Comments 87
А я вот пришёл и купил себе сервер в Швейцарии. Хотел резервный MX для почты сделать.
ssh -> коннект -> попытка ввести команду -> зависание
помыкался час и обратился к провайдеру. А те и отвечают: проблема не у нас, а у вас - в России. IP что мы вам выдали, в блоклист попадает, ну и вы видите результат.
Я говорю: так вы 140 странах работаете? Давайте попробуем другие?
Попробовали. Они переключили мой VDS из Швейцарии в Испанию. Затем из Испании в Болгарию. Затем из Болгарии в США. Затем...
Короче на 20 попытке я уже устал и согласился С ИХ ПРЕДЛОЖЕНИЕМ вернуть деньги.
жесть, может эти ребята используют подсети AWS и других, чьи подсети массово блокируют? Я брал сервер на Aeza, клауд порекомендал его и ещё несколько других: 4VPS, Fornex ...
нет, всё несколько иначе. У этих же ребят работает мой личный VPN (такой же как описан в статье) и с ним всё ok. Дело не в провайдере. Дело в системе.
Просто из-за всплеска интереса к VPN работает следующая схема
я бизнес (не я лично - это пример)
я хочу заработать и вижу: на рынке востребовано VPN
иду и настраиваю 1 VPN сервер, плачу 2$/мес за аренду и продаю их 100 человекам по 2$/мес - прибыль 198$
приходит РКН и банит мой 1 VPN.
я немедленно перестаю платить провайдеру 2$ (ибо больше не за что). Но у меня есть 198$ и я покупаю на них ещё 99 VDS и начинаю ещё более активно продавать свои услуги.
Мои телеграм-каналы полны пользователями. На них подписан даже РКН.
Я продаю свои 99 VPN 9900 человекам по 2$/мес.
У меня есть 1980 $.
goto пункт 4
Результат: в списке РКН огромный пул записей, где мои VPN давно не работают. Я освобождаю IP прямо в тот момент, когда РКН его банит.
печаль🫠
Поэтому выбирайте VPS с лимитированным трафиком. 1-2 ТБ хватает вообще "на все", при этом "впн бизнесмены" такие впс не берут, потому что 100 юзеров выжирают лимиты за пару неделю максимум.
приходит РКН и банит мой 1 VPN.
«В этом году мы засеем 1000 гектаров — и хай эта гадина подавится!» ©
У меня есть сервер где ssh не работает, а telmet работает. Правда xray vless тоже не работает, похоже его по 16-32 режут, но у меня и порт не 443. Так что зря вы сразу от сервера отказались, вдруг все заработает.
ну когда "вдруг заработает" - тогда я вернусь к этому вопросу. Но я говорил - мне сервер был нужен как MX - не VPN. Это совершенно конкретные порты, записи в DNS и так далее.
У меня такой же, amnezia 2.0 прикидывающаяся udp мусором прекрасно работает на таком хосте :) Пока по ip не забанили будет жить. При этом дефолтные ssh/vless отлетают тк по сигнатурам тспу режет активно.
У меня vless reality на 433 порту убили. Создал на другом порту новое подключение - работает. В итоге создал новое с тем же ip на 433 порту с другими настройками вместо мертвого и заработало. Т.е. они не по ip банят, а по каким-то другим моментам.
Сейчас покупать впс у массовых хостеров для легитимных задач сплошная лотерея. Диапазоны IP засраны мамкиными впн-провайдерами, которые меняют их как перчатки
А блокировки потом не исчезли? Я как-то работал с виртуалкой, на которой не было VPN или прокси, и периодически она оказывалась недоступной, а потом снова появлялось соединение, как будто блокировали диапазоны IP-адресов (ну или этот конкретный IP, хотя там ничего подозрительного не было, просто небольшой сайт и SSH).
А как вы переподнимаете preemptible VM в Yandex Cloud ? каждый раз если не доступно ручками заходите в консоль и запускаете ? или есть какой то скрипт который мониторит состояние и через api яндекса / webdriver скрипт поднимает автоматически остановленную машину?
Есть скрипт rotate-relay-yc.sh, который работает через yc CLI (Yandex Cloud CLI):
Проверяет статус VM через
yc compute instance get --name $VM_NAME --format jsonЕсли статус
STOPPED— запускает:yc compute instance start --name $VM_NAME --asyncЖдёт до 60 сек пока статус станет
RUNNINGЕсли IP изменился после рестарта — автоматически обновляет
.envи генерирует новый VLESS URI
Ставится в cron на любой машине где есть yc CLI:
*/5 * * * * /path/to/rotate-relay-yc.sh --cron >> /var/log/yc-relay-rotate.log 2>&1То есть проверка каждые 5 минут. Preemptible VM гасится Яндексом раз в 24 часа, скрипт замечает это максимум через 5 минут и поднимает обратно. Никакого webdriver — чистый yc CLI, всё через API.
Единственный нюанс — у preemptible VM может меняться публичный IP после рестарта, поэтому скрипт отслеживает это и выводит новый VLESS URI. В идеале можно зарезервировать статический IP в YC (стоит ~₽100/мес), тогда URI не будет меняться.
Нормальное дешевое и сердитое решение для пет-проекта
Во-первых, не все IP Яндекса успешно проходят через белые списки (и на разных операторах пулы отличаются).
Во-вторых, на обычном Яндекс Клауд нет разницы по цене между динамическим и статическим IP, цена фиксированная. Поэтому для меня удивление, что динамический вдруг бесплатен. Хотя могу ошибаться, конкретно с preemptible не работал.
Ну и в-третьих, что касаемо самой статьи (конкретно конфига), SNI ya.ru на IP Yandex cloud нифига не выглядит легитимно. Все диапазоны IP Yandex cloud всем известны, они во многих спам-базах, довольно токсичные, поэтому глупо использовать ya.ru и что-то подобное из крупняка в качестве SNI. Лучше постоянно их менять (в конфиге на сервере можно списком перечислить, если не xhttp транспорт). Просто можно посмотреть, какие сайты хостятся на этом же диапазоне IP. И даже не обязательно брать из текущего диапазона, если IP динамический, любой пройдет в принципе из пулов яндеса. Но чем рандомнее, тем лучше. Клиенты вроде не предусматривают автоматическую смену SNI из списка, видел это только в invizible который для TOR, хотя функция была бы полезная.
Ещё стоит рассмотреть белосписочные решения на CDN. Да, многие запрещают использование прокси и многие доступны только юрлицам, но зато по моей практике работают стабильнее (практически 6 месяцев живу на интернете через белые списки). И ВК сервера тоже лучше обычно были, чем у Яндекса. Но сам я сейчас на Яндексе, каждые два месяца беру грант
Во-первых, не все IP Яндекса успешно проходят через белые списки (и на разных операторах пулы отличаются)
Да, я тут писал недавно, как пытаюсь получить VM яндекса из белого списка. Пока не удалось. Сложность ещё в том, что тестировать это можно только когда белые списки включаются
У меня есть пара старых ВМ в яндексе, они в белом списке. Но новые, похоже, уже не попадают
PS Коллега только что написал, что на днях в яндексе ему выпал IP из белого списка
Статья - очередная реклама нейрослопа?
нейрослоп это про видео с танцующими котами, а тут мы пытаемся решить проблему с блокировками, не без помощи нейронок конечно.
коллега, вот почему это нейрослоп:
У меня есть VPN, который работает. Не «работает, пока не заблокируют», а работает с системой резервных каналов.
Такие необоснованные заявления - очень в стиле ChatGPT, и я бы поставил на то, что текст написан именно этим семейством моделей. На самом же деле, в статье описан обычный канал, который работает, пока не заблокируют. И заблокируют его через считанные недели, по тому принципу, как часто местные статьи палят различные методики.
Что заблокируют то? Яндекс сервера с ноября работают, хоть и не без проблем (меняются пулы, которые в белых списках). Туннели через звонки? Полностью вряд ли убьют, только если капчами задолбят.
В целом, это не прям непобедимые технологии, но как будто бы они специально доступны и довольно на поверхности лежат. Когда надо будет - закроют и их. Но пока видимо не надо, раз больше полугода они работают и доступны. Поэтому "заблокируют через недели" - довольно преувеличено, но это явно на мушке у кого надо.
Туннели через звонки? Полностью вряд ли убьют, только если капчами задолбят.
WB TURN убили сегодня. 403 отбивают.
т.е. буквально, сервер яндекса добровольно сейчас гоняет трафик через себя, ввиду того, что технология позволяет обернуть туда данные, и он не сможет это закрыть?
давай рассмотрим самый жесткий сценарий - они действительно не разбираются в том, что написали/подняли, и не смогут это закрыть. а знаешь что будет, если они не смогут это закрыть? сервис просто выпадет из белых списков. так что, вероятность того что технология будет прикрыта - так или иначе, 100%.
и да, конспирологии про то, кому что надо или не надо, не уместны в техническом анализе данного решения.
100%, что статья, что "четырехуровневая система" - дебильный нейрослоп, по сути чувак просто гонит vless трафик через клаудфаре.
Похоже не на рекламу, а на просто очередной нейрослоп.
Рекомендовать аезу сейчас это само по себе глупо. Говорить о 295 рублях в месяц - не особо реалистично, даже с оплатой за год
На яндексе указана обычная, самая дешёвая VM, да ещё и прерываемая. В целом достаточно, но вы таки под носом у всех, с буквально непонятно чем. И да, это уже дороговато. Если такая ВМ, даже самая простая, отработает с месяц, это ну что-то типа +600 рублей. А даже если не отработает - трафик то платный, сверх нормы. Плюс ничего не сказано о запросах к DNS, которые тарифицируются.
В общем-то непонятные скрипты, размазанная и откровенно неудачно подобранная архитектура и решения, явно более высокая цена, чем заявлено и достаточно высокие риски получить банхаммером по решению
Реклама Аеза. Они по требованию РКН удаляли впс с впн и письма счастья пользователям рассылали. https://habr.com/ru/news/973644/
Видать поток денег закончился и начали рекламировать себя опять, но после таких косяков деньги им нести смысла нет.
Спасибо, боюсь что придется рано или поздно и с этим разбираться. До недавнего времени вообще обходился бесплатными shadowsocks серверами. Недавно купил себе vps в Нидерландах, настроил vless+reality+xhttp, и оно работает но иногда блочится вся подсеть, даже ssh не отвечает. Причем так: я работаю, все ок, затем вообще могу отключиться или выключить компьютер на несколько часов; включаю - заблокировано. Т.е. скорее всего у кого-то из юзерв этой подсети что-то неправильно настроено и ТСПУ блокирует сразу всю группу ip-адресов.
В таком случае, как я понимаю, возможное решение - только смена ip?
И неизвестно на что сменишь, может будет еще хуже.
Не всегда. У меня провайдер inferno solution (не реклама), у меня там настроена амнезияВГ 2.0 и КВН через ssh. До прошлой недели все работало хорошо везде (понятно, что при бс все по нулям). Но вот недавно на мобильном забанили ip, я испугался, начал настраивать релей схему, пока без Яндекса или ВК, но чтобы было и попробовать и..оп. и на домашнем адрес сервера из Нидерландов улетел в бан. Ни пинг, ни ссш, ничего. Я ради интереса попробовал перезагрузить ВПСку и, о чудо, каким-то образом с дома пока все подключается. При этом адрес не менялся, машина тоже. Может быть провайдер или хостер что-то трогали, я не знаю (Ростелеком и теле2/МТС), но пока живём, терпим. Но схему с релеем трогаем и настраиваем
и..оп. и на домашнем адрес сервера из Нидерландов улетел в бан. Ни пинг, ни ссш, ничего.
Это звучит немного необычно.
У меня пару недель назад отвалился кое-как работавший ранее SSH, так обычные пинги туда спокойно проходят. Но если пинговать большими пакетами, то режутся.
Тоже пытался разобраться, судя по ответам, не у одного меня такое.
и на домашнем адрес сервера из Нидерландов улетел в бан. Ни пинг, ни ссш, ничего.
У меня хостер другой, но вчера утром такая же фигня была - ни пинги, ни ssh. Зашёл по VNC через сайт хостера - так и с самого сервера тоже пинги никуда не ходят. Перезагрузил - и всё заработало. Это даже не бан уже, а что-то вообще странное. Или это в самих Нидерландах что-то глюкнуло.
Yandex Cloud relay (если нужен): ~200-400 рублей
Это какой конфиг? Что-то я сомневаюсь в этой цене. Даже за выключаемую ВМ. Сейчас попробовал и самый минимум - чуть меньше 500р.
да, ты прав, 400-500 ₽ поправил в статье, спасибо
Самый минимум - 435 рубле. 5%, прерываемая. И плюс 180 рублей за ip. Вот только белый ip ты хрен получишь.
Как вы делаете такую цену, какой конфиг? Я выбрал всё по минимуму, вышло чуть больше 1000р
Прерываяемые ВМ стоят дешевле. Это галочка в настройках. Отдельные условия таких ВМ - они не могут быть включены дольше 24 часов и провайдер может их отключить в любой момент.
По сути облачный провайдер это куча железа, мощности которого вы арендуете. Хотите точности и гарантий - платите больше. Но можете докупать ресурсов без гарантий и с дисконтом.
Можно попробовать Selectel, у них есть VDS за 200 р/мес. Вроде они тоже проскакивали в белых списках. Это вместе с IP
То есть вы предлагаете обходить блокировки, используя российский relay, потом российский же Aeza. Пусть даже сервер физически в Швеции, Aeza все равно остаётся российской фирмой, которой есть что здесь терять.
Зачем такой обход блокировок, который, теоретически (мы находимся здесь), все равно чреват 13.53 КоАП РФ?
Мне кажется, вы слишком критичны.. Вас же никто не заставляет брать именно аезу)
Тут где-то на Хабре, недавно была статья с дешёвыми ВПС, если не не снесли, конечно.
Просто автор выбрал аезу и все. До того как они начали наглеть с курсом и пока их не забанили, я тоже сидел у них, рекламы было много...
https://lowendbox.com/ вообще на любой вкус
вообще на любой вкус
Там уж очень специфический вкус, пробовал несколько лет назад.
То один провайдер ксеоны 2009-го года где-то откопает, то другой начинает люто оверселлить, то у третьего владелец исчезнет или поменяется в рамках какой-то непонятной схемы, в которой у него ещё 15 доменов с "мульти-брендами хостинга".
Короче говоря, цены бывают весьма привлекательные, но стабильность - полнейшая рулетка.
Не то слово. Купил там что-то на пробу за 25 бачей на полгода: 2 ядра, 4 гига. В первый же месяц 3 перезагрузки. Спрашиваю - что за фигня? Ответ - миграция сервера, еще что-то. Далее спрашиваю а почему без предупреждения. Ответ - если хотите стабильности платите больше. Далее закрывают аккаунт и возвращают деньги.
Покупал там, уже не помню у кого, за 4,99 в месяц 2 гига, 2 ядра, 10 гигабайт SSD. За полгода 0 проблем, пока РКН не заблокировал хостера
Ответ - если хотите стабильности платите больше. Далее закрывают аккаунт и возвращают деньги
Это вам знатно повезло.
Там у большинства предложений была пометка "special offer - non-refundable". То есть даже если просить, деньги не вернут.
В комментариях регулярно такие жалобы писали. Я из-за этого платил исключительно помесячно, чтобы если уж в мусорку, то не так дорого.
но там же траффик тарифицируется
Вот вы реально думаете, что РКН это не читает? Палите хостера, дырки и все остальное. Я бы подробности убрал.
Для надёжности стоит добавить резервные inbound-ы на портах 8443 и 2053 с другими SNI (dl.google.com, www.apple.com).
А разве https не на 443 это не офигенный такой редфлаг? Или может на этих сайтах на этих портах что-то реально такое висит?
— Панель 3X-UI для управления через браузер.
Мне джеминай написал все конфиги и много раз их правил, там и обратные пробросы портов и доступ в локалку, и при этом все работает и он ни разу не накосячил. Так что раз уж начали с иишки то и конфиги она вам без проблем напишет.
Дальше в панели создаёте inbound с протоколом VLESS, портом 443, security — Reality, SNI — www.microsoft.com. Для надёжности стоит добавить резервные inbound-ы на портах 8443 и 2053 с другими SNI (dl.google.com, www.apple.com).
А главное ни разу не подозрительно. Уж лучше ss или awg, по крайней мере это будет не 100% детект обхода.
обьясните тупому: ну вот нагромоздил ты эти все уровни, получив рак мозга и - чо? с кем ты будешь общаться? обьехать всех по списку в контактах и им это закорячить?
да, если потребуется. Мне не жалко поделиться таким туннелем с близкими.
мне 72 и такие же вокруг, я им про ВПН, чтобы Ютуб смотреть, с которого они не слазили, но обьясняю, что кое где придется выйти, чтобы зайти куда то (в банковское приложение, например, которое ругается), а они рукой машут: иди ты со своим ВПН, будем мы туда сюда мурыжиться!
а тут придурки меня наминусовали - вопрос им не понравился )
а вы что предлагаете?
Именно так и работает взаимоподдержка: люди ходят друг к другу, стараются, помогают, настраивают, а не тупо терпят.
Сохраню, пока не удалили
Все смешалось в доме Облонских люди кони...
Сделайте tracerote на свой российский VPS а потом сделайте tracerote на реально белосписочный ресурс того же Яндекса и лично убедитесь, что белый список вам пока еще просто не включали, поэтому вы все и пережили(пока еще).
Критически важная деталь — BBR. Это алгоритм управления перегрузками от Google. Без него скорость на мобильных сетях может быть в 2-3 раза ниже. Включается добавлением нескольких строк в /etc/sysctl.conf.
а что конкретно нужно добавить ?
всем привет zarazaexe ето я
У меня есть VPN, который работает. Не «работает, пока не заблокируют», а работает с системой резервных каналов.
Не хочу разочаровывать, но эта схема работает именно пока не заблокируют. 3 слоя из 4 резервом не являются т.к. их блокируют прямо сейчас с той или иной степенью эффективности. 4 выглядит стабильнее, но только по той причине, что РКН сейчас занят другими путями. И Claude Code тут вообще не помощник, он не в состоянии выработать действительно стойкое и надёжное решение, а только бросаться решениями на поверхности (собственно, на схеме мы эту поверхность и видим).
Ну и да, отдельное спасибо передают сотрудники РКН, которые записали вашу "надёжную" схему на карандашик.
Как работает Layer 1? Cloudflare CDN же блокируется, 16КБ блокировка (а может и даже сибирская) на его диапазонах стоит. Ваш домен на вряд ли находится в белые списки 16КБ блокировки.
Проблема в том, что весь этот пердолинг прерогатива мизерного количества гиков. Остальные же будут отрезаны от внешнего интернета. А это будет означать, что каналы и ресурсы для ру-аудитории потеряют подписчиков, а значит и перестанут выпускать контент. 5% гиков останутся в забугорном инете никак на них не ориентированном. Т.е. не будет больше тг-каналов и ютуберов на которых вы подписаны, сидов не торрентах. Им просто будет невыгодно создавать/распространять контент.
Так уж вышло, по моим личным предпочтениям, из заблокированного я использую исключительно телеграм. И действительно, если весь мой список контактов и каналов не сможет туда зайти, мне тоже особо нечего там делать будет. Вот только у меня есть домашняя лаба, которую я использую примерно для вообще всех своих задач. И белые списки в первую очередь не дают мне подключиться к моему же дому. Поэтому это вопрос принципиальный, могу ли я пользоваться вычислительными сетями по их основному назначению, или от них останется некий суррогат, который несомненно, кому-то нужен, но не мне. Поэтому для некоторых людей пердолинг это не хобби и не что-то "найс ту хев", а база.
Энтузиасты всегда найдут способ пробить стену, а контент-мейкеры просто переедут на те площадки, где останется аудитория
Мда уж.
Vless (даже с заморочками) довольно неплохо детектируется, по опыту его хватает на 1-2 месяца, потом нужно менять ip
Подсети CF, по крайней мере в СПб и МСК заблокированы почти все - порой даже сайты уже с прокси-днс не открываются - это решение еще менее стабильное, чем п.1
Нет, и в яше, и в вк и в сбере сеть последние 2 месяца перестраивают и изолируют белые списки сервисов от пользовательских ВМ. Методом перебора находил рабочие, но спустя месяц (без использования) они уже белые списки не проходили. Сейчас взять ip из белых списков - крайне сложно
Есть 2 сценария - через TURN трафик, но его скорее всего прикроют (т.к технически возможно) и да, через WebRTC. Проверьте, что сделал Клод - потому что реализация крайне нетривиальна. А работать может везде, кроме iPhone’ов ( по крайней мере у меня не получилось на них запустить). И да, из всех сценариев только этот технически почти нереально отключить, и она действительно обходит белые списки)
Отличный план: давайте напишем статью на Хабре, в которой подробно расскажем РКН, какие именно подсети и протоколы они забыли заблокировать
Я никогда не разбирался в сетях и протоколах глубоко, закончил гуманитарный вуз. За месяц до сегодняшней даты вместе с claude code мы попытались реализовать подобную схему, но не экономили на VDS YC. Claude прочитал статью и сравнил с нашим опытом. Он пишет: Автор утверждает, что IP Yandex Cloud в белых списках ТСПУ — у нас это НЕ подтверждено (п.103-104: наш YC VM (тут IP) блокируется при активных белых списках мобильного оператора). Возможно, автор попал в «удачную» подсеть (51.250.x.x / 212.233.x.x)
Понятно ровно НИЧЕГО. Пару слов понял, и все. К чему статья??? Похвалиться??? Создай свое приложение и продавай, иначе к чему этот текст я не понимаю.
Я Ищу готовое решение, чтобы нажать кнопку Подключиться и пользоваться.
НЕ все компьютерные черви, как вы...
люди и другими специальностями владеют тоже, прикиньте.
Мои рефлексы кричат, что это очередной нейрослоп для рекламы тг канала.
Мой VPN пережил белые списки. Архитектура из 4 уровней за 265₽ в месяц
ну из неприятного для вас - vps в яндекс клоуд сейчас действительно работают но это скорее всего не надолго, стоимость самого дешового vps в яндекс клоуде начинается от 1130 рублей в месяц, но проблема в том что на месяц там всего 100 Гб трафика и каждый следующий гигабайт стоит всего 1.7 рубля.
Ну и чем больше будет статей на тему "я обошел белые списки" тем меньше времени ваши сервера будут существовать, ровно так-же как и всякие прочие альтернативные "транспорты" для обхода.
А если эти ребята задолбаются банить ip адреса и вносить дополнительные проверки в ТСПУ, у них есть прекрасная возможность натянуть провайдеров на самостоятельное выявление и бан vps на которых установлен vpn, принять новый более заботливый о безопасности плебса закон о запрете vpn всем кроме например юрлиц и выписывать административные штрафы. С большой вероятность там фантазия не обезображенная интеллектом бьет фонтаном. И вероятно их будет мало интересовать что через этот самый vpn у вас работает netbird или tailscale а со смартфона вы просто подключаетесь к своей домашней системе видеонаблюдения чтобы узнать все ли в порядке дома.
Ребят, у кого есть возможность, удалите этот слоп-пост к чертям собачьим. Уже невыносимо. Зачем вы выносите ЭТО в публичный доступ. Да ещё и белые подсети пишете. Задолбали
если я закину ссылку на эту тему в Claude и дам доступ по ssh на сервер, то он сделает все за меня?
Мой VPN пережил белые списки. Архитектура из 4 уровней за 265₽ в месяц