROTOCOL.md#5-tcp-connection-tunneling moet de client een specifiek request doen naar de server met waar het request heen moet en wat voor protocol dat moet. Wat volgens jouw definitie een proxy zou moeten zijn.

Het protocol staat hier beschreven en in de basis is het wel degelijk een gewone HTTP-proxy. Voor TCP wordt een HTTP-tunnel gebruikt inderdaad, maar voor UDP en ICMP worden HTTP/2 en HTTP3-features gebruikt voor het multiplexen van de verbinding. Overigens wordt er, in tegenstelling tot ouderwetse proxies, geen GET/POST/PUT ondersteund; alleen CONNECT werkt.

Voor UDP en ICMP wordt er ge-CONNECT met een nep-host, worden pakketjes in een speciale laag gewikkeld, en worden ze door de "proxy" uitgepakt en het netwerk opgestuurd (en andersom voor het antwoord). Dat maakt het nog weer anders van een normale proxy, die in principe aan twee kanten HTTP of TCP kan praten maar meer niet.

In de tijd dat proxy's nog normaal waren, was het ook niet ongewoon om protocollen als SMTP en IMAP over HTTP-proxy's te gooien middels een CONNECT, precies zoals de TCP-stack van deze tunnel nu werkt. Dat was dan HTTP 1.1 (of zelfs 1.0), nu gebruiken ze HTTP/2 en HTTP3-over-QUIC, maar nog steeds gebruikt men de CONNECT-verb van de HTTP-standaard.

Voor het VPN-gedeelte (je IP-adressen en routering) heb je een extra protocol nodig. Je zou bijvoorbeeld L2TP of PPTP over TrustTunnel kunnen draaien, zoals je L2TP normaal over IPSec gooit om de verbinding te beveiligen. Daarvoor zul je wel client en server moeten uitbreiden, aangezien ze momenteel alleen TCP, UDP, en (voor een deel) ICMP ondersteunen.

Wat voor netwerk zet het op dan? Want de documentatie zegt daar niks over. Het heeft wel een `allow_private_network_connections` instellling zodat je endpoint requests naar private IP adressen door zou laten, maar dan heb je meer een bastion host dan een VPN.

[Reactie gewijzigd door bcome op 23 januari 2026 15:32]

Ik snap de opmerking wel. 3 minuten tussen posten nieuwsbericht en zijn comment.

Ik had hetzelfde gedaan met een Windows-tunnel (weet echt niet meer de naam van het protocol), en dat deed het pas weer toen ik in Europa uit het vliegtuig stapte.

Dan heb je geluk gehad. Ik ben eind 2025 in China geweest en op de Hotel WiFi deden standaard VPN diensten het eigenlijk allemaal niet. ExpressVPN, NordVPN lieten het beide afweten.

Wat wel gedeeltelijk werkte was een eigen ShadowSocks VPN server en dan alleen bepaalde traffic door de tunnel heen. Dus niet alles maar alleen diensten die of geblokt zijn zoals WhatsApp, Telegram en alles wat iets mer Google te maken heeft. Zo kan je langer onder de radar blijven van de GFW.

Wireguard VPN naar je huis wordt ws meegerekend als Zakelijke VPN. China erkent wel dat het voor bedrijven een noodzakelijke beveiliging is en dus kun je enterprise VPN apps wel draaien.

Het gaat vooral om de commerciële diensten in combinatie met Chinese consumenten dingen.

hongkong sim zeker

In het VK worden (herkenbare) VPN's niet geblokkeerd. Ook lijken daar geen plannen voor te komen, want dan raak je ook bijvoorbeeld het bedrijfsleven (dat daar tegen lobbyt).

Door wie? Vorige maand kwam ik bij een serverproject nog een backdoor tegen die er vier jaar geleden in is gezet. Niet dat ik alle code doornam, maar toevallig een bug aan het oplossen was waarbij ik alleen de betrokken code bij de bug bekeek. Dus backdoors zijn niet zomaar gevonden. Er zullen mensen moeten zijn die die code zorgvuldig doornemen, of er, zoals in mijn geval, toevallig op stuiten.

Ontsleutelen werkt alleen als je volledige man-in-the-middle werkt. Dat betekent doorgaans een CA-certificaat op het systeem met een MitM-proxy die het verkeer onderschept. In Linux zou je met een eBPF-programma nog kunnen klieren met het validatiemechanisme van OpenSSL (heel handig voor debuggen van HTTPS-verbindingen!), maar dan moet je wel software van je netwerkbeheerder als root draaien.

In de firewall-setup zoals @Faifz naar mijn interpretatie beschrijft is er geen route naar buiten die niet door de proxy gaat. Je computer accepteert MitM of je computer heeft geen internet. Op bedrijfsnetwerken (en voor korte tijd ooit in Kazachstan) wordt die opstelling nog wel eens gebruikt om het lekken van informatie tegen te houden.

Je privé-computer krijgt op zo'n netwerk gewoon geen internet en geeft een beveiligingswaarschuwing. Je WireGuard/OpenVPN/IPSec-tunnel van een traditionele VPN-client krijgt niet eens verbinding met de andere kant.

Overigens kan de firewall nog wel trucjes uithalen om de VPN te blokkeren. Aangezien de SNI-header van het TLS-protocol in principe gewoon leesbaar is, kan de firewall besluiten om verbindingen op basis van hostname te filteren. Daar kom je omheen met domain fronting, maar als je firewall ook daadwerkelijk het certificaat valideert, kan die op die manier zorgen dat je wel naar google.com kan maar niet kunt verbinden met vpn.adguard.net. Om daar omheen te komen heb je technoligieën als ECH (Encrypted Client Hello), maar dat kun je met zo'n MitM-box simpelweg blokkeren (aangezien je in zo'n setup ook DNS-verkeer zult filteren, en dus de nodige records voor ECH gewoon wegfiltert en DoT/DoH simpelweg niet toestaat).

@GertMenkel heeft het wel heel goed uitgelegd en zijn uitleg is volledig correct. En dat zeg ik als iemand die bekend staat als een "nitpicker".

SSL decryption vind je alleen maar terug in een bedrijfsnetwerk waar users in een Active Directory domain zitten en die users hebben natuurlijk de root CA (certificaat) van het domain geïnstalleerd staan - en dat is standaard en automatisch zo.

Dus het enige wat je moet doen is een sub CA laten tekenen door de root CA (Active Directory). En die sub CA gooi je gewoon op de firewall. Users vertrouwen de sub CA omdat het getekend is door de root CA.

Gert heeft wel gelijk dat firewalls SNI headers gebruiken om een applicatie te herkennen, maar App-ID van Palo Alto kan eigenlijk veel meer dan enkel alleen maar naar de SNI headers te kijken.

Ik heb net AdGuard VPN geprobeerd maar de firewall herkent dit als "quic-base" en dit is zonder decrypting, dus het wordt geblokkeerd.

https://imgur.com/a/514XAu3

Wij blokkeren altijd QUIC als applicatie, en een tweede regel dat ook 443/UDP en 80/UDP blokkeert - dit wordt aangeraden omdat firewalls altijd niet evident zijn om QUIC verkeer te herkennen. Alleen Cisco ondersteunt QUIC decrypting op het moment, maar het is in een beta fase.

Ik denk dat een goede firewall hier wel iets meer mee kan. Een QUIC-tunnel die urenlang up blijft en zich lijkt te gedragen als een netwerklink is niet heel moeilijk te onderscheiden van een echte HTTP-sessie. Voor HTTP/2 is dat helemaal het geval, zoveel streams openen browsers normaal helemaal niet over dezelfde verbinding.

Je zult over tijd het verkeer moeten profilen om er een beslissing over te maken, maar het is niet onmogelijk te onderscheiden van HTTPS. Ik verwacht dan ook dat China's Grote Vuurmuur snel korte metten maakt met dit protocol.